Kebiasaan Buruk Karyawan Menjadi Pintu Masuk Peretasan
Sistem keamanan data di perusahaan dapat dibobol oleh peretas karena ada kebiasaan buruk dari para pegawai di perusahaan itu. Kesadaran akan keamanan siber harus ditanamkan kepada semua pegawai.
Oleh
Andreas Maryoto
·4 menit baca
Perusahaan teknologi sehebat Twitter ternyata beberapa kali diretas. Di Indonesia, laman dan akun beberapa perusahaan teknologi dan juga organisasi berhasil dibobol. Meski baru di ”halaman muka” dan belum sampai ke ”dapur”, serangan itu sangat meresahkan. Kejadian belakangan memunculkan pertanyaan, siapa yang diincar untuk menjadi pintu masuk para peretas?
Dalam kasus peretasan Twitter pekan lalu yang menimpa 130 akun, peretas berhasil mengakses obrolan internal di kanal Slack. Dari akses ini mereka mendapat pengetahuan soal struktur korporasi, peran-peran beberapa karyawan, dan gaya komunikasi mereka sehingga membuat peretas makin pintar dalam membuat pesan-pesan palsu yang digunakan untuk pintu masuk peretasan. Informasi itu juga membantu peretas dalam membuat rencana dan menduga kemungkinan dampak dari pembobolan.
Di Indonesia, sebuah kasus pembobolan yang belum lama terjadi dikabarkan bermula dari karyawan yang mengunduh data perusahaan dan disimpan di laptop. Peretas berhasil mengintip sebagian data itu dari laptop karyawan ini. Sejumlah data pengguna akhirnya tersebar ke publik dan sebagian lainnya ditawarkan seperti penjualan komoditas.
Kini, di tengah para karyawan bekerja dari rumah, para peretas pun mengubah strateginya. Mereka mengincar kanal-kanal komunikasi yang digunakan untuk rapat dan pertemuan virtual di perusahaan. Peretas makin mudah lagi beraksi karena penggunaan kanal komunikasi pertemuan virtual menyebakan antarkaryawan kadang malah tidak saling kenal. Dengan keadaan seperti ini, para peretas bisa ikut bergabung ke dalam pertemuan tanpa diketahui.
Dari uraian di atas, jelas sekali kecenderungan terbaru dari peretasan adalah menggunakan karyawan yang bekerja di perusahaan teknologi ataupun perusahaan nonteknologi sebagai pintu masuk peretasan dengan memanfaatkan kelemahan mereka. Mereka berhasil diperdaya dengan rekayasa psikologis (social engineering) sehingga memberikan peluang akses ke dalam sistem. Peretas membuat pesan-pesan palsu semisal seolah-olah pesan itu berasal dari atasan yang meminta penataan ulang kode masuk sehingga ketika ia melakukan itu maka terbukalah akses ke dalam sistem-sistem yang meski sudah diproteksi tetap saja bisa dibobol.
Belum lagi dalam kasus yang sering dialami para pemilik akun media sosial peretas mendapatkan informasi yang gratis dari unggahan para pemilik akun sehingga peretas mudah berkomunikasi dan membuat rencana peretasan. Akun-akun media sosial perusahaan yang dikelola karyawan dengan ceroboh memungkinkan peretasan seperti ini. Sebanyak 90 persen peretasan terjadi karena pemilik akun dengan mudah memberikan informasi personal di media sosial dan mudah diakses para peretas.
Kasus-kasus itu memperlihatkan betapa penting kesadaran para karyawan terhadap keamanan siber di perusahaan. Sebuah survei yang diadakan pada akhir tahun lalu menyebutkan, sebanyak 43 persen karyawan di berbagai perusahaan tidak mendapat pelatihan yang memadai tentang keamanan siber. Peretas akan mengidentifikasi perusahaan-perusahaan yang tidak mengadakan pelatihan keamanan siber secara memadai dan mengekspolitasi mereka untuk menjadi sasaran peretasan.
Beberapa ahli sudah memperingatkan potensi serangan muncul karena kebiasaan buruk para karyawan dalam berperilaku. Kebiasan itu, antara lain, mereka mudah jatuh ke rekayasa psikologis, kebiasaan membuat kode akses yang mudah ditiru, dan kerentanan dalam proses-proses yang terkait dengan dokumen. Karyawan memang mempunyai niat baik dan tidak akan berniat merusak bisnis, tetapi dengan kebiasaan buruk maka seperti membiarkan peretas beraksi dengan mudah.
Berkaca dari perkembangan kasus-kasus yang ada, maka keamanan siber sangat penting yang tidak beda dengan satuan pengamanan yang menjaga secara fisik sebuah gedung dan isinya dari tindakan kriminal. Berbagai fasilitas dan teknologi digunakan untuk memantau sistem teknologi informasi perusahaan agar tetap sehat. Akan tetapi, faktor manusia lebih penting sehingga mereka perlu mendapat pelatihan dan dilengkapi dengan fasilitas yang memadai untuk mencegah peretasan.
Oleh karena itu, langkah pertama dari perusahaan adalah membuat pelatihan keamanan siber bagi karyawan dan melengkapi mereka dengan peralatan yang memungkinan karyawan membuat proteksi. Bila perusahaan melakukan kedua hal itu sehingga mengetahui karakter serangan, mereka akan bisa menghindari peretasan. Sehebat-hebatnya sistem keamanan siber, tetapi tetap saja perlu diuji. Perusahaan perlu membuat audit terhadap kerentanan sistem dan teknologi yang digunakan.
Keamanan siber menjadi tanggung jawab setiap orang di dalam perusahaan. Mereka tidak bisa lagi sembarangan membiarkan laptop dan gawai tanpa pengawasan berada di mobil, restoran, dan angkutan umum. Mereka tidak boleh membiarkan sistem dan jaringan data perusahaan berada di dalam paparan risiko sekecil apa pun. Semua pakar mengatakan, perusahaan sebaiknya segera memperhatikan dan mengurus keamanan siber secara serius sebelum diserang peretasan secara bertubi-tubi sehingga data bisnis dicuri, data karyawan beredar ke luar, dokumen rapat tersebar bebas, dan lain-lain.