Bukan Peretasan, Modus Utama Pembobolan Data adalah Tipu Muslihat
Tanpa perilaku setiap individu yang sadar dan awas, perangkat teknologi tidak akan memadai untuk menangkal serangan siber yang akan muncul. Jalan masuk utama serangan siber dan pembobolan data ternyata melalui manusia.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS —Tanpa perilaku setiap individu yang sadar dan awas, perangkat teknologi keamanan siber tidak akan memadai untuk menangkal setiap serangan yang akan muncul. Jalan masuk utama serangan siber dan pembobolan data ternyata melalui faktor manusia.
Direktur Proteksi Ekonomi Digital Badan Siber dan Sandi Negara (BSSN) Anton Setiyawan, Jumat (17/7/2020), mengatakan bahwa perilaku siber setiap individu dari sebuah organisasi atau perusahaan menjadi penting dalam menjaga keamanan siber.
Keamanan siber sebuah perusahaan tidak dapat hanya bergantung pada perangkat teknologi yang digunakan. Hal ini menjadi kian penting mengingat semakin besarnya peran teknologi digital di suatu organisasi, maka kerentanan yang dapat diserang (attack surface) menjadi lebih luas; termasuk kehadiran manusia. Memanipulasi manusia menjadi jalur masuk serangan siber yang bisa digunakan.
Peran manusia dalam keamanan siber menjadi kian krusial mengingat saat ini hubungan antara manusia dan teknologi digital semakin erat pascapandemi Covid-19 melanda.
”Percuma kalau teknologinya sudah baik dan expert-nya sudah bagus tetapi kalau orang-orang lain tidak ikut bertanggung jawab atas kesehatan keamanan siber organisasi,” kata Anton dalam webinar yang digelar oleh Indonesia Cyber Security Forum (ICSF) dan Acer Indonesia.
Anton mengatakan, pembobolan data dari waktu ke waktu akan semakin sering terjadi. Berdasarkan data BSSN, sudah terjadi 34 insiden pembobolan yang mengakibatkan sekitar 55 juta rekaman data terekspos.
Pada 2020, jumlah itu tentu sudah akan terlampaui dengan terjadinya insiden terhadap sebuah situs perdagangan elektronik (marketplace) di mana basis data berisi 91 juta akun penggunanya berhasil dibobol.
”Saat ini, bukan masalah apakah akan kena pembobolan atau tidak, tetapi kapan (pembobolan) akan terjadi,” ujar Anton.
Tren modus eksploitasi kelemahan manusia ini juga sesuai dengan hasil penelitian Verizon mengenai pembobolan data, ”Data Breach Investigation Report 2020”. Laporan itu menunjukkan bahwa taktik manipulasi psikologis atau social engineering adalah cara paling populer dalam upaya pembobolan data.
Phishing adalah salah satu bentuk social engineering untuk mendapatkan informasi penting, seperti kredensial log-in. Phishing utamanya dilakukan dengan menyaru sebagai entitas yang memiliki legitimasi dan kredibilitas tinggi sehingga korban rela memberikan informasi yang diminta.
Dalam laporan itu, phising menjadi yang paling banyak digunakan untuk insiden pembobolan data. Lebih dari 20 persen pembobolan data bermula dari phishing. Modus ini bahkan lebih tinggi dibandingkan peretasan celah keamanan (vulnerability exploit).
Penipuan melalui surel juga menempati posisi teratas modus penyebaran malware. Hampir setengah dari transimisi malware terjadi melalui surel, baik dari sebuah tautan yang disematkan atau lampiran surel (attachment).
Pelatihan karyawan
Untuk itu, Anton mengatakan, pada sisi organisasi ada sejumlah langkah yang sebaiknya dilakukan untuk meminimalisasi ancaman serangan siber.
Hal mendasar adalah menggelar rutin pelatihan untuk meningkatkan kesadaran karyawan untuk berperilaku higienis secara siber. Menurut Anton, contohnya, perlu bagi perusahaan untuk memastikan para karyawannya dapat mengidentifikasi surel phishing.
Selanjutnya, memastikan adanya infrastruktur keamanan siber yang memadai. Ketiga, perlunya membuat langkah dan mekanisme pengelolaan respons apabila insiden benar-benar terjadi. Terakhir adalah penetration test atau uji coba penetrasi sistem.
Chief Security Officer (CSO) Acer Cyber Security Inc Chris Kuo pun memiliki sikap serupa. Edukasi menjadi hal yang perlu diprioritaskan di tengah transformasi digitalisasi yang semakin cepat.
Kesadaran berperilaku higienis dalam siber ini menjadi penting karena ada vektor serangan yang tidak dapat ditangkal secara teknologi, misalnya oleh sistem firewall.
Memanipulasi psikis
Ia mencontohkan bahwa ia pernah menemui kasus di mana proses pembobolan data dapat dimulai dengan menaruh sebuah malware ke dalam sebuah USB flashdrive yang kemudian dijatuhkan di depan kantor perusahaan target.
Akan ada kemungkinan karyawan yang tidak awas untuk mencoba memeriksa isi flashdrive tersebut ke komputer kantor. Dari situ, malware akan bisa menginfeksi jaringan perusahaan. Hal ini tidak akan terjadi apabila si karyawan sudah paham bahwa hal yang dilakukannya tersebut sangat berbahaya.
”Untuk itu menjadi penting bagi organisasi untuk melakukan pelatihan dan bahkan menguji karyawannya secara rutin terhadap modus-modus social engineering semacam ini termasuk juga phising,” kata Kuo.