Di zaman sekarang, penggunaan teknologi terutama teknologi informasi  sangatlah penting untuk kelancaran operasi bisnis. Namun di sisi lain, hal ini juga menimbulkan banyaknya ancaman serius. Insiden dari serangan keamanan siber seperti kebocoran informasi, perubahan data yang tidak resmi, dan gangguan sistem informasi sering menghiasi tajuk utama berita. Hal-hal tersebut dapat merusak kredibilitas pelaku bisnis bahkan mengancam kelangsungan bisnis.

Sejak dekade ’90an, ketika PC dan jaringan mulai berkembang, kasus keamanan pun ikut bermunculan. Beberapa ratus kasus per tahun di Indonesia sudah ada saat itu. Bagaimana sekarang? Sudah lebih dari puluhan ribu kasus per tahun. Khususnya dalam beberapa tahun terakhir ini, organisasi kejahatan semakin efektif dan efisien dengan RaaS (Ransomware as a Service). Serangan ini kerap menargetkan individu dan perusahaan-perusahaan. Serangan siber telah menjadi ancaman serius bagi semua perusahaan. Menurut suatu survei, tiap 39 detik, satu perusahaan menjadi korban serangan siber.

Dunia telah berubah cepat secara ekonomi dan teknologi semenjak pandemi Covid-19. Maraknya kerja jarak jauh (remote work) karena pandemi membuat meningkatnya serangan siber yang menargetkan PC yang dibawa ke luar kantor. Cakupan ancaman terhadap sistem pun meluas karena sistem perusahaan yang semakin terdistribusi hingga meliputi sistem-sistem pada pelanggan dan mitra bisnis. Ini membuat target sistem yang harus dipantau semakin luas dan kompleks. Di sinilah letak dilema keamanan siber saat ini, karena serangan siber yang baru akan terus tercipta dan korban akan terus berjatuhan.

Seiring dengan meningkatnya skala kecepatan dan penyebaran insiden keamanan informasi, penting bagi perusahaan untuk menerapkan langkah-langkah keamanan sejak awal. Terutama  hal-hal seperti pelatihan karyawan secara rutin dan pembuatan sistem yang dapat mendeteksi & mengantisipasi terjadinya kasus serangan siber.

Kerugian yang diakibatkan suatu insiden keamanan sangat besar. Rata-rata uang tebusan yang diminta saat adanya serangan siber adalah sekitar $2,2 juta atau Rp33 miliar menurut suatu penelitian. Ini pun hanya sebagian kecil dari total kerugian yang terjadi ketika serangan terjadi. Belum lagi hilangnya peluang bisnis dan reputasi, yang pastinya akan membahayakan kelangsungan bisnis. Makin tingginya kesadaran mengenai pentingnya keamanan informasi, orang-orang semakin enggan untuk berbisnis atau menggunakan layanan dari perusahaan yang mengalami serangan siber. Bocornya informasi membuat orang lebih rentan terhadap serangan phishing. Kita biasa mendapat SMS, pesan WhatsApp, dan email berisi penipuan setiap harinya. Sering, kita dapat langsung tahu tentang phishing tersebut. Namun bayangkan jika penyerang ini menyamar sebagai kerabat, rekan kerja, atau atasan kita, apakah kita tetap bisa yakin untuk tidak bereaksi dan menjadi korban?

Pemerintah Indonesia pun baru menetapkan undang-undang perlindungan data pribadi yang mengharuskan setiap organisasi untuk menerapkan langkah keamanan yang baik. Jika tidak, akan ada hukuman berat termasuk penjara dan juga hukuman denda berjumlah besar hingga 2% dari total pendapatan sebelum pajak dari tahun sebelumnya3.

Jadi, apa yang harus dilakukan untuk memastikan keamanan organisasi kita? Kita tidak bisa cuma mengandalkan solusi-solusi seperti software antivirus, firewall, dan lainnya. Statistik menunjukkan bahwa software antivirus hanya berhasil mendeteksi malware sekitar 20% sampai 30%. Firewall, meskipun dapat memblokir ancaman dari luar, tapi kurang efektif dalam melindungi ancaman dari dalam, baik dari orang internal maupun dari penyerang yang sudah dapat akses ke dalam jaringan melalui phishing email dan website.

Ditambah lagi, kalau pun kita berhasil menerapkan mekanisme keamanan yang baik untuk melindungi diri dari serangan secara langsung, masih ada jenis kerentanan lain terhadap serangan tidak langsung atau yang dikenal dengan supply chain attack. Penyerang tidak akan membuang waktu untuk mencoba meretas sistem yang terlindungi dengan baik. Sebaliknya, mereka akan menyerang target melalui organisasi lain yang kurang aman dan memiliki koneksi ke sistem target. Organisasi seperti grup atau anak perusahaan, mitra bisnis, vendor, atau bahkan pelanggan. Hal ini terjadi karena adanya kepercayaan di antara organisasi-organisasi tersebut. Sayangnya, kepercayaan seperti inilah yang menjadi ancaman utama. Karena itu, kita tidak bisa hanya mengandalkan mekanisme untuk melindungi dari ancaman eksternal saja. Pendekatan yang komprehensif dan berbeda sangat diperlukan untuk meningkatkan keamanan perusahaan secara keseluruhan.

Tentunya tidak ada satu solusi yang dapat menangani semua masalah keamanan siber. Kita harus menilai keamanan dan resiko terlebih dahulu dan menentukan mekanisme yang paling cocok dengan operasional di perusahaan kita. Di artikel mendatang, kami akan memberikan informasi dalam berbagai topik yang dapat memberi wawasan tentang meningkatkan keamanan siber Anda. Jika tertarik dan ingin tahu lebih banyak, Anda dapat melakukan voting sekarang untuk topik ancaman siber yang Anda ingin pelajari! Klik di sini untuk informasi lebih lanjut, dan pilih sekarang!