Terkait serangan dunia maya dan korbannya, saya sering mendengar dari mereka yang bertanggung jawab: “Kami memiliki program antivirus, firewall, dan TI kami berada pada posisi yang baik. Kami dilindungi oleh produk XYZ. Tidak ada yang pernah terjadi pada kami.” Kenyataannya adalah: masa-masa ini sudah berlalu!
Setelah penyelidikan sederhana yang dilakukan tim kami, di mana kami hampir selalu menemukan bukti serangan, banyak pelanggan yang mengira mereka berada pada posisi yang tepat menjadi kecewa. Sebab, keamanan siber bukan lagi tugas atau tanggung jawab departemen IT saja, apalagi teknologi.
Contoh-contoh serangan siber yang dipublikasikan, baik yang bersifat berlebihan maupun destruktif, telah menunjukkan bahwa mengingat ancaman dan risiko harian yang ditimbulkan oleh serangan siber, perusahaan tidak dapat lagi tidak memiliki kemampuan pertahanan operasional.
Peretasan berdasarkan prinsip penawaran dan permintaan
Kenyataannya adalah: Ada dua jenis perusahaan: perusahaan yang telah diretas dan perusahaan yang belum mengetahuinya. Tantangannya: Pelaku dunia maya telah mengembangkan kemampuan mereka secara signifikan dalam beberapa tahun terakhir karena insentif finansial dan melakukan serangan dengan lebih canggih dan kompleks dibandingkan sebelumnya. Masalahnya: Kebanyakan serangan tidak diketahui selama beberapa ratus hari.
Semua perusahaan yang memiliki data yang layak dilindungi berada dalam risiko. Dan dalam hal ini, pasar siber yang terorganisir secara profesional menentukan apa yang layak dilindungi berdasarkan prinsip penawaran dan permintaan.
Sekarang tanyakan pada diri Anda pertanyaan-pertanyaan berikut: Apakah Anda dan perusahaan Anda siap menghadapi serangan cyber modern dan memiliki posisi yang baik dalam hal ini? Jika terjadi sesuatu, apakah Anda memiliki proses, informasi yang tepat, dan yang terpenting, personel yang berpengalaman secara operasional dan kemampuan pertahanan yang diperlukan untuk merespons dengan segera dan tepat dalam keadaan darurat? Dapatkah Anda dengan cepat menilai kejahatan dan risiko yang diakibatkannya, kerusakan dan konsekuensi yang mungkin terjadi dan, jika perlu, memenuhi kewajiban pelaporan Anda?
Mayoritas perusahaan perlu mengambil tindakan dalam hal ini, namun kesulitan untuk menerapkannya. Selain meningkatnya jumlah serangan yang terstruktur, terorganisir, dan kompleks, perusahaan saat ini juga harus menghadapi tantangan kekurangan pekerja terampil.
Serangan siber menjaring miliaran penyerang setiap tahunnya
Pada tahun 2017, banyak perusahaan kembali terkena serangan siber. Kasus peretas yang paling spektakuler tentunya adalah gelombang serangan global dengan pemerasan Trojan WannaCry dan varian destruktif NotPetya. Misalnya, hal ini menyebabkan komputer di rumah sakit-rumah sakit di Inggris terhenti, dan jalur kereta api di Jerman juga terkena dampaknya. Serangan hacker dilakukan terhadap penyedia jasa keuangan AS Equifax, yang mempengaruhi 143 juta warga AS.
Ratusan ribu kasus melibatkan data sensitif seperti nomor jaminan sosial atau nomor kartu kredit. Raksasa logistik AS, Fedex, melaporkan serangan dunia maya yang melumpuhkan pengiriman dan dilaporkan menelan biaya $300 juta. Perusahaan pelayaran peti kemas terbesar di dunia, Maersk, telah melaporkan kegagalan TI global yang menggunakan ransomware untuk mengganggu operasional bandara, kapal kargo, dan bank secara besar-besaran. Para peretas juga tidak berhenti pada mata uang kripto pada tahun 2017, mencuri Bitcoin senilai sekitar $65 juta pada bulan Agustus.
Dan ini hanyalah beberapa contoh. Hal ini hampir selalu melibatkan informasi sensitif. Potensi kerusakan: hilangnya penjualan, denda akibat pelanggaran perlindungan data, biaya perbaikan jutaan, biaya audit, kerusakan reputasi dan hilangnya kepercayaan, bahkan kebangkrutan
Mengapa peretas begitu sukses?
Seorang penyerang hanya memerlukan satu pintu digital yang tidak dijaga untuk memasuki perusahaan tanpa terdeteksi. Para aktor tidak tunduk pada batasan, persyaratan atau peraturan apa pun. Anda aktif secara global, bertukar gagasan tentang peluang, perkembangan dan penemuan baru, dan berkolaborasi secara erat berdasarkan teknologi dan saluran komunikasi terkini.
Ini berarti bahwa serangan-serangan yang sangat canggih hampir tidak dapat dilawan oleh kemampuan pertahanan di sebagian besar perusahaan. Hal ini dapat dicapai khususnya melalui langkah-langkah yang tepat yang bersifat organisasional dan melalui pengembangan keterampilan manusia. Anda tidak dapat menempatkan kemampuan pertahanan di rak komputer dan menyalakannya begitu saja.
Pada akhirnya, tidak masalah apa pun jenis kerusakan atau malware yang ada. Program antivirus, misalnya, hanya menawarkan perlindungan dasar karena, seperti yang dicatat dengan tepat oleh BSI (Kantor Federal untuk Keamanan Informasi) dalam laporan terbarunya, varian malware baru dibuat lebih cepat daripada yang dianalisis.
Kelima keterampilan inti inilah yang penting
Anda menjalankan bisnis, katakanlah sebuah firma hukum. Berbahaya karena firma hukum adalah target populer para peretas. 73 persen dari 100 firma hukum terkemuka di Inggris terkena serangan siber pada tahun 2015. Tujuan para peretas: data sensitif dan informasi pelanggan yang dipersiapkan dengan baik.
Dan Anda: Anda memiliki manajer TI, firewall, dan perangkat lunak antivirus. Anda merasa berada pada posisi yang baik. Untuk pelanggan seperti itu, kami sering mencatat lebih dari satu juta upaya serangan otomatis per bulan dengan sensor kami. Ada juga ancaman yang ditargetkan, yang rinciannya tidak relevan di sini. Penting untuk dipahami: Anda bisa menjadi korban serangan paling berbahaya kapan saja, tanpa Anda sadari.
Dan sekarang? Ubah strategi Anda dari reaktif menjadi proaktif. Bertindak sebelum sesuatu terjadi.
Lima keterampilan inti permanen berikut ini perlu dipersiapkan sebaik mungkin setiap hari:
1. Penilaian/Penjelasan: Ini memungkinkan Anda mengidentifikasi dan menilai ancaman dan risiko baru terhadap perusahaan Anda. Pakar keamanan Anda harus mencari tahu tentang situasi ancaman saat ini dan celah keamanan apa pun yang telah ditemukan. Awal yang baik adalah buletin dari BSI dan Open Source Intelligence, serta umpan berita dari penyedia solusi keamanan yang lebih besar. Siapa pun yang ingin melangkah lebih jauh dapat memperoleh informasi ini dari para ahli yang disesuaikan dengan perusahaannya. Di sana kami menganalisis dengan tepat seperti apa profil ancaman dan risiko Anda sebenarnya dan jenis ancaman apa yang sangat sensitif terhadap perusahaan Anda.
2. Kustomisasi: Hal ini mencakup keputusan dan penyesuaian terhadap investasi pertahanan siber Anda untuk sistem dan tindakan pengendalian. Selain itu, terdapat kemampuan untuk mencegah, mengurangi, atau membendung risiko dan insiden keamanan yang teridentifikasi.
3. Pelacakan: Tidak ada yang namanya keamanan 100 persen. Bahkan dengan langkah-langkah keamanan dan pendekatan proaktif, Anda harus bersiap menghadapi keadaan darurat. Oleh karena itu, penting untuk dapat mendeteksi insiden keamanan secepat mungkin. Untuk dapat mengambil tindakan dari hal ini, Anda memerlukan konsep keamanan dan keterampilan yang terbukti.
4. Tanggapan: Anda harus selalu siap dan mampu menerapkan langkah-langkah keamanan tepat waktu untuk mengurangi dampak risiko nyata.
5. Pemantauan terus-menerus terhadap situasi bahaya: Kompetensi ini menggambarkan kemampuan untuk selalu memantau dan melacak situasi bahaya dan perubahannya.
Kini terdapat solusi otomatis yang mendukung semua keterampilan yang diperlukan dan menjadikan pekerjaan manusia lebih efisien, meningkatkan atau menyederhanakan komunikasi, kolaborasi, dan pertukaran informasi di seluruh kemampuan dan antarmuka di atas. Tergantung pada ukuran perusahaan, pertanyaan yang muncul adalah apakah Anda harus membentuk SOC (Pusat Operasi Keamanan) Anda sendiri atau CERT/CSIRT (Tim Tanggap Darurat Komputer/Tim Respons Insiden Keamanan Komputer) dengan bantuan eksternal, atau bergantung pada mitra untuk mengelola proses ini mengambil alih..
Siapa pun yang gagal bertindak bertanggung jawab
Ketika anggota parlemen semakin memperketat peraturan, perusahaan harus melakukan segala yang mereka bisa untuk melindungi diri mereka sendiri. Menjelaskan persyaratan dan standar peraturan internasional seperti GDPR, BAFIN, BAFIN-BAIT, MAS, ECB, FED, BSI, ISO27001, NIST, SANS di sini berada di luar cakupannya. Sebatas ini: jika Anda tidak bertindak, Anda bertanggung jawab.
Apa yang tidak selalu jelas bagi direktur pelaksana dan anggota dewan adalah bahwa mereka secara pribadi bertanggung jawab untuk menghindari bahaya.
Lihatlah melampaui batasan dan peluang perusahaan Anda. Bertukar ide dengan perusahaan lain dan dapatkan manfaat dari pakar keamanan yang berpengalaman secara eksternal serta pakar di bidangnya dan keterampilan operasional mereka yang disebut “pertahanan aktif digital” yang dikombinasikan dengan petugas pengintaian yang berpengalaman dan terspesialisasi. Para ahli ini dapat memberikan pemantauan permanen terhadap situasi bahaya.
Setidaknya sampai Anda telah membangun staf dan struktur yang diperlukan agar sesuai dengan profil bahaya dan risiko Anda. Penting: Secara organisasi, keamanan siber harus dijalankan secara terpisah dan independen dari TI serta memiliki anggaran yang memadai.
Kemampuan seperti Pertahanan Aktif Digital atau Operasi Keamanan Informasi (SecOps) kini menjadi kompetensi inti bagi setiap perusahaan (yang digerakkan oleh teknologi).
Ingatlah bahwa penyerang tidak akan menunggu sampai Anda siap melawan.