Biaya dari Pelanggaran Data untuk sebuah perusahaan bisa sangat besar, baik secara langsung, akibat tindakan hukum dan regulasi, maupun secara tidak langsung melalui kehilangan reputasi dan pelanggan. Setiap CISO (Chief Information Security Officer) tentu sudah sangat menyadari hal ini, dan tidak mengherankan jika perusahaan besar adalah yang paling mungkin berinvestasi besar dalam sumber daya dan teknologi untuk mencegah insiden semacam itu. Namun, meskipun telah ada investasi besar, tahun demi tahun kita masih mendengar tentang pelanggaran data besar lainnya yang mempengaruhi jutaan orang dan menghabiskan miliaran dolar.
Pertama, Bagaimana Pelanggaran Data Terjadi?
Kelemahan utama yang menyebabkan pelanggaran data adalah kompleksitas sistem perusahaan dan kesalahan manusia yang terjadi saat merancang, memelihara, dan menggunakan sistem tersebut selama siklus hidup sistem. Semakin besar dan kompleks sistemnya, semakin sulit untuk menjaga keamanannya secara terus-menerus. Dan semakin besar perusahaan, semakin besar pula kemungkinan pihak jahat tertarik untuk mengakses data sensitif perusahaan. Sebuah kelemahan kecil dapat memicu reaksi berantai – seperti satu bilah kipas pesawat yang sedikit rusak bisa terlepas dan merusak mesin lainnya, yang akhirnya membunuh semua orang di dalam pesawat.
Alat keamanan siber saat ini sangat mendalam dan efektif. Lingkup produk keamanan yang tersedia mencakup setiap aspek infrastruktur perusahaan: cloud, server lokal, jaringan, endpoint, IoT, dan lainnya. Mereka menyediakan pengujian, pencegahan, deteksi, dan reaksi. Namun, semua alat ini harus diterapkan dan dipelihara dengan benar oleh manusia, dan bahkan ahli keamanan pun bisa melakukan kesalahan. Hampir semua pelanggaran besar dalam sejarah, meskipun diatur oleh penyerang canggih seperti organisasi spionase asing, pada akhirnya disebabkan oleh kesalahan manusia yang sederhana. Kesalahan semacam ini sering kali terkait dengan langkah-langkah keamanan yang tidak memadai, kurangnya ketelitian dalam pemeliharaan, atau terjebak dalam trik rekayasa sosial yang canggih.
Berikut adalah beberapa pelanggaran data perusahaan terbesar dalam sejarah dan cerita di baliknya.
Yahoo! – Cukup dengan satu klik
Yahoo! muncul dalam daftar pelanggaran terbesar beberapa kali, menjadi contoh terbaik bahwa perusahaan teknologi tinggi sama rentannya dengan perusahaan dari sektor lain – atau bahkan lebih rentan, karena begitu banyak aset yang harus terekspos secara publik. Pelanggaran Yahoo! 2014 bukan hanya yang terbesar, yang memengaruhi hingga 500 juta orang, tetapi juga yang paling menarik dari sudut pandang teknologi. Hal ini karena longsoran yang menyebabkan pelanggaran dimulai dengan satu email spear phishing sederhana, yang menunjukkan dengan jelas bagaimana satu kesalahan manusia kecil dapat menghabiskan biaya perusahaan hingga miliaran dolar.
Satu klik salah oleh satu karyawan memungkinkan penyerang untuk mendapatkan akses ke dalam jaringan internal, berpindah dari mesin endpoint ke server, dan akhirnya memperoleh akses ke database pengguna dan alat manajemennya. Fakta yang paling menakutkan tentang serangan ini adalah bahwa hal itu bisa terjadi pada siapa saja – sangat sulit untuk menjamin bahwa setiap karyawan di organisasi akan cukup hati-hati untuk tidak terjebak dalam serangan rekayasa sosial yang dipersiapkan dengan baik. Dan, yang lebih buruk lagi, perangkat lunak keamanan endpoint dan email yang biasa, seperti antivirus dan alat anti-phishing, tidak mampu menangani serangan spear phishing, yang dipersiapkan secara individu menggunakan alat kustom dan hampir tidak terdeteksi.
Equifax – Beberapa kegagalan kecil berujung pada tragedi
Pelanggaran Equifax 2017, yang memengaruhi 143 juta orang, adalah cerita menarik lainnya untuk dipelajari. Pelanggaran ini menunjukkan bagaimana beberapa kelemahan keamanan kecil yang digabungkan dapat memungkinkan penyerang yang terampil untuk meningkatkan kehadiran mereka dalam sistem target hingga hampir menguasai seluruh sistem. Jika ada yang bisa kita pelajari dari Equifax, itu adalah bahwa bukan hanya pengguna akhir yang membuat kesalahan keamanan yang serius – seluruh rangkaian peristiwa ini merupakan hasil dari kegagalan langkah-langkah keamanan.
Serangan ini, yang kemungkinan besar diatur oleh kekuatan spionase China, dimulai dengan kegagalan petugas keamanan yang bertanggung jawab untuk patching perangkat lunak server. Portal pengaduan konsumen menjalankan versi server aplikasi web yang memiliki kerentanannya yang sudah dikenal – yang bisa diperbaiki dengan menerapkan patch keamanan yang disarankan, dan yang dapat ditemukan dengan pemindaian keamanan sederhana.
Kegagalan berikutnya adalah kurangnya segmentasi sistem dan menyimpan kata sandi akses sistem dalam file teks sederhana. Praktik ini, sayangnya, sangat umum di kalangan banyak administrator server, yang salah menganggap bahwa hanya pengguna yang sah yang bisa mengakses server mereka dan oleh karena itu membuat hidup mereka lebih mudah dengan menyimpan kredensial akses sistem dalam file yang tidak aman. Praktik ini sebetulnya mudah dideteksi dengan perangkat lunak DLP (Data Loss Prevention) – akses pengguna ke file yang berisi pola yang mudah dikenali seperti nama pengguna dan kata sandi yang disimpan dalam teks terbuka, tidak hanya akan dicegah tetapi juga langsung memicu alarm akses yang tidak tepat.
Capital One – Bukan hanya mata-mata asing
Sementara dua pelanggaran data sebelumnya diatur oleh kekuatan asing, yang menyewa tim spesialis yang terlatih dan terbiayai dengan baik, ini ternyata bukan skenario yang paling umum dengan pelanggaran data besar. Beberapa pelanggaran terbesar justru disebabkan oleh amatir atau ditemukan oleh ahli keamanan “white-hat” (pihak baik) sebelum ada pihak yang bisa memanfaatkan informasi sensitif tersebut. Contohnya adalah serangan Capital One, yang disebabkan oleh seseorang tanpa niat jahat yang hanya ingin membuat kesan pada teman-temannya.
Kasus Paige Thompson adalah contoh bagaimana dia hampir menjadi model buku teks dari seseorang yang menyebabkan kerusakan besar karena kombinasi keadaan. Pertama, dia adalah ancaman internal, seorang mantan karyawan Amazon, dan Capital One menggunakan layanan Amazon untuk menyimpan data sensitif mereka. Kedua, Paige sedang mengalami masalah kesehatan mental dan perjuangan identitas gender, yang membuatnya lebih cenderung mencari validasi teman dan membuat penilaian buruk. Akibatnya, tindakannya terburu-buru dan emosional, tetapi beruntung baginya, hal itu tidak menyebabkan dia menghabiskan sisa hidupnya di penjara.
Apakah ada harapan untuk mencegah pelanggaran data?
Harapan terbaik Anda untuk membantu mencegah pelanggaran data di organisasi Anda adalah dengan belajar dari kesalahan yang dilakukan oleh orang lain. Tiga pelanggaran besar ini menunjukkan banyak kesalahan umum seperti kepercayaan berlebihan pada personel keamanan dan kurangnya perlindungan terhadap beberapa celah permukaan serangan keamanan siber. Tidak ada satu solusi keamanan all-in-one dari perusahaan keamanan terkemuka yang dapat menutupi semua celah yang perlu Anda tutup. Hanya program keamanan yang dirancang dengan baik yang dapat membantu Anda memastikan bahwa Anda tidak memiliki celah seperti kurangnya perangkat lunak DLP untuk melindungi endpoint Anda.
Pendekatan terbaik untuk menghindari pelanggaran data adalah dengan mengikuti prinsip zero trust – bukan hanya zero trust networking atau aplikasi zero trust, tetapi juga program keamanan zero trust. Meskipun personel keamanan Anda kemungkinan besar melakukan yang terbaik untuk memastikan pelanggaran tidak terjadi, mereka juga manusia dan bisa membuat kesalahan. Oleh karena itu, memantau dan memeriksa ulang kegiatan mereka bukanlah tanda bahwa Anda tidak cukup percaya pada mereka, tetapi lebih merupakan tanda niat Anda untuk berinvestasi dengan benar dalam keamanan Anda serta keamanan pelanggan dan mitra Anda.
