Dalam setiap organisasi, baik kecil maupun besar, kebijakan keamanan selalu dibangun berdasarkan edukasi dan kesadaran karyawan. Namun, kenyataannya manusia tetap menjadi titik terlemah dalam keamanan siber. Tidak peduli seberapa canggih teknologi yang digunakan, kesalahan manusia masih sering menjadi penyebab utama kebocoran data.
Pelatihan keamanan memang penting, tetapi efektivitasnya di dunia nyata sering kali dilebih-lebihkan. Bahkan, dengan berkembangnya teknologi AI (kecerdasan buatan), pelatihan seperti ini justru bisa menjadi semakin kurang efektif.
Pelatihan keamanan yang kurang efektif
Saat ini, hampir semua proses pelatihan dilakukan secara digital. Banyak perusahaan menganggap “pelatihan” hanya sebatas menonton video, membaca sedikit materi, lalu mengerjakan kuis pilihan ganda. Jika gagal, peserta bisa mengulang sampai lulus. Akhirnya, semua orang pasti lulus, meskipun sebenarnya tidak benar-benar memahami materinya.
Hal ini terjadi karena perusahaan tidak ingin menghambat produktivitas karyawan baru dengan pelatihan yang terlalu lama. Selain itu, banyak pelatihan dilakukan hanya untuk memenuhi persyaratan regulasi seperti GDPR, PCI DSS, atau HIPAA, bukan benar-benar untuk meningkatkan pemahaman.
Akibatnya, jika karyawan diuji kembali tentang keamanan siber, banyak yang tidak mampu menjawab dengan baik. Ini wajar, karena mereka bukan ahli keamanan siber, melainkan profesional di bidang lain seperti keuangan atau HR.
Hal yang sama juga terjadi pada simulasi phishing (email penipuan). Banyak perusahaan melakukan simulasi ini secara rutin, tetapi sering kali dibuat terlalu mudah sehingga hasilnya terlihat bagus di laporan. Jika ada karyawan yang gagal, biasanya tidak ada konsekuensi serius. Mereka hanya diminta mengulang pelatihan sederhana yang kemungkinan besar akan segera dilupakan.
Padahal, jika itu adalah serangan phishing yang nyata, dampaknya bisa sangat besar bagi perusahaan.
Cukup satu korban saja
Sebagian besar ancaman keamanan siber menyerang manusia, bukan sistem. Teknik ini disebut social engineering, yaitu upaya memanipulasi karyawan agar memberikan akses atau informasi penting.
Teknik ini sudah ada sejak lama. Bahkan sejak tahun 1980-an, peretas terkenal Kevin Mitnick sudah menunjukkan betapa mudahnya menipu karyawan untuk mendapatkan akses ke sistem. Sampai sekarang, meskipun teknologi sudah sangat maju, metode ini masih efektif.
Penyerang biasanya memiliki dua strategi: menyerang banyak orang dengan metode umum (seperti phishing massal), atau menyerang satu target dengan cara yang lebih personal (seperti spear phishing). Meskipun serangan massal terlihat sederhana dan kadang tidak meyakinkan, tetap saja ada orang yang akan tertipu.
Dan yang perlu diingat, penyerang hanya membutuhkan satu korban untuk menyebabkan kerusakan besar.
Pelatihan memang bisa mengurangi risiko, tetapi tidak bisa menghilangkannya sepenuhnya. Menurut laporan, tanpa pelatihan, sekitar 33% karyawan cenderung mengklik email phishing. Setelah pelatihan rutin selama satu tahun, angka ini bisa turun menjadi sekitar 5%. Namun, pelatihan seperti ini membutuhkan biaya besar dan waktu, sehingga tidak semua perusahaan mampu melakukannya.
Phishing dan AI: ancaman baru
Sekarang kita sudah memasuki era AI seperti ChatGPT dan teknologi serupa. AI dapat membantu membuat tulisan menjadi lebih baik, mengedit gambar, bahkan membuat video.
Sayangnya, teknologi ini juga dimanfaatkan oleh pelaku kejahatan.
Contohnya adalah serangan pembajakan akun media sosial. Setelah mengambil alih akun seseorang, penyerang dapat membuat video deepfake yang terlihat sangat nyata, menggunakan wajah dan suara korban. Dalam video tersebut, korban seolah-olah mempromosikan investasi palsu.
Selain itu, penyerang juga mengirim pesan kepada teman-teman korban menggunakan bahasa asli mereka, meminta bantuan dan kode verifikasi. Banyak orang tertipu, bahkan profesional IT sekalipun.
Dengan AI, serangan phishing menjadi jauh lebih meyakinkan dan sulit dikenali. Email penipuan tidak lagi terlihat aneh atau penuh kesalahan, melainkan tampak profesional dan terpercaya.
Solusi: Data Loss Prevention (DLP)
Di dunia saat ini, berbagai jenis komunikasi seperti email, chat, telepon, hingga video call bisa digunakan untuk melakukan serangan. Maka ada dua pilihan bagi perusahaan.
Pertama, membuat semua karyawan sangat waspada dan selalu memeriksa setiap pesan secara detail. Namun, ini tidak realistis karena akan menghambat pekerjaan.
Pilihan kedua adalah menerima kenyataan bahwa kesalahan manusia pasti akan terjadi, lalu meminimalkan dampaknya.
Di sinilah peran DLP (Data Loss Prevention) menjadi penting. DLP adalah solusi keamanan yang bertujuan mencegah data sensitif keluar dari sistem, baik secara sengaja maupun tidak sengaja.
DLP bekerja dengan cara mengenali data penting, seperti nomor kartu kredit, data pribadi, atau dokumen rahasia. Jika ada upaya untuk mengirim atau menyalin data tersebut, sistem akan memblokirnya atau memberikan peringatan kepada tim keamanan.
Berbeda dengan antivirus atau firewall yang fokus pada ancaman tertentu, DLP fokus pada data itu sendiri. Jadi, meskipun serangan berhasil menipu karyawan, data tetap tidak bisa keluar.
Kesimpulan: Saatnya berinvestasi pada DLP
Jika perusahaan ingin meningkatkan keamanan di era AI, maka DLP adalah solusi yang perlu dipertimbangkan. Pelatihan tetap penting, tetapi tidak cukup untuk melindungi dari ancaman modern.
Dengan DLP, perusahaan dapat memastikan bahwa data sensitif tetap aman, bahkan jika karyawan melakukan kesalahan. Teknologi ini juga terus berkembang, misalnya dengan menggunakan machine learning untuk mengenali jenis data secara otomatis.
Selain melindungi dari serangan luar, DLP juga membantu mencegah kebocoran data dari dalam perusahaan (insider threat).
Singkatnya, daripada hanya mengandalkan pelatihan, perusahaan perlu menggabungkannya dengan teknologi yang kuat seperti DLP. Dengan begitu, risiko kebocoran data dapat diminimalkan secara maksimal di era digital yang semakin kompleks.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan endpoint protector indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi endpointprotector.ilogoindonesia.id untuk informasi lebih lanjut!
