Jika dirata-rata data biaya pelanggaran di AS akibat adanya cyber-attacks mencapai hingga US$ 3,9 juta. Dari sebagian besar penyebab terjadinya pelanggaran ini adalah ransomware. Ransomware sendiri merupakan jenis perangkat perusak yang dirancang untuk menghalangi akses atau memblokir data korban kepada sistem komputer sehingga membuat korban melakukan pembayaran.
Mengutip dari inet.detik.com, belakangan ini serangan siber berbentuk ransomware tengah meningkat. Dalam sebulan diperkiran ada ratusan serangan ransomware yang sukses di Indonesia. Serangan ini berhasil menginfeksi dan mengekripsi data di komputer korbannya.
Perusahaan perlu meningkatkan konfigurasi sistem keamanan sehingga dapat mendeteksi dan mencegah terjadinya serangan siber. Dan semua keputusan ini berada ditangan karyawan itu sendiri.
Keamanan kurang diprioritaskan dalam perusahaan
Kesadaran akan cybersecurity perlahan mulai tumbuh dalam beberapa bulan terakhir, hingga 95% karyawan saat ini sering diikutsertakan dalam pelatihan-pelatihan phishing untuk memahami email-email yang mencurigakan. Tentu saja ini jadi langkah yang baik. Karena sebagian besar serangan siber dimulai dari hadirnya email phishing yang diikuti ketidaksadaran karyawan terhadap email tersebut. Buruknya lagi, karyawan membuka kiriman email yang berupa file atau tautan yang mengandung virus.
Meskipun dapat dibantu dengan pelatihan phishing, namun, kesadaran sejumlah karyawan saat membedakan email “palsu” dan “asli” masih terbilang rendah.
Ada dua prespektif dalam melihat masalah ini, yaitu karyawan yang belum paham terhadap serangan siber, atau serangan ransomware yang semakin canggih. Atau bisa jadi kedua prespektif ini benar.
Sadar saja tidak cukup
Angka kegagalan di atas sudah membuktikan, masih terlalu banyak karyawan yang belum pernah mengubah kata sandi mereka. Dua pertiga dari karyawan masih banyak yang tidak menyertakan kata sandi ketika membuka sebuah file atau komputer.
Ini terlihat jelas bahwa program kesadaran dari serangan siber masih sangat rendah. Para trainer yang bertahun-tahun membantu meningkatkan awareness peserta training untuk mengidentifikasi email phishing, menghindari klik tautan yang mencurigakan, dan meminta untuk mengubah kata sandi seperti sia-sia.
Sebenarnya sudah banyak karyawan tahu manfaat dari menggunakan kata sandi yang kompleks, namun nyatanya karyawan masih menggunakan kata sandi yang bisa ditebak oleh hackers, seperti tanggal lahir, nama panjang, tahun lulus dari universitas dan lain sebagainya.
Masalahnya tidak hanya pada kesadaran saja, tapi ini sudah jadi kebiasan yang melekat pada karyawan itu sendiri. Karyawan bisa saja membuat kata sandi yang panjang dengan menggabungkan antara karakter dan angka yang kompleks, memang diperlukan usaha ekstra untuk menerapkannya. Tapi, semua upaya ini akan terbayar ketika karyawan konsisten menerapkan sehingga terhindar dari serangan siber.
Dalam peraturan perusahaan, karyawan mengelola banyak akun dan kata sandi yang kompleks. Disini inisitif dari perusahaan juga diperlukan, misalnya perusahaan dapat memilih menggunakan password management program. Sehingga dapat memudahkan karyawan untuk mengakses ke semua kata sandi yang disimpan.
Selain menargetkan kata sandi yang rentan, hackers juga mengandalakan serangan phishing, yaitu dengan membuat body email terlihat lebih professional dan disesuaikan pada perusahaan tertentu.
Para hackers memasukan email phishing ke dalam link yang aktif sehingga memungkinkan korbannya untuk mengklik link tersebut, jenis serangan ini dikenal dengan spearfishing. Jika targetnya adalah anggota C-suit maka disebut dengan “whale phishing”.
Menumbuhkan semangat dan kedasaran di antara karyawan
Salah satu jawaban untuk meningkatkan semangat kesadaran di antara karyawan adalah dengan melibatkan karyawan sebagai bagian dari security team. Membantu mereka untuk memahami dampak ketidakamanan yang dapat mempengaruhi proses kerja.
Melibatkan karyawan dan memberikan tanggung jawab penuh menjadi langkah positif dalam meningkatkan kemanan ketika dihadapkan pada perilaku yang mencurigakan.
Sebagian perusahaan sudah menggunakan gamifiction untuk melibatkan pengguna, sementara itu beberapa perusahaan lainnya mulai mengkampanyekan secara internal dampak negatif dari kejahatan phishing.
Apapun kegiatan kampanyenya, kunci untuk mengingkatkan keamanan perusahaan adalah dengan melibatkan karyawan. Adanya pelatihan, penggunaan alat yang tepat, dukungan dari para pemimpin perusahaan, dan security team menjadi motivasi karyawan untuk lebih aware terhadap sistem keamanan.