Teknogav.com – Usaha Mikro, Kecil dan Menengah banyak yang merasa bisnisnya tetap aman tanpa solusi keamanan siber. Mereka merasa kemungkinkannya kecil untuk dijadikan sasaran para penjahat siber. Namun, laporan studi terkini justru menunjukkan bahwa hampir 46% serangan siber menjadikan UMKM sebagai sasaran. Data Forum Ekonomi Dunia menunjukkan bahwa 95% pelanggaran keamanan siber merupakan akibat kesalahan manusia.

Statistik tersebut menunjukkan bahwa kemungkinkan UMKM tak menyadari bahwa karyawan mereka dapat secara sengaja maupun tak sengaja membahayakan kesejahteraan perusahaan. Beberapa kelalaian karyawan dapat menimbulkan kerugian keuangan, reputasi atau bahkan penurunan produktivitas seluruh bisnis.

Kecerobohan Karyawan

Kaspersky melakukan survei dengan melakukan wawancara kepada lebih dari 3.000 manajer keamanan TI di 26 negara. Hasil survei tersebut dituangkan dalam laporan Kaspersky 2022 IT Security Economics. Data laporan tersebut menunjukkan bahwa sekitar 22% kebocoran data di sektor UMKM disebabkan oleh karyawan. Proporsi yang hampir sama sebagai penyebab serangan siber menjadikan karyawan sama berbahayanya dengan peretas. Dalam banyak kasus, tentu saja ini terjadi akibat kecerobohan atau kurangnya kesadaran karyawan.

Baca juga: Laporan Kaspersky Ungkap UMKM Masih Menjadi Sasaran Empuk Penjahat Siber 

Terkadang berbagai tindakan karyawan secara tak disengaja dapat menimbulkan pelanggaran keamanan serius dan membahayakan keamanan sektor UMKM. Berikut ini adalah beberapa kelengahan karyawan tersebut:

• Lemahnya kata sandi atau penggunaan kata sandi sederhana oleh karyawan sehingga mudah diretas penjahat siber. Peretasan tersebut pada akhirnya dapat menyebabkan akses tidak sah ke data sensitif. Daftar kata sandi yang paling banyak diretas bahkan tersedia secara umum. Periksa daftar tersebut untuk memastikan kata sandi yang digunakan tak termasuk di dalam daftar tersebut.
• Ketidaksengajaan mengklik tautan phishing di email sehingga menimbulkan infeksi malware dan akses tidak sah ke jaringan. Sebagian besar scammer dapat meniru alamat email sehingga mirip alamat email perusahaan yang resmi. Lampiran dokumen atau arsip di dalam email tersebut merupakan sampel malware. Contoh terkini adalah serangan Agen Tesla yang mempengaruhi pengguna di seluruh dunia.

  Contoh email massal yang berbahaya

Baca juga:  UMKM Perlu Mewaspadai 5 Ancaman Ini di Tahun 2023

• Penggunaan perangkat pribadi yang tak memiliki perlindungan memadai terhadap serangan siber untuk terhubung ke jaringan perusahaan. Saat pandemi, Kebijakan Bring Your Own Device (BYOD) mendapatkan momentum yang lebih besar. Staf di sektor non-esensial banyak yang bekerja dari rumah, sementara keberlangsungan bisnis lebih diprioritaskan manajer perusahaan ketimbang keamanan. Lebih dari 400 ribu program berbahaya baru muncul setiap hari, dan jumlah serangan yang menargetkan perusahaan terus bertambah. Sementara itu sebagian besar perusahaan tidak berencana memblokir perangkat pribadi agar tak dapat mengakses data perusahaan sepenuhnya.

“Sejumlah perusahaan mengizinkan karyawan untuk bekerja di kantor hanya dengan PC yang disetujui dengan kemampuan pengiriman data sangat terbatas dan larangan menggunakan flash drive USB. Pendekatan ini, pada kenyataannya, tidak akan berhasil di perusahaan yang digerakkan oleh BYOD.  Pertama, karyawan menggunakan komputer mereka sendiri untuk fleksibilitas lebih besar; tetapi ini tidak berarti bahwa keamanan terganggu. Solusi ideal untuk masalah kehilangan perangkat adalah enkripsi data perusahaan sebagian atau secara penuh, yang didukung oleh kebijakan. Melalui cara ini, meskipun laptop atau Drive USB telah dicuri, data di dalamnya tidak akan dapat diakses tanpa kata sandi,” ucap Adrian Hia, Managing Director Kaspersky untuk Asia Pasifik.

Baca juga: Serangan Web dan Pencuri Password Bidik UMKM di Asia Tenggara

• Tidak menerapkan patch atau pembaruan ke sistem dan perangkat lunak secara rutin, sehingga membuka celah yang dapat dieksploitasi penjahat siber. Hal ini dapat terjadi jika karyawan menggunakan perangkat pribadi, dan staf TI tidak dapat memantau keamanan perangkat. Jika terjadi masalah keamanan di perangkat tersebut, kemungkinkan staf TI pun tak dapat mengatasinya.
• Tidak menyiapkan cadangan data yang dapat mendukung pemulihan informasi terenkripsi jika terjadi serangan ransomware. Cadangan data dapat memberi akses ke informasi yang dibutuhkan perusahaan jika penjahat siber mengambil alih sistem perusahaan.
• Ketidaksengajaan memberikan informasi sensitif seperti nama pengguna dan kata sandi untuk login, atau data rahasia lainnya. Hal ini dapat terjadi ketika karyawan menanggapi jurus rekayasan sosial atau penipuan phishing yang dilancarkan penjahat siber. Biasanya karyawan baru yang tidak mengetahui kebiasaan perusahaan lebih mudah ditipu. Misalnya, penipu berpura-pura menjadi atasan si pendatang baru tersebut. Kemudian penjahat siber tersebut mencuri beberapa informasi penting mengenai perusahaan atau melakukan pemerasan uang.

Salah satu contoh cara scammers beroperasi adalah dengan mengirimkan email yang menyamar sebagai atasan atau seseorang yang lebih senior. Isi email tersebut meminta karyawan melakukan tugas "segera" atau mendesak yang biasanya dituruti oleh karyawan baru. Tugas tersebut kemungkinkan seperti mentrasfer dana ke kontraktor atau membeli voucher hadiah dengan nilai tertentu. Pesan tersebut ditekankan dengan kalimat ‘harus dilakukan dengan cepat’ atau ‘Anda akan dibayar kembali pada penghujung hari’. Penipu berusaha tidak memberi waktu kepada karyawan untuk berpikir atau memeriksa ulang dengan orang lain.

Serangan siber dapat dilancarkan akibat beberapa kecerobohan karyawan yang dipaparkan di atas. Namun, ada juga kemungkinan karyawan sengaja merusak keamanan perusahaan saat bekerja atau setelah berhenti kerja.

Balas Dendam Karyawan

Hasil survei mengungkapkan bahwa manajer keamanan mengakui 36% kebocoran yang dipicu karyawan merupakan tindakan sabotase atau spionase yang disengaja. Contohnya adalah ketika pemasok perangkat medis menyabotase pengiriman ke pelanggan. Setelah dipecat dari entitasnya, eksekutif layanan kesehatan dapat menggunakan akun rahasia untuk menunda proses pengiriman. Proses bisnis pun terpaksa ditutup sementara karena perusahaan layanan kesehatan tidak bisa mengirim persediaan tepat waktu. Interupsi tersebut terus berlanjut, bahkan berbulan-bulan setelahnya. Akhirnya, perusahaan pun terpaksa menghubungi lembaga penegak hukum.

Contoh kasus lainnya adalah ketika seorang mantan karyawan TI mengajukan keluhan diskriminasi rasial terhadap suatu organisasi. Setelah ditawarkan untuk relokasi, dia menolak; bekerja dari jarak jauh adalah salah satu syarat utamanya. Akibatnya, dia dipecat, lalu dia pun memutuskan untuk membalas dendam dengan mengubah kata sandi akun Google perusahaan. Dia juga menolak akses email mantan rekannya, dan memblokir lebih dari 2.000 siswa untuk menerima materi pelajaran. Beberapa contoh tersebut menunjukkan bahwa balas dendam mantan karyawan dapat menimbulkan kerugian nyata bagi perusahaan yang mempekerjakan mereka sebelumnya.

Tips Keamanan Siber bagi UMKM

Tingginya insiden siber yang disebabkan karyawan menunjukkan bahwa semua organisasi membuthkan pelatihan kesadaran keamanan siber yang menyeluruh. Upaya ini penting untuk mengajari staf cara menghindari kesalahan keamanan umum.

“Bisnis harus menggunakan perlindungan titik akhir dengan kemampuan deteksi dan reaksi ancaman untuk mengurangi risiko serangan dan pelanggaran data. Layanan perlindungan terkelola juga akan membantu organisasi dengan investigasi serangan dan reaksi profesional. Pelatihan kesadaran keamanan siber menyeluruh untuk mengajarkan cara mencegah ancaman umum juga diperlukan. Hal ini dibutuhkan untuk mengurangi kemungkinan insiden yang disebabkan oleh karyawan,” lanjut Adrian.

Kaspersky memberikan beberapa tips berikut ini untuk meyakinkan perusahaan bahwa keamanan siber di perusahaan dapat berjalan dengan baik:

• Gunakan solusi perlindungan untuk titik akhir dan server email dengan kemampuan anti-phishing, untuk mengurangi kemungkinan infeksi melalui email phishing
• Lakukan perlindungan data dan perangkat perusahaan dengan mengaktifkan perlindungan kata sandi, mengenkripsi perangkat kerja dan memastikan pencadangan data
• Jaga keamanan perangkat secara fisik, jangan meninggalkan tanpa pengawasan di tempat umum. Kunci dan gunakan kata sandi yang kuat, serta pasang perangkat lunak enkripsi.
• Perusahaan kecil juga harus melindungi diri dari ancaman siber, terlepas pengguanan perangkat perusahaan atau pribadi oleh karyawan. Kaspersky Small Office Security dapat diinstal dari jarak jauh dan dikelola dari cloud. Layanan tersebut tidak memerlukan banyak waktu, sumber daya, atau pengetahuan khusus untuk penerapan dan pengelolaan.
• Gunakan solusi khusus untuk usaha kecil dan menengah yang disertai manajemen sederhana dan fitur perlindungan yang terjamin. Salah satu solusi yang dapat digunakan adalah Kaspersky Endpoint Security Cloud. Bisa juga mendelegasikan pemeliharaan keamanan siber ke penyedia layanan yang dapat menawarkan perlindungan khusus.

Demikianlah beberapa tips dari Kaspersky agar pelaku UMKM dapat senantiasa mengamankan bisnisnya dari ancaman siber.