Pelajaran Keamanan Siber dari 3 Pelanggaran Publik

KOMENTAR

Statistik memberikan gambaran yang jelas – ada lebih dari 9.000 insiden dunia maya dilaporkan hanya dalam paruh pertama tahun 2024, yang berarti hampir satu serangan baru setiap jamnya.

Meningkatnya risiko ini telah menjadikan keamanan siber sebagai prioritas utama dalam strategi bisnis. Menurut sebuah studi oleh Accenture96% CEO mengidentifikasi keamanan sebagai hal yang penting bagi pertumbuhan perusahaan mereka, sehingga mendorong investasi berkelanjutan. Namun, terlepas dari upaya-upaya tersebut, 74% dari mereka menyatakan kekhawatiran mengenai kemampuan mereka untuk memitigasi atau menahan serangan siber secara efektif karena meningkatnya kompleksitas ancaman. Insiden keamanan tingkat tinggi memberikan contoh kerentanan umum dan menyoroti strategi bagi bisnis untuk menghindari serangan canggih.

1. Pentingnya Kebijakan Kata Sandi

Mempertahankan kebijakan kata sandi yang kuat sangat penting bagi semua organisasi. Kebijakan tipikal harus mewajibkan panjang minimum delapan (lebih baik 12) karakter, menggabungkan huruf, angka, dan simbol khusus. Memperbarui kata sandi secara berkala juga merupakan praktik yang diterima secara luas.

Namun, pengalaman menunjukkan kepada kita bahwa kepatuhan terhadap pedoman hanyalah salah satu bagian dari persamaan. Di Sigma Software Group, kami menekankan pentingnya pembuatan kata sandi yang bijaksana, mendorong tim kami untuk menghindari pola yang mudah ditebak, seperti “Musim Semi 2024!” atau “Musim Panas 2024!” Pola pikir proaktif ini membantu menumbuhkan budaya kesadaran keamanan, yang sangat penting untuk mencegah pelanggaran kata sandi – sebuah tren mengkhawatirkan yang mempengaruhi individu dan organisasi.

Kerusakan: Contoh mencolok dari kerentanan ini terjadi pada tahun 2020 ketika peretas etis asal Belanda, Victor Gevers tebakan kata sandi Twitter kandidat saat itu Donald Trump pada upaya kelimanya. Kata sandinya, “maga2020!” – yang mengacu pada slogan kampanye Trump “Make America Great Again” – menyoroti kesenjangan keamanan yang signifikan. Gevers mengklarifikasi bahwa niatnya bukan untuk mencuri informasi sensitif namun untuk meningkatkan kesadaran tentang risiko keamanan online. Dia menganjurkan langkah-langkah keamanan online yang lebih kuat, termasuk protokol kata sandi yang rumit, otentikasi dua faktor, dan manajemen kata sandi yang efektif.

Pelajarannya: Dengan mengadopsi pendekatan komprehensif terhadap perlindungan kata sandi, organisasi dapat memitigasi risiko secara signifikan dan memperkuat postur keamanan siber mereka secara keseluruhan.

2. Otentikasi Multifaktor Mencapai Batasnya

Otentikasi multifaktor (MFA) pernah dipuji sebagai lompatan besar dalam bidang keamanan. Dengan mewajibkan lapisan verifikasi tambahan — seperti kata sandi, token perangkat keras, atau pemindaian biometrik — MFA secara signifikan meningkatkan penghalang bagi akses tidak sah. Namun, meskipun MFA menambahkan perlindungan, MFA masih jauh dari sempurna.

Pertimbangkan skenario ketika pengguna kehilangan ponsel dan laptopnya secara bersamaan. Mendapatkan kembali akses ke akun penting sering kali melibatkan menghubungi dukungan TI untuk memverifikasi identitas mereka – sebuah pendekatan yang tampaknya aman tetapi memiliki kelemahan, seperti yang dialami oleh raksasa game EA Games.

Kerusakan: Pada bulan Juli 2021, EA Games menderita pelanggaran signifikan karena bypass MFA yang cerdas. Peretas menggunakan cookie curian yang berisi kredensial login karyawan untuk menyusup ke saluran Slack perusahaan. Dengan meniru identitas karyawan tersebut, mereka menghubungi dukungan TI, mengklaim bahwa mereka kehilangan ponsel di sebuah pesta dan memerlukan token autentikasi multifaktor baru. Ini rekayasa sosial taktik berhasil, memberi mereka akses ke jaringan perusahaan EA.

Hasilnya sangat buruk. Peretas mencuri 780 GB data sensitif, termasuk kode sumber FIFA 21, mesin Frostbite, dan berbagai alat pengembangan internal. Data ini telah dijual di forum bawah tanah.

Pelajarannya: Meskipun EA mengonfirmasi bahwa tidak ada data pemain yang disusupi, insiden tersebut mengungkap kerentanan dalam protokol keamanannya. Sejak saat itu, EA telah mengakui betapa parahnya pelanggaran tersebut dan telah memperkuat pertahanannya untuk mencegah kejadian serupa di masa depan.

3. Manusia Hanyalah Manusia

Bahkan sistem keamanan paling canggih pun tidak kebal terhadap kerentanan. Kesalahan yang tampaknya kecil dapat menimbulkan risiko yang signifikan, terlepas dari kecanggihan alat atau protokol yang ada.

Kerusakan: Contoh yang relevan datang dari Estonia, di mana para insinyur menerapkan praktik terbaik saat mengembangkan kartu identitas digital nasional. Sayangnya, terjadi kesalahan selama proses ini kelemahan keamanan kritis mempengaruhi lebih dari 750.000 pemegang kartu.

Masalah ini terutama berasal dari produsen kartu, Gemalto. Antara tahun 2014 dan 2017, pihak berwenang Estonia menemukan kerentanan besar dalam perpustakaan kriptografi yang bertanggung jawab atas pembuatan kunci pribadi. Cacat ini menciptakan potensi pencurian identitas, namun Gemalto gagal segera memberi tahu pemerintah. Akibatnya, pejabat Estonia harus mengambil tindakan darurat dengan menangguhkan penggunaan sertifikat digital pada kartu yang terkena dampak. Situasi ini menimbulkan litigasi, yang menghasilkan penyelesaian dimana Gemalto setuju untuk membayar €2,2 juta sebagai kompensasi.

Kerentanan tambahan muncul dari praktik pengelolaan kartu identitas. Gemalto membuat kunci pribadi di luar chip aman dan menggunakan kembali kunci yang sama di beberapa pemegang kartu. Pengawasan ini memungkinkan adanya potensi peniruan identitas — meskipun, untungnya, tidak ada penyalahgunaan identitas yang dilaporkan. Para ahli Estonia dengan cepat mengidentifikasi dan memperbaiki masalah ini, memastikan bahwa ancaman terhadap identitas digital masih bersifat teoritis.

Pelajarannya: Kerangka kerja keamanan yang kuat saja tidak cukup; unsur kemanusiaan juga harus diperhatikan. Untuk memitigasi potensi risiko yang terkait dengan kesalahan manusia, organisasi harus menerapkan strategi yang meningkatkan pengawasan dan ketahanan. Hal ini termasuk memberikan pelatihan staf yang komprehensif untuk meningkatkan kesadaran keamanan, melakukan audit keamanan rutin terhadap sistem internal dan penyedia pihak ketiga, dan menetapkan protokol keamanan yang jelas yang memberdayakan karyawan untuk mengenali dan mengatasi potensi masalah keamanan.

Pendeknya

Tema yang berulang dalam studi kasus ini adalah dampak kesalahan manusia. Ketika keamanan siber menjadi lebih kompleks, jalan pintas – seperti menggunakan kata sandi sederhana atau melewati MFA – sering kali menciptakan kerentanan yang dapat dieksploitasi oleh penyerang.

Tantangan utama dan terbesar dalam keamanan siber terletak pada keseimbangan antara penerapan kontrol keamanan yang kuat dan menjaga kenyamanan pengguna.

Keamanan siber merupakan proses yang berkelanjutan, bukan perbaikan yang terjadi satu kali saja. Tidak ada satu alat pun yang dapat memberikan perlindungan menyeluruh, sehingga pendekatan pertahanan berlapis, dimana langkah-langkahnya saling melengkapi, adalah strategi paling efektif untuk memitigasi risiko dan tetap terdepan dalam menghadapi ancaman yang terus berkembang.