Upload File

yang diketahui oleh semua penjahat cyber: usaha berukuran ... · efek domino yang pertama ketika...

  • Home
  • Documents
  • Yang Diketahui oleh Semua Penjahat Cyber: Usaha Berukuran ... · Efek Domino yang Pertama Ketika laman atau sistem komputer mengalami serangan dan tidak dapat ... Serangan Distributed
7
Yang Diketahui oleh Semua Penjahat Cyber: Usaha Berukuran Kecil dan Menengah yang Tidak Memiliki atau Hanya Memiliki Sedikit Cybersecurity adalah Sasaran yang Ideal. Ditulis oleh: Pascal Millaire, Anita Sathe, dan Patrick Thielen

Upload: dangmien

Post on 03-Mar-2019

222 views

Category:

Documents


0 download

Report

TRANSCRIPT

Yang Diketahui oleh Semua Penjahat Cyber: Usaha Berukuran Kecil dan Menengah yang Tidak Memiliki atau Hanya Memiliki Sedikit Cybersecurity adalah Sasaran yang Ideal.Ditulis oleh: Pascal Millaire, Anita Sathe, dan Patrick Thielen

Page 1 of 5

Ketika basis data Rokenbok Education dibobol oleh pelaku kejahatan cyber, usaha kecil yang berbasis di California tersebut berupaya mati- matian menolak membayar uang tebusan untuk memulihkan basis data milik mereka. Sebagai gantinya, mereka bekerja secara manual dalam menyusun kembali sistem utama mereka dan kembali menjalankan kegiatan usahanya dalam waktu empat hari kemudian. Itu tidak berarti bahwa produsen mainan pengasah keterampilan anak-anak ini tidak kehilangan ribuan dolar dalam missed sales selama puncak musim liburan di tahun 2015. Namun Rokenbok menjalankan usahanya lebih baik daripada sejumlah usaha kecil lainnya yang menghadapi ancaman ransomware dan malware serupa - dua diantara risiko-risiko cyber lain yang tak terhitung jumlahnya - yang semakin mengancam bisnis dalam berbagai ukuran.

Faktanya 93% usaha kecil dan menengah (UKM) yang pernah mengalami kejahatan cyber melaporkan dampak yang sangat luar biasa terhadap usaha mereka. Hampir semua mengatakan bahwa uang dan tabungan mereka habis. Sebanyak 31% mengutarakan bahwa reputasi mereka telah rusak, yang menyebabkan mereka kehilangan klien, kesulitan untuk mempekerjakan karyawan baru, dan memenangkan bisnis yang baru. Dan hampir setengah dari mereka mengalami gangguan usaha terkait layanan, yang merusak kemampuan mereka untuk beroperasi. Meski demikian, kurang dari 3% dari mereka memilik asuransi cyber.

Apa Domino Efek dari Insiden- insiden Cyber?

Risiko-risiko cybersecurity merupakan tantangan unik bagi usaha-usaha kecil: frekuensi dimana ancaman- ancaman tersebut berubah menjadi insiden cybersecurity yang hebat, gangguan usaha dan dampaknya terhadap kondisi keuangan, serta terbatasnya sumber daya yang dimiliki untuk menanggulangi dan pulih dari insiden-insiden yang dialami. Hal yang awalnya kecil dapat dengan mudah membuat mereka bangkrut karena sebuah fenomena yang kita sebut "Efek Domino".

Efek Domino yang Pertama

Ketika laman atau sistem komputer mengalami serangan dan tidak dapat beroperasi secara online, penjualan secara virtual dan kemampuan untuk memproses transaksi seketika tidak dapat berfungsi. Seolah-olah seperti usaha-usaha tersebut tidak lagi menjalankan usahanya, meskipun toko-toko mereka masih buka. Akibatnya, sejumlah pelanggan dan klien akan berpindah ke toko lain, dan biasanya mereka tidak pernah kembali.

Efek Domino yang Kedua

Ketika serangan-serangan yang terjadi melibatkan pencurian informasi pribadi, seperti nomor kartu kredit, maka dampak buruk dari pemberitaan pers dan goyangnya kepercayaan pelanggan dapat melumpuhkan mereka, yang pada akhirnya menimbulkan situasi krisis.

Efek Domino yang Ketiga

Jumlah uang tebusan untuk memulihkan sistem komputer bisa bervariasi, dari beberapa ratus dolar hingga jutaan dolar. Meski keputusan untuk membayar uang tebusan biasanya dinilai per kasus (dan secara resmi tidak dianjurkan oleh FBI), tidak ada jaminan bahwa sekali uang tebusan dibayarkan maka para pelaku kejahatan cyber akan bekerja sama dan kemudian memulihkan data yang telah diretas. Selain itu, tanpa menghiraukan jenis insiden cyber yang terjadi- baik yang melibatkan uang tebusan,

kode berbahaya, atau kejadian lain baik yang berbahaya atau tidak berbahaya,

- memulihkan data digital, perangkat lunak, dan sistem komputer, bisa jadi memerlukan biaya dalam jumlah besar dan waktu yang panjang, yang dapat mempercepat kebangkrutan usaha-usaha tersebut.

Efek Domino yang Keempat

Yang terakhir, tetapi bukan yang paling ringan, adalah bahwa UKM dapat digugat untuk membayar kewajiban ketika sebuah serangan berdampak para pelanggan, vendor, pemasok atau pihak ketiga lainnya. Proses pembelaan terhadap gugatan tersebut seringkali membutuhkan biaya besar serta waktu yang lama, bagaimana pun hasil akhirnya. Hal ini adalah efek lain serangan cyber yang bisa menjadi akhir dari suatu usaha.

Page 2 of 5

Secara signifikan, lebih dari setengah serangan cyber ditujukan kepada UKM, dan angka tersebut terus- menerus meningkat.

Kenapa SME Menjadi Sasaran?

Melihat pada semua akibat yang lazim terjadi di atas, pertanyaan logis yang perlu diajukan adalah: mengapa UKM tidak mengambil langkah untuk melindungi diri mereka secara lebih baik? Terdapat dua alasan mengapa mereka tidak melakukannya.

Alasan Pertama

Memiliki ketakutan terhadap suatu risiko yang pernah Anda atau seseorang yang dekat dengan Anda alami merupakan hal yang manusiawi. Meskipun serangan cyber seringkali menjadi berita-berita utama, tetapi yang menjadi berita-berita besar adalah serangan yang menimpa perusahaan-perusahaan berukuran besar. Ancaman cyber tidak dirasakan secara nyata oleh sebagian besar UKM, tetapi realita yang sebenarnya adalah: secara signifikan, lebih dari setengah serangan cyber ditujukan kepada UKM, dan angka tersebut terus-menerus meningkat.

Yang dicari oleh pelaku kejahatan cyber saat mereka melakukan pengamatan di internet untuk mencari sasaran-sasaran baru adalah usaha yang dapat diretas dengan mudah.

Mereka seringkali meretas dengan menggunakan perangkat lunak yang secara otomatis memindai web dan

mengidentifikasi sasaran-sasaran yang memiliki kelemahan keamanan tertentu (misalnya, perangkat lunak yang telah usang atau tidak diperbaharui, kata sandi yang buruk, portal web yang tidak dikunci, data yang tidak terenkripsi saat dikirim, kurangnya perlindungan pada titik akhir dan semacamnya), yang membuat prosesnya mudah bagi mereka. Oleh karena itu, besar kemungkinan bahwa sistem keamanan UKM yang lemah akan lebih cepat teridentifikasi. Inilah sebabnya mengapa bagi para pelaku kejahatan cyber, usaha-usaha tersebut merupakan sasaran empuk. Tidak hanya itu, nilai akumulatif dari hasil peretasan UKM pun cukup substansial - dalam bentuk uang tebusan, nomor-nomor kartu kredit curian atau informasi rekening bank, menjadikannya mudah bagi pelaku tindak kejahatan untuk menyedot uang tunai dalam hitungan detik. Daya tarik lainnya adalah bahwa mereka dapat menghindari besarnya risiko dan upaya yang diperlukan untuk melakukan peretasan terhadap perusahaan-perusahan berukuran besar maupun lembaga pemerintahan. Inilah sebabnya UKM, pelaku usaha yang hanya sedikit berinvestasi atau bahkan tidak sama sekali melakukan investasi terhadap upaya penanganan cybersecurity, menjadi sasaran yang ideal dan menjadi sebagian besar sasaran kejahatan online.

Alasan Kedua

Perusahaan-perusahaan besar menghabiskan uang dalam jumlah besar untuk cybersecurity mereka dan seringkali menghabiskan puluhan bahkan ratusan juta untuk memiliki perlindungan berteknologi tinggi yang susah diretas. UKM menghadapi sejumlah besar ancaman yang sama. Namun, sebagian besar UKM tidak memiliki sarana untuk melakukan investasi yang dibutuhkan guna menerapkan perlindungan yang komprehensif, sehingga mendatangkan risiko yang signifikan.

Page 3 of 5

Bagaimana Para Pelaku Kejahatan Cyber Mendapatkan Akses?

Ada berbagai macam cara yang dilakukan oleh pelaku kejahatan cyber untuk mengakses situs web atau server internal UKM. Berikut adalah empat metode serangan yang paling umum digunakan:

Serangan Terhadap Sistem Fisik: Pelaku kejahat cyber dapat mengakses server internal atau perangkat keras melalui alat elektronik yang tidak memiliki perlindungan yang memadai namun memiliki akses resmi, seperti laptop, komputer meja (desktop), tablet, dan media yang dapat dilepas seperti perangkat USB.

Serangan Otentikasi & Privilege: Para pelaku kejahatan dapat mengakses data sensitif ketika kata sandi yang digunakan oleh pihak yang memiliki akses, sangat lemah dan mudah diretas. Atau ketika sejumlah karyawan yang memiliki izin untuk mengakses informasi yang disimpan oleh perusahaan di dalam tempat penyimpanan data online, memiliki password yang lemah. Di dalam web 'gelap', terdapat sejumlah besar gudang perangkat lunak yang menyimpan miliaran akun pengguna dan kata sandi yang lemah. Dengan mempertimbangkan seringnya seseorang menggunakan kembali kombinasi akun pengguna dan kata sandi yang sama, menjadi tidak sulit bagi pelaku kejahatan cyber untuk mencari akses masuk milik karyawan yang masih valid. Sumber lainnya bisa jadi merupakan perbuatan sabotase yang dilakukan secara sengaja oleh seorang karyawan yang merasa tidak puas, atau dibukanya akses terhadap data-data sensitif oleh karyawan di posisi staff yang biasa disebut sebagai "privilege creep".

Kerugian Terkait Layanan Ada dua hal yang bisa menyebabkan terjadinya gangguan layanan, yang berarti situs UKM tidak dapat diakses karena adanya permasalahan layanan online. Salah satunya melibatkan tindakan manusia, dan yang lainnya melibatkan gangguan layanan yang menyebabkan hilangnya kontrol atau tidak mampu terhubung secara online. Serangan Distributed Denial of Service (DDOS) biasanya berkaitan dengan derasnya aliran lalu lintas online dari penyedia jasa internet yang digunakan oleh UKM, yang menyebabkan kapasitas jaringan habis dan layanan terhenti. Serangan-serangan yang tidak disengaja melibatkan kegagalan di satu titik layanan dan terjadi karena adanya ketergantungan yang berlebihan kepada sistem atau penyedia jasa, tanpa didukung dengan kapasitas yang memadai. Jenis insiden cyber ini dapat disebabkan oleh bencana alam atau kegagalan teknologi yang sederhana.

Serangan Konten Internet yang Berbahaya: Inilah jenis serangan yang dialami oleh Rokenbok. Dalam kasus mereka, sistem dipenuhi dengan ransomware - suatu bentuk malware atau perangkat lunak yang berbahaya - yang memungkinkan para penjahat untuk masuk dan mengunci basis data perusahaan dengan melakukan enkripsi secara keseluruhan dan menawarkan kunci dekripsi dengan pembayaran uang tebusan. Ada banyak jenis serangan konten lainnya. Salah satunya, disebut phishing yang melibatkan pengiriman surat elektronik kepada seorang karyawan dengan sebuah tautan. Ketika tautan tersebut ditekan, perangkat lunak yang berbahaya akan terunduh secara otomatis ke dalam komputer yang sedang digunakan oleh karyawan tersebut.

Page 4 of 5

Meskipun upaya untuk menghentikan para pelaku kejahatan cyber mengakses dana dan data UKM tampak seperti tugas yang berat, ada beberapa langkah sederhana yang dapat digunakan untuk membuat program manajemen risiko cyber serta membatasi paparan yang dapat ditimbulkan.

Bagaimana UKM Melindungi Diri Mereka dari Serangan Cyber?

Meskipun upaya untuk menghentikan para pelaku kejahatan cyber mengakses dana dan data UKM tampak seperti tugas yang berat, ada beberapa langkah sederhana yang dapat digunakan untuk membuat program manajemen risiko cyber serta membatasi paparan yang dapat ditimbulkan. Setelah terlebih dahulu memastikan bahwa antivirus dan perangkat lunak keamanan lainnya diperbarui secara rutin serta meminta konsultan keamanan cyber untuk mengidentifikasi area-area yang memiliki risiko tinggi, UKM dapat melakukan lima langkah mitigasi risiko berikut:

Mengembangkan dan Menerapkan Peraturan Resmi yang Tertulis Terkait Kata Sandi: Salah satu cara tercepat dan termudah bagi para pelaku kejahatan cyber untuk mengakses aset UKM adalah melalui "pintu yang terbuka", yang dibuka oleh karyawan ketika menggunakan kata sandi yang lemah atau sudah pernah digunakan sebelumnya. Untuk memperbaiki situasi tersebut, ada baiknya UKM membuat peraturan tertulis terkait kata sandi, dimana diperlukan kata sandi yang kuat (misalnya, gabungan huruf, angka, dan simbol) yang secara rutin diubah. Akun pengguna serta kata sandi milik mantan karyawan juga seharusnya berubah secara otomatis, dalam hal karyawan yang merasakan ketidak puasan kemudian memanfaatkan kata sandinya dan membuka pintu untuk ancaman-ancaman yang berbahaya. Memanfaatkan perangkat lunak yang bagus untuk mengelola kata sandi dapat membantu penerapan langkah penting ini.

Mengedukasi Semua Karyawan Secara Rutin Mengenai Keamanan Cyber: Dengan cara yang sama, UKM perlu menyampaikan kepada para karyawan tentang peran yang mereka mainkan dalam pencegahan terjadinya pelanggaran cyber. Ketika laptop atau perangkat lainnya digunakan di luar kantor dan terhubung ke jaringan internal, perangkat lunak yang berbahaya sangat mudah untuk masuk ke dalam server internal. Cara terbaik untuk membangun kebiasaan positif dan aman di antara para karyawan adalah dengan memberikan pelatihan dan edukasi secara rutin. Yang sama pentingnya adalah adanya peraturan yang membatasi izin terhadap informasi sensitif hanya bagi para eksekutif yang terpercaya atau karyawan yang benar-benar membutuhkan akses terhadap informasi tersebut untuk kegiatan terkait operasional usaha.

Memperbarui Peralatan TI dan Menggunakan Perangkat Lunak Keamanan: Area lain dari potensi masalah cybersecurity yang mudah diperbaiki adalah peralatan TI. Sistem operasional dan komputer yang usang dapat menjadi suatu risiko karena mudah dibobol oleh pelaku kejahatan dan rentan terhadap peretasan dengan teknik yang lebih canggih dan bentuk malware yang lebih baru. Di waktu yang bersamaan, penting bagi UKM untuk mengawasi karyawan yang memiliki izin untuk mengakses jaringan komputer milik UKM, serta mengawasi jaringan itu sendiri dengan mencari aktivitas yang tidak normal yang jika ditangkap dengan cepat dapat meminimalisir kerugian UKM. Meskipun biasanya UKM tidak memiliki ahli keamanan informasi dalam organisasi mereka, mereka dapat mengunduh dengan cepat perangkat lunak yang basic yang memiliki solusi teknologi serupa dengan yang digunakan oleh perusahaan-perusahaan Fortune 500.

Page 5 of 5

Menciptakan Rencana Respons Insiden Cyber: Sementara sebagian besar UKM tak memiliki karyawan yang ahli dalam hal penanggulangan insiden cyber besar, ada beberapa insiden yang dapat ditanggulangi sendiri oleh tim yang ditugaskan dan dipersiapkan untuk menangani masalah-masalah cyber, yang terdiri dari karyawan serta pihak eksternal. Keuntungan dari memiliki tim yang fokus menangani insiden-insiden cyber adalah waktu respons yang biasanya lebih singkat dan tercapainya resolusi yang lebih cepat.

Membeli Asuransi Cyber: Selain langkah-langkah di atas, UKM dapat lebih melindungi aset dan kelangsungan usaha mereka dengan membeli asuransi cyber. Biaya asuransi akan selalu jauh lebih rendah jika dibandingkan dengan biaya menutup perusahaan manakala terjadi satu atau lebih serangan cyber. Asuransi cyber juga dapat dikemas dikemas dengan mengikutsertakan beberapa layanan yang disebutkan di atas.

Mengapa Cybersecurity Penting bagi Kelangsungan UKM?

Tidak seperti Rokenbok Education, sebagian besar UKM tak mampu melakukan apa yang dilakukan oleh perusahaan produsen mainan tersebut, yaitu memulihkan sistem inti mereka dengan memanfaatkan kekuatan internal. Kenyataannya sebagian besar bahkan tidak tahu harus memulai dari mana. Namun karena statistik menunjukkan bahwa mulai tiga tahun yang lalu lebih dari setengah serangan cyber ditujukan kepada UKM dan persentase ini mungkin saja meningkat, risiko bagi UKM-UKM terlalu besar untuk diabaikan.

Akibat adanya salah persepsi tentang besar dan kejamnya risiko cyber, maka kurang dari 3% UKM memiliki asuransi cyber sementara justru 40% dari perusahaan-perusahan besar memilikinya. Faktanya, pada umumnya para UKM hanya mencurahkan sedikit daya, waktu serta dana, untuk cybersecurity. 67% dari UKM-UKM tersebut bahkan tidak memiliki peraturan keamanan data. Dari 33% yang memiliki peraturan keamanan data, sebanyak 87% tidak memiliki peraturan resmi yang tertulis. Apabila mereka menjadi sasaran dari sebuah serangan cyber maka tingkat kerentanan usaha mereka hanya akan meningkat karena tidak adanya investasi cybersecurity yang memadai, dan dalam kenyataannya sebagian besar dari mereka juga tidak memiliki asuransi cyber. Tidak mengherankan apabila UKM-UKM tersebut banyak mengalami pelanggaran cyber, dimana 93% membawa dampak besar bagi usaha mereka.

Saat ini, menjadi sangat penting bagi UKM untuk memastikan masa depan usaha mereka dengan menerapkan langkah-langkah cybersecurity yang masuk akal. Untungnya bagi mereka, meskipun keamanan cyber secara historis merupakan tantangan yang sangat teknis dan membutuhkan dana yang besar, langkah-langkah sederhana sebagaimana disebutkan di atas dapat memberikan perlindungan yang efektif dengan biaya dan kompleksitas yang rendah.

Page 6 of 5

Tentang Penulis

Pascal Millaire menjabat sebagai Vice President dan General Manager Asuransi Cyber di Symantec. Dalam hal ini, Millaire bertanggung jawab atas kemitraan dan inovasi produk antara keamanan dan asuransi, serta penciptaan berbagai alat permodelan underwriting dan agregasi bagi perusahaan-perusahaan penyedia asuransi cyber.

Anita Sathe, Chief Strategy Officer di CoverHound, adalah seorang profesional yang memiliki pengalaman selama lebih dari 13 tahun di industri asuransi. Sathe memiliki pengalaman yang sangat luas, mulai dari strategi produk dan underwriting hingga penerapan teknologi dan analisis aktuarial. Ia merupakan salah satu dari dua belas orang yang memiliki sertifikat Asosiasi Aktuaria di bidang Asuransi P&C, Jiwa dan Kesehatan. Sebelum bergabung dengan CoverHound, Sathe bekerja sebagai Senior Manager di Deloitte Consulting.

Patrick Thielen menjabat sebagai Senior Vice President di Chubb dan memimpin lini bisnis Cyber and Technology E&O untuk Amerika Utara. Saat ini, dirinya memimpin Chubb dalam upaya untuk memperluas ketersediaan pertanggungan cyber bagi perusahaan-perusahaan kecil. Thielen dapat dihubungi di [email protected] .

Catatan Akhir

Seluruh data diperoleh dari penelitian yang dilakukan oleh Janet & Mark L. Goldenson dari Center for Actuarial Research, University of Connecticut.

Untuk mengunduh laporan lengkap, kunjungi https://goldensoncenter.uconn.edu/cyber-risk/.

Hubungi Kami

PT Chubb General Insurance Indonesia Chubb Square, Lantai 6 Jl. M.H. Thamrin No. 10 Jakarta 10230, Indonesia E [email protected]

Chubb. Insured.SM Informasi ini hanya merupakan informasi umum dari produk asuransi yang dapat ditanggung oleh PT Chubb General Insurance Indonesia, untuk perlindungan yang Anda miliki dan pengecualian terhadap perlindungan Anda silakan lebih lanjut membaca dan mengacu pada polis asuransi Anda.

2018 Chubb. Perlindungan ditanggung oleh satu atau lebih anak perusahaan. Tidak semua perlindungan tersedia diseluruh yurisdiksi. Chubb dan logo terkait lainnya, serta Chubb. Insured.SM merupakan merek dagang milik Chubb.

PT Chubb General Insurance Indonesia terdaftar dan diawasi oleh Otoritas Jasa Keuangan. 08/18


macam macam serangan

MATERI2-SERANGAN KOMPUTER

berukuran 2m tinggi - doa.gov.my · PDF filecahaya matahari. Feromon perlu ... serangan kumbang tanduk. ... Penggunaan perangkap feromon (RPW-lure) untuk memerangkap kumbang dewasa

09 Serangan Terhadap Kriptografi

core.ac.uk · dengan rumus . I = N.Z dengan pengertian: = indeks serangan, jumlah tanaman untuk setiap kategori gejala serangan = nilai numerik gejala serangan jumtah tanaman yang

serangan terhadap wireless lan

Perc. 8 kesetimbangan benda berukuran

Laporan Pbl Serangan Asma

Pertemuan 3 Metode Serangan

Serangan Asma Bronkhiale

Saat Serangan

DAS Batang Serangan

Definisi Serangan Jaringan Komputer

KARAKTERISTIK ALIRAN AIR PADA SALURAN BERUKURAN …

PENJAHAT PROLETAR ALA BAJURI

Serangan Siluman.pdf

BAB I PENDAHULUAN A. Latar Belakang Masalahscholar.unand.ac.id/33288/2/BAB I.pdfUntuk membuat penjahat tertentu menjadi tidak mampu melakukan kejahatan yang lain, yakni penjahat yang

Terorisme adalah serangan

Cara Mengelola Database Berukuran Besar

Serangan Rokok Murah-KosmoAhad

jenis2 serangan

Pendidikan Jasmani - Aktiviti Serangan

Teknik Serangan Karate

Tips Elak Serangan Jantung

SENIN, 6 DESEMBER 2010 | MEDIA INDONESIA Yang … filemenjadi target serangan. Teru-tama setelah melihat dampak ancaman Stuxnet di industri, Symantec memperkirakan para penjahat cyber

Benih cabai berukuran kecil.docx

Animorphs 05 - Serangan Nekat

Serangan Terhadap Kriptografirinaldi.munir/Kriptografi/2017-2018/Serangan...Jenis-jenis Serangan 2. Analytical attack Menganalisis kelemahan algoritma kriptografi untuk mengurangi

serangan asma bronkial

Sosial Budaya Serangan

Cara Mengetahui Penjahat Di Dunia Maya

Serangan jantung NERLOS

Kriptografi - Serangan Terhadap Kriptografi

Yesaya 53 Tapi Dia tertikam karena oleh Sekalipun … 53 (9) Orang menempatkan kuburNYA diantara orang-orang fasik,dan dalam matiNYA IA ada diantara penjahat-penjahat. Sekalipun IA

Kategori Serangan-memintas 4C