Sebagian besar karyawan tidak berharap untuk bangun untuk mengetahui bahwa hari gajian telah ditunda karena phishing. Dan Anda mungkin tidak akan menebak bahwa CFO menjalankan pekerjaan sampingannya dari komputer perusahaan, atau bahwa kredensial perusahaan karyawan ada di web gelap karena jam kerja yang dihabiskan di situs kencan. Internet yang lambat bukanlah kejutan, tetapi menemukan bandwidth itu sedang terkuras dari acara webcam ‘bertema dewasa’ pekerja adalah sentuhan yang lebih mengkhawatirkan. Selamat datang di kehidupan profesional keamanan TI.
Kisah-kisah seperti inilah yang secara mengejutkan bisa menjadi tipikal bagi para profesional keamanan TI. Faktanya, ancaman keamanan siber – baik dari dalam maupun luar perusahaan – telah menjadi begitu besar sehingga keamanan siber telah mengambil nyawanya sendiri di dalam sektor TI. Itu menjadi sangat besar sehingga permintaan akan profesional keamanan siber meningkat secara besar-besaran. Menurut data dari data CyberSeek, sumber daya karir dan tenaga kerja keamanan siber gratis, hanya di AS saja, “ada 301.873 lowongan pekerjaan keamanan siber di sektor swasta dan publik selama periode 12 bulan antara April 2017 dan Maret 2018.” Kisah-kisah horor keamanan siber perusahaan seperti yang akan Anda baca adalah alasan utama mengapa.
Menyelenggarakan Pertunjukan Dewasa di Server Perusahaan
Sementara perilaku online yang tidak pantas tampaknya menjadi masalah utama di dunia TI, seringkali tidak ditunjukkan oleh peretas, tetapi oleh karyawan internal. Raj Goel, pendiri Brainlink penyedia layanan terkelola (MSP) yang berbasis di NYC berpikir bahwa, dalam 20 tahun lebih di bidang TI, dia telah melihat semuanya. Tapi satu kejadian baru-baru ini adalah sesuatu yang tidak pernah dia bayangkan.
CFO pelanggan menelepon Brainlink untuk mencari tahu mengapa departemen TI mereka terus-menerus kehabisan bandwidth, bahkan setelah mereka menghabiskan uang untuk upgrade.
“Orang-orang ini memiliki apa yang saya sebut ‘pipa gemuk,” kata Goel, “tetapi untuk beberapa alasan, orang-orang IT mereka terus mengatakan bahwa mereka benar-benar kenyang. Jadi saya melihat dan menemukan bahwa salah satu dari orang-orang TI yang sama menjalankan situs web bayar-per-tayang webcam dari jaringan perusahaan. Itu adalah situs porno, dan ternyata pacarnya dan teman-temannya adalah bakatnya.”
Yang lebih mengejutkan: Ini berlangsung selama lebih dari dua tahun, dan tidak ada yang mengetahuinya—bahkan setelah tindakan karyawan ini merugikan perusahaan lebih dari $180.000 dan kebutuhan untuk meningkatkan jaringannya setiap tiga bulan karena berjalan sangat lambat.
Jadi saya melihat dan menemukan bahwa salah satu dari orang-orang TI yang sama menjalankan situs web bayar-per-tayang webcam dari jaringan perusahaan. Itu adalah situs porno, dan ternyata pacarnya dan teman-temannya adalah bakatnya.”
“Hal yang dapat diambil di sini adalah bahwa CFO seharusnya lebih proaktif. Dia akan bertanya dengan IT, dan mereka hanya memberinya non-jawaban atas pertanyaannya, ”kata Goel. “Pelajaran di sini adalah bahwa meskipun Anda memiliki tim TI atau MSP internal, penting untuk (pada titik tertentu) membawa pihak ketiga untuk melakukan audit atau penilaian independen. Anda perlu mendapatkan pemeriksaan bahwa Anda mendapatkan ROI dan bahwa setiap orang melakukan pekerjaan mereka.”
Pertunjukan Sampingan CFO
Goel juga mengingat sebuah insiden di mana sebuah perusahaan perawatan kesehatan memanggilnya untuk melakukan pemeriksaan kepatuhan dan keamanan, dan dia menemukan bahwa CFO menjalankan perusahaan yang sepenuhnya terpisah dari kantornya.
“Saya bertanya kepadanya dan menyebutkan bahwa saya melihat logon ke koneksi jarak jauh setiap hari, dan segera setelah dia mendengar ini, pria itu tampak tercengang … Saya pikir dia akan mengalami serangan jantung, ketika saya memberi tahu dia. Pada awalnya, dia tidak mengatakannya, tetapi kemudian mengakui bahwa dia melakukan beberapa pekerjaan sampingan untuk bisnisnya sendiri, ”kata Goel.
Sementara Goel mencatat bahwa eksekutif tidak menggunakan sumber daya perusahaan, dia mengatakan bahwa karyawan tersebut masih menghabiskan setengah harinya menjalankan bisnis impor/ekspor pribadinya pada waktu perusahaan dengan masuk ke komputer rumahnya dari jarak jauh. Goel dan timnya menemukan hal ini dengan menilai lalu lintas firewall jaringan. Pada awalnya, dia menduga bahwa mungkin masalahnya berasal dari pusat data di luar lokasi. Namun, ketika dia mendekati CFO, dia tidak mengharapkan reaksi yang dia dapatkan:
“Saya bertanya kepadanya dan menyebutkan bahwa saya melihat logon ke koneksi jarak jauh setiap hari, dan segera setelah dia mendengar ini, pria itu tampak tercengang … Saya pikir dia akan mengalami serangan jantung, ketika saya memberi tahu dia. Pada awalnya, dia tidak mengatakannya, tetapi kemudian mengakui bahwa dia melakukan beberapa pekerjaan sampingan untuk bisnisnya sendiri, ”kata Goel.
Phishing Menunda Gajian
Terkadang bisnis tidak menyadari telah terjadi pelanggaran. Dan bahkan setelah menemukannya, mereka tidak selalu mengambil tindakan keamanan yang diperlukan.
“Pelanggaran eksternal yang dipublikasikan secara luas dapat merusak reputasi, dan kemudian klien tidak berinvestasi dalam kontrol keamanan hanya untuk mengetahui bahwa peretas tidak pernah pergi, dan mereka masih menyusup ke jaringan mereka,” Bart Barcewicz, pendiri MSP B yang berbasis di Chicago Suite Cyber Security, kata Tom’s Hardware.
“Jika seseorang telah membuat aturan dan otentikasi, mereka akan diberitahu bahwa informasi telah diubah,” kata Barcewicz. “[Masalah] terbesar adalah setelah ini terjadi, mereka tidak ingin berinvestasi dalam solusi keamanan siber dan tidak belajar dari pengalaman ini.”
Ambil contoh perusahaan manufaktur/distribusi besar tempat Barcewicz bekerja di pekerjaan sebelumnya. Dia mengatakan sekitar 10 karyawan di sana menerima email phishing, yang membuat mereka jatuh hati, mengirimkan kredensial Office 365 mereka dan informasi login lainnya ke peretas yang tidak curiga. Peretas kemudian menggunakan informasi tersebut untuk masuk ke akun penggajian perusahaan ini dan mengubah semua informasi akun karyawan. Karena perusahaan tidak memiliki peringatan atau kontrol keamanan yang terpasang, pelanggaran tidak ditemukan sampai dua minggu kemudian ketika karyawan tidak mendapatkan gaji mereka.
“Jika seseorang telah membuat aturan dan otentikasi, mereka akan diberitahu bahwa informasi telah diubah,” kata Barcewicz. “[Masalah] terbesar adalah setelah ini terjadi, mereka tidak ingin berinvestasi dalam solusi keamanan siber dan tidak belajar dari pengalaman ini.”
Keputusasaan Web Gelap
Situasi lain, yang Barcewicz lihat terjadi di banyak klien, adalah karyawan menggunakan informasi login perusahaan (mis: alamat email kantor mereka) untuk mendaftar ke situs web pribadi, seperti media sosial dan layanan kencan. Meskipun mengakses situs-situs ini biasanya tidak disukai selama jam kerja, itu menjadi masalah keamanan ketika informasi perusahaan pengguna digunakan di situs yang dilanggar dan kredensial tersebut berakhir di web gelap. Barcewicz menemukan situasi yang tepat ini setelah melakukan analisis web gelap untuk sebuah perusahaan teknik dengan 2.500 karyawan.
“Mereka benar-benar mengatakan bahwa mereka merekam setiap gerakan online pengguna, mengatakan bahwa mereka telah menontonnya di webcam dan bahwa jika mereka tidak membayar dalam Bitcoin, mereka akan memberi tahu daftar kontak mereka semua yang telah mereka lakukan.”
Barcewicz juga mencatat penipuan web gelap lain yang semakin populer, di mana peretas membajak komputer pengguna dan mengancam akan melaporkan perilaku online mereka yang tidak pantas kepada semua orang di daftar kontak mereka:
“Mereka benar-benar mengatakan bahwa mereka merekam setiap gerakan online pengguna, mengatakan bahwa mereka telah menontonnya di webcam dan bahwa jika mereka tidak membayar dalam Bitcoin, mereka akan memberi tahu daftar kontak mereka semua yang telah mereka lakukan.”
Barcewicz menyarankan agar karyawan menahan diri untuk tidak menggunakan informasi kerja untuk hal-hal pribadi.
“Seseorang dapat mengambil informasi itu dan kemudian menggunakannya untuk penipuan, seperti meminta uang tebusan informasi Anda dengan imbalan uang Bitcoin,” katanya.
Melawan Kegilaan
Salah satu alasan permintaan akan profesional keamanan begitu besar adalah karena mereka tidak hanya melawan ancaman dari luar; mereka juga mengelola sejumlah risiko yang sehat dari dalam organisasi. Ini bisa datang dari seorang karyawan yang memiliki akses ke server dan teknologi lainnya, dan terlebih lagi setelah seorang karyawan pergi—terutama jika itu bukan perpisahan yang bersahabat. Untuk memperbaikinya, Barcewicz merekomendasikan untuk mengambil langkah-langkah seperti menerapkan otentikasi dua faktor dan menginstal pengelola kata sandi.
“Minimum untuk bisnis apa pun adalah menggunakan otentikasi kata sandi dua langkah bila memungkinkan, serta menggunakan kata sandi yang berbeda melalui alat pengelola kata sandi,” katanya. “Kami juga merekomendasikan untuk mengubah kata sandi Anda (untuk situs web sensitif) setiap tiga hingga enam bulan, tetapi dengan otentikasi dua langkah, ini biasanya tidak harus dilakukan sesering mungkin.”
Dan Barcewicz mempraktikkan apa yang dia khotbahkan kepada kliennya. Dia secara pribadi menggunakan pengelola kata sandi berbasis web yang secara otomatis menghasilkan kata sandi yang berbeda untuk setiap situs web yang dia masuki (serta otentikasi dua langkah). Dia mengatakan ini karena kata sandi yang dibuat secara otomatis lebih sulit untuk dilanggar. “Peretas tidak selalu mencari kata sandi yang tepat,” katanya. “Mereka mencoba mencari tahu variasi dan pola karena mereka tahu sering digunakan dengan cara ini di situs lain.”
Baik Barcewicz dan Goel mengatakan bahwa moral dari cerita ini adalah, bagi pemilik bisnis, tindakan terbaik adalah memiliki penilai keamanan TI pihak ketiga yang tahu apa yang mereka lakukan.
“Minimum untuk bisnis apa pun adalah menggunakan otentikasi kata sandi dua langkah bila memungkinkan, serta menggunakan kata sandi yang berbeda melalui alat pengelola kata sandi,” katanya.
“Penilaian yang baik tidak ada salahnya,” kata Goel. “Tetapi Anda harus mengeluarkan uang; jangan gunakan seseorang yang hanya akan mengunduh alat gratis dan kemudian memberi tahu Anda apa yang ingin Anda dengar. Anda membutuhkan seseorang yang akan melihat hal-hal seperti pola lalu lintas, data, perilaku pengguna, dan area penting lainnya.”
Barcewicz menambahkan bahwa penolakan terhadap perubahan telah menahan beberapa klien untuk tidak berinvestasi dalam keamanan siber yang tepat. Dalam kasus klien yang penggajiannya diretas, para eksekutif masih menolak untuk meningkatkan pendekatan mereka terhadap keamanan siber. “Mereka tidak ingin mengubah cara mereka bekerja, dan uang bukanlah alasan sama sekali,” katanya. “Itu lebih merupakan penolakan terhadap perubahan; itu adalah pendorong utama.”
Apa kisah keamanan TI Anda yang paling gila? Bisakah Anda mengatasi skandal webcam? Beri tahu kami di komentar di bawah.
