Jakarta, PC plus – Banyak usaha kecil atau menengah (UMKM) berpikir bisnis mereka dapat aman tanpa solusi keamanan siber. Mereka mengira bisnis mereka tidak akan menjadi sasaran penjahat dunia maya. Namun, studi terbaru melaporkan bahwa hampir 46% dari semua serangan siber menargetkan sektor UMKM. Faktanya, menurut data dari Forum Ekonomi Dunia, 95% pelanggaran keamanan siber disebabkan oleh kesalahan manusia.
Baca Juga: Kledo Penuhi Kebutuhan Software Akuntansi UMKM
Statistik ini menunjukkan bahwa UKM mungkin tidak menyadari bahwa karyawan mereka tanpa disadari – atau bahkan dengan sengaja – dapat membahayakan “kesehatan” perusahaan. Beberapa kelalaian dapat mengakibatkan kerugian finansial, reputasi, atau penurunan produktivitas untuk keseluruhan bisnis.
Kelalaian bukanlah kesombongan
Menurut survei Kaspersky IT Security Economics 2022, yang melakukan wawancara dengan lebih dari 3.000 manajer keamanan TI di 26 negara. Sekitar 22% kebocoran data di sektor UMKM disebabkan oleh karyawan. Proporsi serangan siber yang hampir sama membuat karyawan pada titik tertentu sama berbahayanya dengan peretas. Tentu saja, dalam banyak kasus, hal ini disebabkan oleh kelalaian atau kurangnya kesadaran karyawan. Terdapat sejumlah tindakan karyawan yang secara tidak sengaja dapat menyebabkan pelanggaran keamanan yang serius dan membahayakan keamanan industri UMKM. Di antara yang paling penting adalah:
kata kunci lemah
Karyawan dapat menggunakan kata sandi mudah yang dapat dengan mudah diretas oleh penjahat dunia maya. Ini menghasilkan akses tidak sah ke data sensitif. Bahkan ada daftar kata sandi yang paling banyak diretas yang tersedia untuk umum – pastikan milik Anda bukan salah satunya.
penipuan phishing
Karyawan mungkin secara tidak sengaja atau tidak sadar mengeklik tautan phishing di email, yang mengakibatkan akses tidak sah ke jaringan. Sebagian besar scammer dapat meniru alamat email yang seharusnya milik perusahaan yang sah. Dan saat mengirim email dengan dokumen atau file terlampir, ternyata itu adalah sampel malware. Contoh terbaru adalah serangan Agen Tesla yang memengaruhi pengguna di seluruh dunia.
Kebijakan Bring Your Own Device (BYOD).
BYOD mendapatkan lebih banyak daya tarik sebagai akibat dari penguncian sosial berturut-turut selama puncak pandemi. Saat ini, karyawan di sektor non-esensial terpaksa bekerja dari rumah, dan alih-alih keamanan, kelangsungan bisnis masih menjadi prioritas utama para manajer perusahaan.
Karyawan sering kali menggunakan perangkat pribadi untuk terhubung ke jaringan perusahaan, yang dapat menjadi ancaman serius bagi keamanan TI UKM jika perangkat ini tidak dilindungi secara memadai dari serangan dunia maya. Mengingat fakta bahwa ada lebih dari 400.000 program jahat baru muncul setiap hari, dan jumlah serangan yang menargetkan bisnis terus bertambah, bisnis berada dalam situasi genting. Pada saat yang sama, sebagian besar perusahaan tidak berencana (atau menganggap tidak mungkin) untuk sepenuhnya memblokir akses dari perangkat pribadi ke data perusahaan.
kurangnya koreksi
Jika karyawan menggunakan perangkat pribadi, staf TI mungkin tidak dapat memantau keamanan perangkat atau menyelesaikan masalah keamanan. Selain itu, karyawan mungkin tidak secara teratur menambal atau memperbarui sistem dan perangkat lunak mereka, meninggalkan celah yang dapat dimanfaatkan oleh penjahat dunia maya.
ransomware
Jika terjadi serangan ransomware, penting untuk menyiapkan cadangan data – untuk memiliki akses ke informasi terenkripsi bahkan jika penjahat dunia maya berhasil masuk ke sistem perusahaan.
rekayasa sosial
Karyawan mungkin secara tidak sengaja memberikan informasi sensitif seperti detail login, kata sandi, atau data sensitif lainnya sebagai tanggapan atas taktik rekayasa sosial atau penipuan phishing. Yang lebih mudah ditipu adalah karyawan baru yang belum mengetahui “kebiasaan” perusahaan. Misalnya, penipu dapat berpura-pura menjadi “bos” yang baru datang dan mencoba mencuri beberapa informasi penting tentang perusahaan atau memeras uang.
Contoh bagaimana penipu beroperasi adalah mengirim email yang menyamar sebagai atasan atau seseorang yang lebih tinggi (menggunakan alamat tidak resmi) meminta karyawan untuk melakukan tugas “mendesak”. Pemula akan dengan senang hati membantu. Tugasnya mungkin, misalnya, mentransfer dana ke kontraktor atau membeli sertifikat hadiah dengan nilai tertentu. Dan pesan tersebut memperjelas bahwa “itu harus dilakukan dengan cepat” dan “Anda akan dibayar pada akhirnya”. Penipu mencoba untuk tidak memberikan waktu kepada karyawan untuk berpikir atau menghubungi orang lain.
Item di atas adalah kesalahan yang dapat dilakukan karyawan karena kelalaian. Tetapi apa yang terjadi jika seorang karyawan dengan sengaja mencoba merusak keamanan perusahaan saat sedang bekerja atau tidak lama setelah meninggalkan pekerjaan? Lebih banyak masalah keamanan TI untuk UMKM mungkin akan muncul kemudian
