Jakarta, PCplus – Banyak usaha kecil atau menengah (UMKM) menganggap bahwa bisnisnya dapat aman tanpa solusi keamanan siber. Mereka berpikir bahwa bisnisnya tidak akan menjadi sasaran para penjahat siber. Tapi, studi terbaru melaporkan bahwa hampir 46% dari seluruh serangan siber mengincar sektor UMKM. Bahkan menurut data dari Forum Ekonomi Dunia, 95% pelanggaran keamanan siber disebabkan oleh kesalahan manusia.
Baca Juga: Kledo Penuhi Kebutuhan Software Akuntansi UMKM
Statistik ini menunjukkan bahwa UMKM mungkin tidak menyadari bahwa karyawan mereka dapat secara tidak sengaja – atau bahkan dengan sengaja – membahayakan “kesehatan” perusahaan. Beberapa kecerobohan dapat menyebabkan kerugian finansial, reputasi, atau penurunan produktivitas seluruh bisnis.
Kelalaian bukanlah kebanggaan
Menurut survei Kaspersky 2022 IT Security Economics, yang melakukan wawancara dengan lebih dari 3.000 manajer keamanan TI di 26 negara. Sekitar 22 persen kebocoran data di sektor UMKM disebabkan oleh karyawan. Proporsi yang hampir sama sebagai penyebab serangan siber, menjadikan karyawan pada titik tertentu sama berbahayanya dengan peretas. Tentu saja, dalam banyak kasus, hal ini terjadi karena kelalaian atau kurangnya kesadaran karyawan. Ada berbagai tindakan karyawan yang secara tidak sengaja dapat menyebabkan pelanggaran keamanan serius dan membahayakan keamanan sektor UMKM. Di antara yang paling utama adalah:
Kata sandi yang lemah
Karyawan mungkin menggunakan kata sandi yang mudah yang dapat dengan mudah diretas oleh penjahat siber. Sehingga pada akhirnya mengakibatkan akses tidak sah ke data sensitif. Bahkan ada daftar kata sandi yang paling sering diretas dan tersedia secara umum – periksa untuk memastikan kata sandi Anda tidak termasuk di dalamnya.
Penipuan Phishing
Karyawan mungkin secara tidak sengaja atau tidak sadar mengeklik tautan phishing di email, sehingga menyebabkan akses tidak sah ke jaringan. Sebagian besar scammer dapat meniru alamat email yang diduga milik perusahaan yang sah. Dan saat mengirim email dengan lampiran dokumen atau arsip, ternyata itu adalah sampel malware. Contoh terbaru adalah serangan Agen Tesla yang memengaruhi pengguna di seluruh dunia.
Kebijakan Bring Your Own Device (BYOD)
BYOD mendapatkan momentum lebih besar sebagai akibat dari penguncian sosial berturut-turut selama puncak pandemi. Saat ini, staf di sektor non-esensial terpaksa bekerja dari rumah dan alih-alih keamanan, keberlangsungan bisnis masih menjadi priotitas utama bagi para manajer perusahaan.
Karyawan sering kali menggunakan perangkat pribadi untuk terhubung ke jaringan perusahaan, yang dapat menimbulkan ancaman keamanan serius terhadap keamanan IT UMKM jika perangkat tersebut tidak memiliki perlindungan memadai terhadap serangan siber. Mengingat fakta bahwa ada lebih dari 400.000 program berbahaya baru yang muncul setiap hari, dan jumlah serangan yang menargetkan perusahaan terus bertambah, bisnis berada dalam situasi genting. Pada saat yang sama, sebagian besar perusahaan tidak berencana (atau merasa tidak mungkin) untuk sepenuhnya memblokir perangkat pribadi agar tidak dapat mengakses data perusahaan.
Kurangnya Patching
Jika karyawan menggunakan perangkat pribadi, staf TI mungkin tidak dapat memantau keamanan perangkat atau menangani masalah keamanan apa pun. Selain itu, karyawan mungkin tidak menerapkan patch atau pembaruan ke sistem dan perangkat lunak mereka secara teratur, sehingga meninggalkan celah yang dapat dieksploitasi oleh penjahat siber.
Ransomware
Jika terjadi serangan ransomware, penting untuk menyiapkan backup data – untuk memiliki akses ke informasi terenkripsi bahkan jika penjahat siber telah berhasil mengambil alih sistem perusahaan.
Rekayasa Sosial
Karyawan mungkin secara tidak sengaja memberikan informasi sensitif seperti detail login, kata sandi, atau data rahasia lainnya sebagai tanggapan terhadap taktik rekayasa sosial atau penipuan phishing. Mereka yang lebih mudah ditipu adalah karyawan baru yang tidak mengetahui “kebiasaan” perusahaan. Misalnya, penipu mungkin berpura-pura menjadi “bos” pendatang baru, lalu mencoba mencuri beberapa informasi penting tentang perusahaan atau melakukan pemerasan uang.
Salah satu contoh cara scammers beroperasi adalah dengan mengirimkan email yang menyamar sebagai atasan atau seseorang yang lebih senior (menggunakan alamat tidak resmi) meminta karyawan tersebut untuk melakukan tugas “segera”. Pemula akan dengan senang hati membantu. Tugasnya mungkin, seperti, mentransfer dana ke kontraktor atau melakukan pembelian sertifikat hadiah dengan nilai tertentu. Dan pesan tersebut memperjelas bahwa “harus dilakukan secara cepat” dan “Anda akan dibayar kembali pada penghujung hari”. Penipu berusaha tidak memberikan waktu kepada karyawan untuk berpikir atau memeriksa ulang dengan orang lain.
Di atas merupakan kesalahan yang dapat dilakukan karyawan karena kelalaian. Tapi apa yang terjadi jika seorang karyawan dengan sengaja berusaha merusak keamanan perusahaan saat bekerja atau tepat setelah meninggalkan pekerjaannya? Lebih banyak masalah keamanan IT UMKM yang mungkin akan muncul kemudian