Keamanan siber Berita utama terus diselingi oleh pelanggaran-pelanggaran tingkat tinggi yang sangat mengganggu. Faktanya, pada tahun 2025 telah terjadi beberapa insiden paling merusak yang pernah tercatat, dimana organisasi seperti M&S dan Co-Op mengalami gangguan yang parah dan memakan biaya yang besar.
Jika perkiraan biaya M&S sebesar £100 juta lebih tidak cukup buruk, hal itu dikalahkan oleh insiden di JLR. dilaporkan secara luas sebagai insiden dunia maya termahal dalam sejarah Inggris, dengan nilai ekonomi keseluruhan diperkirakan mencapai £1,9 miliar.
Insiden-insiden ini dan insiden-insiden lainnya mengungkap paradoks keamanan siber yang paling bertahan lama. Manusia adalah pihak yang paling kuat dan terlemah dalam rantai tersebut. M&S secara terbuka menyatakan bahwa pelanggarannya adalah akibat dari “kesalahan manusia”. Meskipun juri masih belum bisa ditentukan di JLR, spekulasi mengarah pada kompromi kredensial, sebuah taktik rekayasa sosial klasik.
Pada saat yang sama, karyawan juga merupakan landasan ketahanan dunia maya yang efektif, dengan tenaga kerja yang terlibat dan berpengetahuan luas yang idealnya ditempatkan untuk mengenali dan menghentikan aktivitas mencurigakan jauh sebelum aktivitas tersebut berkembang menjadi insiden berskala besar.
Masalah yang buruk menjadi semakin buruk
Masalah untuk keamanan Para pemimpinnya adalah bahwa rekayasa sosial masih merupakan cara paling efektif untuk melewati kendali teknis yang kuat. Masalahnya menjadi lebih akut seiring dengan semakin banyaknya pelaku ancaman yang menggunakannya AI untuk memberikan serangan phishing yang menarik, dipersonalisasi, dan terukur.
Meskipun banyak insiden serupa yang tidak pernah menarik perhatian publik, upaya tahun lalu untuk menipu WPP menggunakan kloning video dan suara yang dihasilkan AI untuk menyamar sebagai eksekutif senior dalam pertemuan deepfake yang sangat meyakinkan.
Sayangnya, risikonya tidak berhenti sampai di situ. Bahkan dengan kontrol teknis yang kuat dan kewaspadaan tenaga kerja terhadap taktik rekayasa sosial, risiko juga datang dari karyawan yang menggunakan alat, perangkat, atau proses yang berada di luar tata kelola TI formal.
Dikenal luas sebagai ‘TI Bayangan’, perilaku ini sering kali berasal dari niat baik, yaitu orang-orang berusaha bekerja lebih cepat atau berkolaborasi dengan lebih efektif ketika alat resmi tidak memenuhi kebutuhan mereka serta alternatif yang mereka temukan. Akibatnya adalah titik buta keamanan dan risiko tata kelola data yang terus menimbulkan kesulitan serius.
Daftar tantangannya terus bertambah, dengan kebiasaan sehari-hari seperti penggunaan kembali kredensial, menyimpan file di lokasi yang tidak disetujui, berbagi data melalui konsumen aplikasi atau menggunakan Wi-Fi publik yang tidak aman, semuanya berpotensi merusak keamanan organisasi.
Perlunya perubahan budaya
Jadi, apa dampaknya bagi kita? Mengurangi risiko manusia bukan hanya tentang menghilangkan kesalahan, namun juga tentang menciptakan lingkungan di mana perilaku aman menjadi hal utama. Misalnya, jelas bahwa pelatihan kotak centang di mana orang secara pasif mengeklik modul umum tidak sesuai dengan tujuannya.
Yang dibutuhkan adalah perubahan dalam pola pikir dan budaya, dimana karyawan memahami tidak hanya apa yang tidak boleh dilakukan, tapi juga mengapa keputusan mereka sehari-hari, alat apa yang mereka percayai, bagaimana mereka menangani permintaan yang tidak terduga, dan kapan mereka memilih untuk memperlambat dan mengecek ulang sesuatu daripada bertindak berdasarkan naluri benar-benar penting.
Dari sudut pandang kepemimpinan, lebih baik menumbuhkan budaya di mana orang-orang merasa nyaman melaporkan aktivitas mencurigakan tanpa takut disalahkan, daripada lingkungan di mana mengambil risiko terasa seperti pilihan yang lebih mudah.
Didorong oleh rasa frustrasi karena pelatihan kesadaran tidak berhasil, banyak organisasi telah menerapkan perangkat keamanan berlapis untuk menutup kesenjangan keamanan yang berpusat pada manusia. Meskipun tidak ada seorang pun yang membantah bahwa alat-alat itu penting, alat-alat tersebut hanya akan berfungsi sejauh ini, dan tanpa budaya yang kuat, dampaknya akan terbatas.
Budaya yang kuat
Tapi seperti apa ‘budaya kuat’ ini? Pertimbangkan skenario ini: Seorang karyawan menerima hal yang tidak terduga e-mail permintaan yang terlihat rutin tetapi terasa agak “tidak aktif”. Mungkin, itu adalah pemasok yang meminta rincian akun, atau kolega yang meminta akses ke dokumen yang biasanya tidak mereka perlukan.
Alih-alih bertindak cepat untuk menghindari penundaan pekerjaan, karyawan tersebut justru berhenti sejenak karena budaya telah menjadi normal dan melambat ketika ada sesuatu yang tampak tidak biasa.
Mereka juga tahu persis bagaimana cara melaporkan atau memverifikasi karena prosesnya sudah familiar dan mudah dipahami, tanpa ada kebingungan tentang siapa yang harus dihubungi atau apakah mereka akan disalahkan jika menimbulkan peringatan palsu.
Pemeriksaan cepat dengan tim keamanan mengonfirmasi bahwa permintaan tersebut tidak sah. Tim menganggap laporan tersebut sebagai sesuatu yang berharga intelijen daripada ketidaknyamanan.
Kepemimpinan mengakui tindakan karyawan, memperkuat bahwa keputusan yang bijaksana dan pelaporan awal diakui dan dihargai. Insiden ini menjadi contoh pembelajaran bagi organisasi yang lebih luas, dan dibagikan sebagai praktik terbaik untuk membantu organisasi lain mengenali pola serupa di masa depan.
Hal mendasarnya adalah hal ini perlu dilakukan lebih sering. Lakukan pendekatan yang tepat, dan organisasi dari berbagai ukuran akan memiliki peluang lebih besar untuk tetap berada di jalur yang benar ketika menghadapi serangan siber yang berpotensi meningkat menjadi ancaman nyata.
Kami telah menampilkan VPN bisnis terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
