Karyawan yang buta huruf berbahaya bagi perusahaan. Mereka bisa mematahkan kayu bakar sehingga mereka harus dibawa dengan kereta api. Ini berlaku untuk industri dan posisi dan keamanan informasi apa pun. Ini berlaku sepenuhnya: mengklik lampiran atau drive flash yang terinfeksi yang dibawa dari rumah - itu saja, ransomware ransomware memasuki jaringan perusahaan, pekerjaannya lumpuh, departemen TI mencari cadangan terbaru untuk memulihkan disk komputer dienkripsi oleh virus, dan finder menghitung kerugian downtime.Selain itu, sesuai dengan efek Dunning-Krueger yang terkenal, karyawan yang buta huruf tetap penuh keyakinan bahwa mereka melakukan segalanya dengan benar atau, setidaknya, tidak melakukan sesuatu yang mengerikan. Dan inilah yang sering menyebabkan konsekuensi bencana.
Faktanya, hampir semua sistem perlindungan tidak berguna jika karyawan tidak memiliki setidaknya dasar-dasar keamanan informasi. Karyawan tersebut menjadi kerentanan utama dalam sistem komputer perusahaan Anda.
Memahami keadaan ini, para penjahat cyber semakin menggunakan perusahaan korban sebagai kerentanan mereka untuk serangan mereka. Menggunakan buta huruf manusia jauh lebih mudah daripada menemukan kerentanan dalam jaringan perusahaan. Karena buta informasi keamanan bahkan dari satu karyawan, sebuah organisasi berisiko kehilangan uang, data dan reputasi, mendapatkan klaim hukum, atau kehilangan peralatan.
Pakar Trend Micro berbicara tentang jenis serangan yang dihadapi karyawan: perangkat kompromi, phishing, dan suvenir berbahaya.
Kompromi perangkat
Menggunakan gadget dan laptop Anda sendiri (Bawa Perangkat Anda Sendiri, BYOD) untuk bekerja di perusahaan adalah tren yang modis, terutama yang populer di kalangan pemula. Tampaknya organisasi proses semacam itu merupakan perwujudan dari prinsip Menang-Menang: perusahaan tidak harus mengeluarkan uang untuk pembelian dan pemeliharaan tempat kerja, dan karyawan itu bekerja pada laptop yang ia sendiri pilih dan konfigurasikan. Jika dia ingin bekerja di rumah, dia tidak perlu menyalin file kerja, dan akses ke sistem perusahaan sudah terkonfigurasi. Biaya pembelian perangkat diimbangi oleh kemampuan untuk tidur lebih lama atau bahkan tinggal di rumah, bekerja dari jarak jauh.
Dari sudut pandang keamanan informasi, penggunaan satu perangkat untuk menyelesaikan pekerjaan dan tugas-tugas rumah merupakan sumber risiko serius, terutama jika karyawan tidak terlalu rajin mempelajari dasar-dasar keamanan informasi.
Setelah hari yang sibuk, saya ingin terganggu. Mengunduh film dan musik, mencari game atau program bajakan dapat menyebabkan sesuatu yang berbahaya masuk ke komputer. Dan kemudian, ketika terhubung ke jaringan perusahaan, semua data perusahaan akan dikompromikan.
Jika Anda berlari ke kafe dan terhubung ke jaringan perusahaan melalui Wi-Fi publik untuk menyelesaikan laporan untuk secangkir kopi, kredensial dapat disadap dan digunakan untuk mencuri informasi rahasia. Dan laptop atau tablet dapat dicuri atau dibawa pergi dari rumah ke kantor. Bersama dengan laptop, data yang terkandung di dalamnya juga akan bocor.
Banyak wajah phishing
Cara tradisional mengatur alur kerja dalam bentuk komputer stasioner sebagian menghilangkan risiko yang khas untuk BYOD, tetapi dalam kasus ini juga, tingkat melek informasi yang tidak memadai dapat menjadi fatal bagi organisasi. Semua karyawan menggunakan email, yang berarti mereka adalah calon korban phishing - email palsu yang disamarkan sebagai email dari layanan pengiriman, kontraktor, dukungan teknis atau manajemen.
Dengan menggunakan phishing, penjahat dunia maya dapat memaksa korban untuk meluncurkan malware yang melekat pada surat itu, memasukkan kredensial mereka untuk memasuki jaringan, atau bahkan melakukan pembayaran menggunakan rincian penipu alih-alih rekanan nyata.
Tombak phishing adalah bahaya tertentu, di mana penjahat cyber pertama-tama mengumpulkan data tentang organisasi, strukturnya, karyawan, dan proses kerjanya, dan kemudian menyiapkan surat yang berisi nama dan posisi asli, disusun sesuai dengan standar organisasi. Mengenali surat-surat ini lebih sulit, oleh karena itu keefektifan surat seperti itu jauh lebih tinggi.
Email phishing mungkin tidak mengandung lampiran berbahaya dan terlihat benar-benar tidak berbahaya jika menyangkut semacam phishing yang mengkompromikan korespondensi bisnis (Business Email Compromise, BEC). Dalam hal ini, penipu memulai korespondensi dengan salah satu pemimpin perusahaan atas nama organisasi lain dan secara bertahap meyakinkannya tentang perlunya mentransfer uang ke akun mereka. Terlepas dari sifat fantastis skenario yang digambarkan, pada musim semi tahun 2018 para penyerang
memikat 19 juta euro dari cabang Belanda dari perusahaan film Prancis Pathé .
Perangkat Kejutan
Penyerang tidak tinggal diam. Kami akan menyaksikan bentuk serangan baru yang ditujukan untuk pengguna yang naif dan tidak semuanya akan didistribusikan melalui Internet. Salah satu contohnya adalah serangan melalui flash drive gratis. Di acara mitra, presentasi, konferensi, dan hanya sebagai hadiah, karyawan sering menerima flash drive dengan materi kerja. Seorang karyawan yang tidak tahu dasar-dasar keamanan informasi mungkin akan segera memasukkan USB flash drive ke komputer saat tiba di kantor - dan mungkin menerima kejutan berbahaya. Kadang-kadang penyelenggara acara bahkan tidak tahu bahwa komputer dari mana materi iklan direkam pada USB flash drive terinfeksi dengan sesuatu.
Teknik ini juga dapat digunakan untuk menginfeksi komputer korban dengan sengaja. Pada tahun 2016, sebuah percobaan dilakukan di University of Illinois, menyebarkan 300 drive flash "terisi" di kampus untuk memeriksa berapa banyak orang yang akan menggunakannya dan seberapa cepat itu akan terjadi. Hasil percobaan mengejutkan para peneliti:
flash drive pertama terhubung ke komputer setelah 6 menit , dan hanya 48% dari mereka yang menemukan flash drive menemukan flash drive, dan semuanya membuka setidaknya satu file di dalamnya.
Salah satu contoh skala besar dari serangan nyata (
DarkVishnya ), ketika petugas keamanan bank tidak melihat perangkat tersembunyi yang terhubung ke jaringan. Untuk melakukan serangan itu, para penyerang memasuki kantor bank dengan dalih kurir atau pengunjung, dan kemudian dengan diam-diam menghubungkan komputer mini Bash Bunny yang menyamar sebagai flash drive USB, netbook murah atau komputer papan tunggal berbasis Raspberry Pi yang dilengkapi dengan modem 3G / LTE ke jaringan lokal bank. Perangkat menyamar sebagai lingkungan untuk membuatnya lebih sulit untuk dideteksi. Lebih jauh, para penyerang yang terhubung dari jarak jauh ke perangkat mereka, memindai jaringan bank untuk mengetahui kerentanan, menembusnya dan mencuri uang. Akibatnya, beberapa bank di Eropa Timur menderita, dan kerusakan dari serangan DarkVishnya berjumlah beberapa puluh juta dolar.
Performa serangan yang mengesankan dengan flash drive yang hilang menunjukkan betapa sembrononya orang tentang keamanan dan betapa pentingnya mendidik pengguna tentang perilaku yang benar dalam situasi seperti itu.
Apa yang harus dilakukan?
Meskipun ada banyak perlindungan perangkat lunak dan perangkat keras di pasar, ada baiknya mengalokasikan sebagian dari anggaran untuk melawan serangan yang ditujukan kepada karyawan. Berikut adalah rekomendasi yang paling penting:
-
Melatih. Semua karyawan harus memahami bahwa ketidaktahuan tentang prinsip-prinsip keamanan informasi tidak dibebaskan dari tanggung jawab, dan oleh karena itu, tertarik untuk meningkatkan kesadaran mereka tentang masalah ini. Di pihak perusahaan, biaya penyelenggaraan dan pelaksanaan seminar pelatihan tentang keamanan informasi harus dianggap sebagai investasi dalam mengurangi risiko dan mencegah kerusakan.
-
Latih. Pengetahuan teoretis dengan cepat diperas dari memori oleh informasi yang lebih populer. Memperkuat keterampilan dalam latihan akan membantu melatih serangan. Dengan bantuan mereka, Anda dapat mengidentifikasi karyawan yang belum mempelajari informasi dan melakukan pelatihan ulang untuk mereka.
-
Menerapkan kebijakan "Lihat sesuatu, katakan sesuatu". Dihadapkan dengan ancaman dunia maya, seorang karyawan dapat tetap diam tentang hal ini sampai yang terakhir, karena takut diberhentikan atau mencoba untuk menghilangkannya secara mandiri. Sementara itu, pemberitahuan insiden yang tepat waktu membantu mencegah penyebaran malware di seluruh jaringan perusahaan. Berdasarkan hal ini, penting untuk membangun peraturan layanan sedemikian rupa sehingga karyawan yang melaporkan serangan menerima rasa terima kasih, dan layanan keamanan informasi dapat memperbaiki ancaman dan mulai menghilangkannya.
Kesimpulan
Setiap sistem komputer rentan, dan tautan terlemah di dalamnya, sebagai aturan, adalah seseorang. Tugas masing-masing pemimpin bisnis adalah untuk meminimalkan risiko di bidang keamanan informasi yang terkait dengan serangan terhadap karyawan. Dalam memecahkan masalah ini, pelatihan, pelatihan dan organisasi yang tepat dalam pemrosesan insiden cyber akan membantu. Idealnya, memiliki pemahaman dasar tentang keamanan siber harus menjadi bagian dari filosofi perusahaan.