Menu

Perusahaan Apapun, Belajarlah dari Bobolnya eBay

Perusahaan Apapun, Belajarlah dari Bobolnya eBay

Besarnya skala pembobolan data eBay minggu lalu secara dramatis menunjukkan bahwa perusahaan apapun di dunia ini rentan terhadap peretasan yang dapat berdampak pada dicurinya data-data konsumen.

Betapapun besarnya Anda sebagai sebuah perusahaan, betapapun canggihnya teknologi Anda dan tak peduli berapa banyakpun orang-orang cerdas yang Anda pekerjakan, sistem-sistem komputer Anda tetap rentan. Akan selalu ada metode-metode serangan yang lebih inovatif dan lebih cerdas bagi para peretas untuk menggunting protokol-protokol dan teknologi-teknologi keamanan paling mutakhir sekalipun—tetapi yang lebih umum di kalangan peretas adalah memanfaatkan kelemahan-kelemahan yang disebabkan oleh staf yang kurang terlatih atau perubahan-perubahan pada sistem-sistem Anda yang tidak menjalani pengujian keamanan yang semestinya. 

Pembobolan data eBay berpotensi mempengaruhi 145 juta penggunanya di seluruh dunia, yang disarankan untuk mengganti password-password dan detil-detil login. Reputasi perusahaan ini di seluruh dunia adalah yang tertinggi di dunia sebagai pemimpin di ruang online,  dan yang model bisnisnya sangat mengandalkan pada kepercayaan konsumen terhadap platform itu.

Sekarang jadi jelas bahwa eBay dibobol dengan menggunakan data-data pribadi rahasia milik seorang karyawan resmi perusahaan itu untuk mencuri data melalui jaringan korporasi—ada satu tautan yang lemah.

Jadi setelah diberi peringatan tepat waktu ini bahwa tidak seorangpun aman dari serangan—dan bahwa seorang penyerang yang nekat sulut sekali dihentikan–apa yang harus dilakukan oleh para pemilik usaha dan manajer bisnis?  

Pertama, pengusaha harus lebih berfokus pada bagaimana memahami data sensitif apa yang disimpan di jearingan mereka. Belakangan ini semakin banyak saja pemikir-pemikir keamanan yang sudah maju mengambil pendekatan yang menyeluruh. Tentu saja perimeter tetap penting, tetapi begitu Anda sudah menilai data apa yang paling berharga dan paling sensitif dan di mana data itu disimpan, Anda dapat mengambil pendekatan yang lebih strategis untuk menguncinya dengan aman.

Jadi, alih-alih membangun pagar perimeter di seputar data Anda dan melakukan patroli dari luar, patrol justru harus dilakukan di dalam lingkungan pagar. Ini disebut data-centric security model (model keamanan yang berfokus pada data).

Ide ini diperuntukkan bagi piranti lunak agar dapat memahami di mana data konsumen yang sensitif disimpan, lalu mengamankannya dengan menghapus, mengkarantinakan, atau  melakukan perubahan pada materi konsumen yang sensitif, dan dengan demikian mengeliminasi nilai pasar gelapnya bagi para peretas. Toh, tidak ada yang bisa mencuri data yang sudah tidak ada. 

Kebanyakan perusahaan tidak memahami  seberapa besar volume informasi personal milik klien dan konsumen yang ada dalam sistem mereka, dan tidak bisa menjawab pertanyaan mengapa mereka menyimpan informasi itu. 

Jika tidak ada justifikasi bisnis atau alasan regulatif yang memadai mengapa mereka menyimpan data pribadi konsumen, Anda harus menghancurkan data itu, atau, kalau tidak,  Anda akan menjadi target ideal serangan para peretas. Informasi pribadi ini adalah mata uang yang berlaku di jaman internet ini, dan karenanya nilainya sangat besar. 

Informasi pribadi yang dicuri dari eBay mencakup nama-nama konsumen, password-password yang sudah dienkripsi, alamat-alamat email, alamat-alamat fisik, nomor-nomor telpon dan tanggal lahir.  Banyak kalangan pengusaha percaya bahwa data pribadi yang paling kritis adalah yang  berhubungan dengan nomor-nomor kredir, nomor-nomor dan password-password rekening bank, atau dokumen-dokumen identitas lembaga. Sesungguhnya bukan itu masalahnya.

Data konsumen eBay yang dibobol itu sekarang ini beresiko menjadi sasaran peretasan.  Serangan ini biasa dilakukan oleh penjahat-penjahat dan penipu-penipu yang menggunakan informasi pribadi untuk menciptakan kesan akrab palsu—seperti mengirimkan email yang berisi perintah palsu kepada pengguna untuk masuk ke website berlabel eBay palsu. Ini dirancang untuk mendapat password pengguna yang  tak terenkripsi, mengirimkan malware, atau menipu pengguna agar memasukkan informasi-informasi pribadi lainnya, seperti detil-detil kartu kredit. 

Di Australia, insiden pembobolan data akan menjadi lebih mahal. Rata-rata kerugian akibat pembobolan data di Australia naik menjadi USD2.8 juta, menurut laporan terbaru Ponemon Institute Cost of a Data Breach.

Untuk saat ini, perusahaan tidak diwajibkan untuk melaporkan secara resmi kapan mereka pernah mengalami pembobolan data. Jadi, semarak apapun tampaknya peretasan dan aktifitas-aktifitas penipuan online lainnya di Australia, kenyataannya lebih buruk lagi. Idealnya, situasi itu harus diubah dan diintrodusirnya-kembali Mandatory Data Breach Notification Bill pada bulan Maret adalah satu langkah ke arah sana. Undang-undang itu akan mendorong kalangan bisnis di Australia untuk berpikir dengan seksama  sebelum menyimpan informasi pribadi konsumen mereka.•••

back to top