Menuntaskan Ancaman Siber di Lembaga Pendidikan
Antisipasi atas maraknya serangan siber pada institusi pendidikan sudah semestinya diambil tindakan untuk menuntaskan ancaman siber di lembaga pendidikan.
Dari berbagai insiden dan melalui beberapa riset kita bisa mengetahui bahwa banyak korban dari sektor pendidikan di berbagai negara di seluruh dunia.
Hal ini disebabkan oleh beberapa hal yang membuat pelaku kejahatan di dunia maya tertarik untuk melakukan serangan secara masif ke berbagai lembaga pendidikan.
Beberapa faktor yang umum terjadi pada lembaga pendidikan membuat mereka lebih rentan terhadap serangan siber dan peretas dibandingkan organisasi di sektor lain. Faktor-faktor tersebut adalah sebagai berikut:
- Keterbatasan anggaran
- Kurangnya kesadaran risiko siber
- Peranti keras dan peranti lunak lama
- Struktur kompleks
- Kurangnya keahlian teknis
- Penggunaan perangkat pribadi
|
Baca juga: Tindakan Preventif dari Serangan Siber |
Yang Dapat Dilakukan Lembaga Pendidikan untuk Melindungi Data
Jadi, bagaimana lembaga pendidikan dapat menuntaskan ancaman siber di lembaga pendidikan dan sekaligus melindungi data terpenting mereka dan mencegah terjadinya ancaman siber? Berikut langkah-langkahnya.
Berinvestasilah dalam Keamanan Siber
Awalnya, keamanan siber mungkin tidak tampak sebagai prioritas dalam pendidikan, tetapi keselamatan dan keamanan pengguna dan staf harus diutamakan, apa pun sektornya dan apakah ancaman itu fisik atau digital. Sama seperti keamanan fisik yang penting bagi staf dan siswa, keamanan siber harus diutamakan demi keberlangsungan lembaga.
Lembaga pendidikan tidak mungkin mencapai tujuannya tanpa lingkungan yang aman untuk bekerja dan belajar. Peluang terjadinya insiden siber meningkat, jadi mengambil tindakan untuk meminimalkan ancaman keamanan siber yang diketahui dan yang baru muncul adalah hal yang penting.
Berinvestasilah dalam keamanan siber berarti menyisihkan waktu dan uang untuk melakukan penilaian risiko yang tepat yang memprioritaskan kebutuhan organisasi dan menindaklanjuti temuan tersebut, baik itu berarti berfokus pada:
- Perangkat keras.
- Perangkat lunak.
- Keamanan TI pihak ketiga.
- Menerapkan kerangka kerja keamanan siber tepercaya seperti NIST.
- Menyusun kebijakan keamanan informasi.
- Mempromosikan kesadaran keamanan siber, atau
- Beberapa kombinasi dari semua praktik ini.
Ikuti Framework Keamanan Siber
HECVAT (Higher Education Community Vendor Assessment Toolkit) adalah framework keamanan yang dirancang untuk lembaga pendidikan tinggi, tetapi juga dapat diadaptasi untuk organisasi mana pun di sektor pendidikan.
Kerangka kerja ini membantu sekolah mengelola keamanan cloud mereka dengan lebih baik, yang telah menjadi kebutuhan di dunia saat ini.
Kerangka kerja keamanan lainnya juga dapat dimasukkan ke dalam program keamanan siber sekolah, seperti NIST CSF, yang menyediakan panduan umum untuk membantu organisasi membangun program TI yang lebih kuat.
NIST menyediakan serangkaian panduan dan praktik terbaik bagi organisasi untuk diikuti, yang dapat secara signifikan mengurangi risiko dan dampak serangan siber.
Penilaian Risiko
Hal pertama yang harus dilakukan lembaga pendidikan untuk melindungi datanya adalah melakukan penilaian risiko.
Suatu organisasi dapat meningkatkan postur keamanannya secara paling efektif ketika memahami sepenuhnya postur keamanan tersebut dan apa artinya dalam lanskap ancaman siber saat ini dan mengidentifikasi praktik apa yang harus diprioritaskan untuk membuat dampak terbesar secepat mungkin.
Oleh karena itu, penilaian risiko harus mengidentifikasi risiko yang paling mungkin terjadi dan risiko yang dapat menyebabkan kerusakan paling besar. Informasi ini akan memandu lembaga dalam upayanya untuk menerapkan kerangka kerja keamanan siber dan sistem perbaikan kerentanan.
Penilaian risiko internal juga akan mengidentifikasi peran utama yang bertanggung jawab untuk mengelola keamanan siber. Namun, keamanan siber tidak boleh dianggap sebagai perhatian hanya dari satu departemen tertentu. Setiap orang adalah pemangku kepentingan dalam perlindungan data. Setiap orang dalam suatu organisasi dapat melakukan bagian mereka untuk mengurangi risiko sibernya.
|
Baca juga: Forensik Digital Memecahkan Masalah Siber |
Kesadaran dan Pelatihan
Elemen manusia merupakan faktor penting dalam pelanggaran dan kebocoran data, dan tidak ada tanda-tanda bahwa ini akan berubah secara dramatis. Bahkan dengan kecerdasan buatan yang menangani lebih banyak proses dan memantau aktivitas manusia, selama manusia terlibat dalam suatu proses, kesalahan manusia merupakan risiko yang harus ditangani.
Banyak staf di industri pendidikan tidak menyadari risiko siber yang ada di sekitar mereka, membuat mereka dan data sensitif lebih rentan terhadap peretas dan penjahat siber. Jika orang tidak tahu adanya risiko, hampir mustahil untuk mengatasinya, jadi pelatihan kesadaran perlu menjadi pertimbangan awal.
Pelatihan kesadaran keamanan siber harus dimulai selama orientasi dan dapat berlangsung sepanjang siklus hidup karyawan. Pelatihan berkelanjutan memastikan bahwa anggota staf, terutama mereka yang menangani data siswa dan informasi sensitif lainnya.
- Selalu mengikuti perkembangan lanskap ancaman siber.
- Pengetahuan mereka selalu terkini mengenai cara mengidentifikasi.
- Melaporkan dan menanggapi aktivitas yang tidak biasa, termasuk upaya phishing, yang sering kali menjadi vektor serangan malware.
Mengembangkan Budaya Keamanan Siber
Sebagai salah satu cara untuk menuntaskan ancaman siber di lembaga pendidikan, perlu kiranya mengembangkan budaya keamanan siber di lingkungan pendidikan.
Seperti pelatihan berkelanjutan dapat menjadi bagian penting dalam mengembangkan budaya keamanan siber. Budaya keamanan siber merupakan hasil dari pelatihan kesadaran keamanan siber berkelanjutan bersama dengan inisiatif lain untuk meningkatkan kesadaran dan memberi insentif pada praktik terbaik.
Dalam budaya keamanan siber yang matang, bukan hal yang aneh jika keamanan siber menjadi pusat perhatian selama rapat. Selain itu, ada keterlibatan dari tingkat dewan dan, dari atas, di seluruh organisasi.
Hal ini diperlukan untuk menciptakan tenaga kerja yang menjadi garis pertahanan terhadap serangan yang semakin canggih, tidak dapat diprediksi, dan terus-menerus.
Standarisasi Keamanan Siber
Salah satu tantangan utama penerapan langkah-langkah keamanan di lembaga pendidikan besar adalah kurangnya kerangka kerja yang umum. Setiap departemen cenderung memiliki cara yang unik dalam melakukan berbagai hal, begitu pula perangkat keras dan perangkat lunaknya.
Untuk keamanan yang lebih baik, kepala departemen didorong untuk berkomunikasi, berkolaborasi, dan bekerja dengan personel TI yang bertanggung jawab penuh atas kerangka kerja TI.
Kerangka kerja TI yang terpadu lebih mudah dipantau dan dipertahankan. Personel keamanan siber akan dapat mengawasi manajemen akses istimewa dan memastikan autentikasi yang tepat diperlukan untuk data sensitif.
Dengan satu jaringan, staf TI juga dapat lebih mudah menerapkan pemutakhiran yang diperlukan untuk menjaga perangkat lunak dan perangkat keras tetap mutakhir dan aman dari ancaman siber yang muncul.
Tetapkan Kebijakan Keamanan Informasi
Tanpa kebijakan keamanan informasi yang jelas, setiap departemen dan individu di dalamnya akan mudah bertindak sendiri-sendiri. Sulit untuk mengidentifikasi apa yang salah selama insiden siber dan memperbaiki masalah jika setiap orang menggunakan praktik keamanan yang berbeda-beda atau tidak ada langkah-langkah keamanan.
Kebijakan keamanan informasi harus transparan dan mudah diakses oleh setiap orang yang mengakses jaringan universitas, termasuk mahasiswa dan staf.
Terapkan Autentikasi Multifaktor (MFA)
Menurut Microsoft, MFA dapat membantu mencegah hampir semua pelanggaran data. Dengan mewajibkan lebih dari satu bentuk autentikasi, biasanya kata sandi, MFA mempersulit peretas atau penjahat dunia maya untuk mengakses sistem.
Karena itu, MFA direkomendasikan di seluruh organisasi, untuk semua pengguna jaringan. Meskipun memerlukan waktu sedikit lebih lama untuk mendapatkan akses data, MFA dapat meningkatkan jaringan sekolah, perguruan tinggi, atau universitas secara signifikan dan cepat.
|
Baca juga: Mengidentifikasi Kerentanan Keamanan Siber |
Manfaatkan Kata Sandi yang Kuat
Meskipun ada prediksi bahwa MFA akan menggantikan kata sandi, hal itu belum terjadi. Sementara itu, staf dan peserta didik perlu menjaga kata sandi yang kuat.
Kata sandi yang kuat adalah kata sandi yang memerlukan waktu lama untuk dipecahkan oleh peretas. Kata sandi tersebut biasanya terdiri dari 8 karakter alfanumerik atau lebih, setidaknya satu simbol, dan tidak ada kata-kata yang dapat Anda temukan dalam kamus.
Dengan membuat kata sandi yang lebih rumit, peretas cenderung tidak dapat menebak atau menggunakan perangkat lunak untuk menebak kata sandi.
Kebersihan siber yang baik juga mencakup pemeliharaan kata sandi yang unik untuk setiap aplikasi yang menyimpan atau mengakses informasi keuangan.
Kredensial email dan kata sandi akun lainnya sering kali dibobol tanpa kesalahan individu. Jika suatu bisnis diretas dan kredensial akses dibobol, peretas biasanya akan mencoba kredensial akses tersebut terhadap akun lain untuk melihat apakah kredensial tersebut telah digunakan kembali, yang berpotensi membahayakan akun pengguna lainnya.
Gunakan Firewall
Firewall memantau semua yang mencoba masuk atau keluar dari jaringan. Firewall dapat memblokir file berbahaya dan menandai aktivitas mencurigakan, menjadikannya alat penting untuk melindungi jaringan, baik besar maupun kecil.
Meskipun demikian, sektor pendidikan cenderung lebih fokus pada keamanan perimeternya daripada apa yang terjadi di dalam jaringan. Meskipun memelihara firewall penting, penting juga untuk memantau aktivitas di jaringan untuk aktivitas yang tidak biasa dan berbahaya.
Organisasi tidak selalu tahu bahwa seorang peretas telah memperoleh akses ke jaringan saat itu terjadi. Rata-rata, dibutuhkan lebih dari 200 hari untuk mengidentifikasi pelanggaran data, yang dapat memakan waktu beberapa bulan untuk memperbaiki sistem.
Dengan kecenderungan memiliki struktur dan alur kerja internal yang besar dan rumit, sangat penting bagi lembaga pendidikan untuk menerapkan pemantauan berkelanjutan terhadap sistem mereka terhadap pelaku ancaman jahat.
Pertimbangkan Risiko Pihak Ketiga
Risiko pihak ketiga mengacu pada risiko dari vendor perangkat lunak dan mitra bisnis yang dapat memengaruhi keamanan lembaga pendidikan. Ini mungkin penyedia penyimpanan cloud, misalnya, atau penyedia perangkat lunak yang digunakan oleh staf administrasi.
Bisnis cenderung tidak memiliki pemahaman yang baik tentang jumlah vendor pihak ketiga yang mereka gunakan, apalagi postur keamanan vendor tersebut. Namun, organisasi semakin perlu memahami bagaimana pihak ketiga dan bahkan keempat memengaruhi mereka.
Hal pertama yang harus dilakukan oleh bisnis yang baru mengenal keamanan siber adalah memastikan mereka memiliki langkah-langkah keamanan yang memadai dengan mengikuti praktik terbaik keamanan siber.
Sesegera mungkin, mereka harus mengaudit vendor pihak ketiga mereka, karena mereka akan tetap berisiko sampai mereka memahami profil risiko vendor tersebut dan mengambil langkah-langkah untuk memperbaiki atau mengurangi kerentanan tersebut.
|
Baca juga: Salah Persepsi Ancaman Siber |
Gunakan Jaringan Privat Virtual (VPN)
Penjahat dunia maya menggunakan VPN untuk membantu menyembunyikan identitas dan lokasi mereka. Namun, VPN juga memiliki kegunaan yang sah bagi individu dan bisnis. VPN melindungi privasi dan membantu orang terhindar dari pelacakan oleh peretas dan penjahat dunia maya.
Penggunaan perangkat lunak VPN di lembaga pendidikan dapat membantu pengguna terhindar dari serangan seperti serangan man-in-the-middle, di mana komunikasi dicuri atau dimodifikasi tanpa sepengetahuan peserta, dan serangan phishing.
Mendorong siswa untuk menggunakan VPN dan menghindari jaringan yang tidak aman dapat membantu menjaga mereka dan jaringan yang mereka hubungkan agar aman dari aktivitas jahat.
Enkripsi
Enkripsi berguna saat jaringan telah disusupi atau perangkat hilang atau dicuri. Jika terjadi insiden seperti itu, enkripsi akan mempersulit peretas dan penjahat dunia maya untuk mengakses data sensitif.
Mendekripsi data yang telah dienkripsi dengan algoritma yang kuat memerlukan metode dan alat yang canggih sehingga praktik ini dapat menambah tingkat perlindungan yang baik untuk semua data sensitif dan berharga yang dimiliki oleh suatu organisasi.
Lebih jauh lagi, sangat penting bahwa semua komunikasi dan transaksi daring melalui web, seperti pengisian kuesioner daring, pengiriman informasi evaluasi, atau penggunaan kartu debit atau kredit untuk membayar kursus atau akomodasi dilakukan dengan Transport Layer Security, yang ditandai dengan HTTPS dan ikon gembok tertutup di kolom URL browser.
Sudah semestinya menuntaskan ancaman siber di lembaga pendidikan menjadi salah satu fokus utama pemerintah sebagai upaya perlindungan menyeluruh terhadap aset bangsa, semoga informasi ini bisa menjadi acuan dalam mengatasi ancaman tersebut.
Sumber berita:
