Perusahaan yang beroperasi di industri jasa keuangan sama sekali tidak asing dengan sasaran berbagai bentuk kejahatan dan penipuan keuangan. Namun, seiring waktu, arena permainan telah berubah dan pelaku ancaman telah menyesuaikan taktik mereka agar lebih sesuai dengan dunia digital.
Penjahat dunia maya sekarang menggunakan berbagai bentuk penipuan dan pemerasan serta secara langsung membobol perusahaan untuk melapisi kantong mereka.
Keseriusan ancaman kejahatan dunia maya terhadap bisnis yang menawarkan layanan keuangan dapat diilustrasikan dengan biaya pelanggaran data di industri keuangan.
Menurut laporan C ost of Data Breach 2020, rata-rata biaya pelanggaran data di sektor jasa keuangan adalah US$5,85 juta dibandingkan dengan US$3,86 juta di seluruh responden di semua sektor dalam survei.
Selain itu, sektor keuangan tetap menjadi target yang menarik bagi para pelaku kejahatan, terutama karena jenis dan jumlah informasi yang dikumpulkannya dari para pelanggannya.
Jika terjadi pelanggaran yang berhasil, data dapat digunakan untuk melakukan penipuan identitas atau dijual di pasar bawah tanah, yang dapat menyebabkan kerusakan reputasi pada entitas yang dilanggar serta kemungkinan kerusakan reputasi dan moneter pada pelanggan yang terpengaruh.
Laporan Data Breach Investigation 2020 oleh Verizon memperkirakan bahwa 63% serangan yang dilakukan terhadap lembaga keuangan dilakukan oleh pelaku ancaman eksternal yang dimotivasi oleh keuntungan moneter.
Dalam kasus ini, organisasi dapat memperkirakan bahwa penjahat dunia maya akan melakukan serangan pengisian kredensial, serangan social engineering, penipuan, serangan DDoS, dan malware.
Pandemi COVID-19 telah memperburuk risiko, terutama karena banyak perusahaan terpaksa beralih bekerja dari jarak jauh, sebuah langkah yang menghadirkan serangkaian tantangannya sendiri.
Karena peralihan ini sangat mendadak, perusahaan mungkin tidak memiliki cukup waktu untuk menerapkan kebijakan keamanan siber dengan benar yang akan menangani kemungkinan titik lemah karena karyawan tiba-tiba bekerja dari rumah.
Ada kebutuhan yang jelas bagi perusahaan untuk meningkatkan langkah-langkah keamanan mereka guna mengurangi kemungkinan menjadi korban dari berbagai serangan yang diluncurkan.
Memang, survei ESET baru-baru ini di antara 10.000 konsumen dan pemimpin bisnis senior di berbagai belahan dunia mengungkapkan bahwa 45% bisnis telah mengalami pelanggaran.
Aspek manusia
Karyawan adalah landasan perusahaan, tidak ada keraguan tentang itu. Namun, seperti pepatah kuno yang mengatakan “berbuat salah adalah manusiawi”. Laporan tersebut menemukan fakta bahwa kesalahan manusia atau human error adalah salah satu dari tiga akar penyebab utama pelanggaran data, terhitung 23% dari pelanggaran.
Kesalahan yang dilakukan oleh karyawan dapat terjadi dalam berbagai bentuk, mereka dapat menjadi korban phising atau serangan manipulasi psikologis yang lebih bertarget, atau mereka dapat salah mengonfigurasi sistem.
Dua kesalahan pertama sangat mengancam karena peralihan metode kerja di masa pandemi ke pekerjaan jarak jauh. Karena perusahaan tidak siap untuk transisi yang cepat dan tidak terduga, alih-alih dapat menerapkan rencana yang matang, banyak yang dipaksa untuk bertindak secara reaktif, yang menyebabkan pekerja jarak jauh yang baru, tidak menerima pelatihan keamanan siber tambahan.
Peretas dapat memanfaatkan salah satu kejahatan online yang paling merusak secara finansial, penipuan Business Email Compromises (BEC). Selama serangan BEC, black hat menargetkan korban mereka dari akun email anggota staf yang lebih senior, atau anggota staf di mitra bisnis, meminta mereka untuk melakukan tugas yang sah seperti membeli dan mengirim barang atau pembayaran kabel.
Namun, alih-alih alamat atau rekening bank yang sah, penipu menambahkan alamat mereka sendiri, menipu perusahaan untuk mendapatkan uang. Atau, target dapat menerima email penipuan yang berisi tautan atau lampiran yang menyembunyikan malware, yang jika diunduh akan menduduki komputer mereka dan bahkan dapat menyebar ke seluruh jaringan.
Untuk mengurangi kemungkinan salah satu skenario ini terjadi, perusahaan harus memberikan pelatihan keamanan siber yang tepat kepada karyawan mereka. Latihan di mana karyawan diajari cara mengenali upaya phising atau social engineering harus dilakukan secara rutin.
Selain itu, tindakan yang baik adalah dengan secara teratur memberikan tip kepada pekerja untuk pekerjaan jarak jauh yang aman dan terjamin, serta dengan panduan tentang cara berkomunikasi menggunakan alat konferensi video dengan mempertimbangkan keamanan, atau cara mengamankan akses jarak jauh ke sistem perusahaan dengan aman. cara.
Dengan mengambil langkah-langkah yang diperlukan, sekarang perusahaan dapat melindungi diri dari kerusakan moneter dan reputasi di masa depan. Keuntungan tambahan adalah bahwa praktik keamanan siber ini akan terbukti berguna lama setelah pandemi berlalu, karena tidak semua orang akan bersemangat untuk kembali bekerja dari kantor.
Faktor teknis
Meskipun mendidik karyawan Anda adalah aspek penting dalam meningkatkan keamanan siber, itu hanyalah salah satu bagian dari teka-teki yang lebih besar. Beban pertahanan terhadap ancaman dunia maya harus dipikul oleh solusi teknis yang diterapkan di seluruh infrastruktur bisnis Anda.
Meskipun beberapa orang mungkin mempertanyakan perlunya menginvestasikan uang dalam jumlah besar, selalu lebih baik mengharapkan yang terbaik tetapi merencanakan yang terburuk. Menurut survei ESET, 28% bisnis tidak secara aktif berinvestasi dalam teknologi baru untuk membantu mengamankan keuangan atau setidaknya tidak tahu apakah itu benar.
Setiap perusahaan, tidak peduli ukurannya, harus memiliki rencana kesinambungan bisnis jika terjadi serangan siber. Rencana yang tepat harus selalu menyertakan backup data dan, jika anggaran memungkinkan, infrastruktur backup keseluruhan; ini bisa berguna, terutama jika serangan ransomware terjadi.
Namun, agar cadangan efektif, keduanya harus diperbarui secara teratur dan sering diuji untuk memastikan bahwa mereka beroperasi dengan benar. Semua sistem operasi dan perangkat lunak Anda harus diperbarui dan ditambal secara teratur.
Jika Anda mempekerjakan seorang profesional atau memiliki departemen yang didedikasikan untuk keamanan siber, mereka kemungkinan besar akan mengelola pembaruan ini sendiri atau mengatur sistem Anda dengan cara yang secara otomatis akan memperbarui ke versi terbaru yang tersedia.
