Phishing Training yang merupakan salah satu dari beberapa Pelatihan Kesadaran Keamanan Siber menjadi hal yang sangat penting untuk pertahanan keamanan siber di sebuah perusahaan. Saat terjadi kegagalan dalam sistem, satu-satunya yang menjadi pertahanan terakhir adalah pengguna akhir (end user). Bukan hanya itu menurut Charles Ng, Executive Vice President Internasional Business Ensign InfoSecurity, kejahatan siber tengah menjadi sesuatu yang mengancam seiring dengan pertumbuhan dan perkembangan adopsi digital di seluruh dunia. Sayangnya, masih banyak dari karyawan perusahaan yang masih belum sadar akan bahaya dari ancaman serangan siber tersebut.
Source: Databoks Katadata
Serangan siber seperti phishing, malware, ransomware, dan serangan DDoS dapat menyebabkan kerusakan yang signifikan pada sistem dan data perusahaan, serta mengakibatkan kerugian finansial dan reputasi yang serius. Dan menurut Databoks, phishing adalah serangan yang sangat mendominasi untuk melancarkan serangan melalui email.
Source: Anti-Phishing Kaspersky
Serangan phishing pada tahun 2022 meningkat secara signifikan. Terdapat sebanyak lebih dari 12 juta tautan phishing berbahaya di wilayah Asia Tenggara (SEA) periode Januari-Juni 2022 menurut data dari Anti-Phishing Kaspersky. Ini meningkat pesat dibandingkan total tautan phishing yang terdapat di sepanjang tahun 2021. Terdapat sebanyak lebih dari 1,5 juta serangan yang menyerang Indonesia pada semester pertama 2022, dimana itu artinya Indonesia menjadi negara Asia Tenggara di posisi keempat yang menjadi sasaran phishing.
Tujuan utama dari phishing biasanya untuk mendapatkan akses ke informasi sensitif dan rahasia dari korban, seperti username, password, informasi akun keuangan dan lainnya. Serangan phishing dilakukan dengan cara membuat pesan palsu atau situs web palsu yang menyerupai layanan atau perusahaan yang sah, dengan tujuan membuat korban memasukkan informasi pribadi atau mengklik tautan berbahaya yang akan membawa korban ke situs web yang tidak sah. Selain itu, phishing juga dapat digunakan untuk melakukan serangan lebih lanjut seperti serangan malware, DDoS atau bahkan ransomware, yang dapat mengakibatkan kerugian yang lebih besar lagi kepada perusahaan.
Untuk melindungi perusahaan dari serangan phishing, perlu diterapkan human firewall yang kuat. Human firewall merujuk pada kebijakan, prosedur, dan praktik yang dirancang untuk meningkatkan kesadaran dan kewaspadaan pegawai perusahaan terhadap serangan siber, termasuk serangan phishing. Dalam konteks human firewall, pelatihan kesadaran keamanan siber sangat penting untuk membantu pegawai perusahaan mengenali dan menghindari serangan phishing. Pelatihan ini harus mencakup edukasi tentang bagaimana phishing bekerja, bagaimana mengenali email phishing yang mencurigakan, serta langkah-langkah yang harus diambil jika menerima email phishing.
Ada 7 alasan mendesak mengapa sebuah organisasi atau perusahaan perlu untuk menerapkan Human Firewall secepat mungkin:
1. Ransomware Menjadi Ancaman Utama
Ransomware yang terus meningkat menjadi ancaman utama bagi perusahaan, karena serangan ini dapat mengakibatkan kehilangan akses ke data penting, kerugian finansial yang signifikan serta dapat merusak reputasi perusahaan jika data pelanggan atau informasi rahasia bocor ke publik.
2. Phishing Mendominasi Tipuan Digital
Internal Revenue Service (IRS) mengumpulkan beberapa tersangka dalam tampilan tahunannya pada penipuan Dirty Dozen yang perlu diwaspadai tahun ini. Menurut mereka, serangan phishing dan malwarware mengalami lonjakan yang signifikan sejak tahun 2016. Dan phishing menjadi pintu masuk utama dari malware, ransomware dan kebocoran data perusahaan karena masih banyaknya karyawan yang tidak mengetahui ciri-ciri dari serangan ini.
3. CEO Fraud / W-2 Scams Menduduki Peringkat Kedua
Pada bulan Februari 2023 kemarin, IRS mengeluarkan peringatan lain tentang W-2 Scams yang berbahaya dan semakin berkembang. Awalnya serangan ini menargetkan sekolah, perusahaan swasta dan pelayanan publik lainnya. Divisi yang sering menjadi target utama serangan ini adalah Divisi Akuntansi dan HR, mereka mendapat serangan melalui email, telepon dan perpesanan.
4. Phone Scams
Sering kali phone scams ini dilakukan dengan teknik social engineering atau rekayasa sosial, dimana penjahat siber akan menyamar menjadi “Tech Support” dan meminta kata sandi atau berpura-pura memecahkan masalah teknis. Penting untuk melatih karyawan agar waspada ketika mengangkat telepon, karena bisa jadi orang yang ada di ujung telepon tersebut penjahat yang coba menyamar untuk medapatkan akses ke network korbannya.
5. Antivirus Semakin Tidak Efektif
Meskipun antivirus telah menjadi alat keamanan standar di hampir semua perangkat, namun antivirus saja tidak cukup karena angka keberhasilannya dalam mendeteksi serangan siber semakin menurun. Menurut laporan AV-TEST Institute pada tahun 2021, rata-rata tingkat deteksi antivirus untuk ancaman malware baru hanya sekitar 96,2%, menunjukkan bahwa antivirus tidak lagi menjadi solusi keamanan tunggal yang efektif untuk perusahaan.
6. Internet of Things (IoT)
Internet of Things (IoT) telah membawa revolusi dalam cara kita menghubungkan perangkat elektronik dan mengakses data secara online. Namun, dengan semakin banyaknya perangkat yang terhubung ke internet, keamanan siber menjadi semakin kompleks dan rentan. Hal ini karena kebanyakan perangkat IoT dirancang dengan fokus pada fungsionalitas daripada keamanan, sehingga membuat mereka rentan terhadap serangan siber. Jika organisasi Anda berkaitan dengan infrastruktur penting, pengguna perlu mengetahui risikonya dan melakukan pelatihan sehingga mereka siap menghadapi segala jenis serangan terhadap IoT.
7. Terlalu Mengandalkan Web-Service
Ada dua hal yang perlu diperhatikan mengenai Web Service. Pertama, shadow-IT dimana dengan adanya web service sering kali karyawan melewati divisi IT dan membuat penyimpanan dan service mereka sendiri yang sering kali kerentanan dan data breach yang tidak dapat dikendalikan oleh IT. Kedua, aplikasi web dan aplikasi mobile semakin rentan terhadap serangan saat berkomunikasi dengan layanan pihak ketiga. Ini adalah masalah yang perlu diselesaikan oleh pengembang dengan protokol industry-strength handshaking (proses tukar-menukar informasi keamanan) dan enkripsi berkekuatan industri.
Mengembangkan kesadaran keamanan siber yang tepat di kalangan karyawan dan pengguna adalah kunci untuk melindungi perusahaan dari serangan siber, mengurangi risiko keamanan, dan melindungi data sensitif. Melalui Security Awareness Training yang efektif, perusahaan dapat meningkatkan kualitas keamanan, meningkatkan produktivitas, dan meminimalkan kerugian yang disebabkan oleh serangan siber. Jika ingin tau lebih lanjut mengenai Security Awareness Training, silahkan hubungi kami dengan klik link ini. Semoga blog ini bermanfaat.
Sources:
Comments