Sudah lebih dari empat tahun sejak UE menerapkan Peraturan Perlindungan Data Umum yang inovatif. GDPR menjadi model untuk undang-undang privasi data pribadi di banyak negara lain, dan untuk Undang-Undang Privasi Konsumen California (CCPA), yang mulai berlaku pada tahun 2020. Undang-undang privasi data baru akan mulai berlaku di empat negara bagian AS lagi pada tahun 2023, dan enam negara bagian secara aktif mengerjakan RUU.
Tetapi dalam waktu empat tahun, sedikit kemajuan telah dibuat di tingkat federal. Draf diskusi terbaru dari Undang-Undang Privasi dan Perlindungan Data Amerika, yang dirilis pada 6 Juni, memiliki beberapa masalah yang belum terselesaikan yang kemungkinan akan menghalangi dari dukungan bipartisan. Kurangnya peraturan privasi federal ini merugikan bisnis AS dengan cara yang bahkan tidak mereka sadari.
Ketidakpastian peraturan dan kurangnya standar kepatuhan tunggal jelas mahal, meskipun jumlahnya sulit diukur. Apa yang kurang jelas tetapi lebih terukur adalah ledakan kejahatan terhadap bisnis, khususnya kompromi email bisnis (BEC) dan ransomware. Kejahatan-kejahatan ini didorong oleh ketersediaan luas dari data pribadi yang sangat rinci dan dikumpulkan secara legal. Jika pemerintah tidak bertindak, bisnis harus mengambil langkah-langkah untuk membantu karyawan melindungi data pribadi mereka dan, dalam prosesnya, melindungi diri mereka sendiri.
Menurut data dari IC3, Pusat Pengaduan Kejahatan Internet FBI, serangan BEC merugikan bisnis sebesar $2.4 miliar pada tahun 2021, naik dari $ 1.8 miliar 2020. Selain itu, mereka mengerdilkan semua jenis kejahatan dunia maya lainnya terhadap bisnis, menyumbang 34% dari kerugian tahun 2021 dari semua jenis kejahatan dunia maya. Skema Ransomware merugikan bisnis $49 miliar pada tahun 2021, kata IC3, lebih dari dua kali lipat dari $ 20 miliar 2020.
Biaya tersebut hanya mencerminkan kerugian langsung. Berdasarkan penelitian dari Institut Ponemon, biaya kehilangan produktivitas dan perbaikan kredensial yang disusupi dan sistem yang terkait dengan kejahatan ini dapat lebih dari dua kali lipat.
Bekerja dari rumah, di mana lingkungan komputasi kurang aman, telah menjadi faktor dalam peningkatan kejahatan ini. Tetapi begitu juga dengan peningkatan jumlah dan variasi data pribadi yang tersedia di Internet.
Data memicu phishing, yang merupakan pintu gerbang untuk kejahatan ini. Phishing biasanya dilakukan melalui email tetapi juga melalui teks atau pesan instan, media sosial, dan bahkan platform kolaborasi. Penjahat menggunakan data untuk berpura-pura sebagai sumber tepercaya yang berkomunikasi di salah satu saluran ini dan meyakinkan korban untuk mengklik tautan berbahaya. Itu dapat menyebabkan pemasangan malware atau ransomware, serta pengumpulan kredensial login atau data sensitif lainnya.
Phising untuk Bisnis
Ini dapat memiliki konsekuensi yang menghancurkan bagi individu, tetapi serangan phishing semakin banyak digunakan untuk mendapatkan akses ke sistem pemerintah dan perusahaan. IC3 menerima 323,972 keluhan phishing pada tahun 2021, naik dari 25,344 keluhan pada tahun 2017 โ peningkatan yang menakjubkan sebesar 120%. Berdasarkan โIndeks Keamanan Seluler 2020โ Verizon, 2% karyawan mengklik tautan phishing setiap hari.
Begitu mereka mendapatkan akses, pelaku jahat dapat mengintai di dalam sistem perusahaan, mempelajari alur kerja, memantau komunikasi, dan menunggu kesempatan. Katakanlah seorang karyawan memposting di media sosial saat pergi berlibur. Itulah pembukaan yang ditunggu-tunggu oleh aktor jahat. Mereka masuk ke akun email karyawan yang sedang berlibur, yang berisi utas dengan departemen hutang vendor yang membahas pembayaran faktur. Aktor jahat menambahkan pesan lain ke utas: "Bisakah Anda juga memperbarui rekening bank kami dan mengirim pembayaran ke akun baru." Menurut laporan IC3, kerugian rata-rata untuk serangan BEC yang sukses seperti ini adalah $120,000 pada tahun 2021.
Pialang Data Tidak Membantu
Phishing menjadi semakin efektif karena semua penjahat data harus menyesuaikan komunikasi mereka. Mereka bahkan tidak perlu mencuri data. Mereka bisa mendapatkannya di salah satu dari sekitar 150 situs pencarian orang, yang merupakan segmen industri pialang data yang telah berkembang baik dalam ukuran maupun jenis informasi yang mereka kumpulkan.
Situs-situs tersebut, yaitu sebagian besar tidak diatur, dimulai dengan mengumpulkan data yang tersedia untuk umum, seperti nama, alamat, dan nomor telepon. Sekarang mereka mengumpulkan lebih banyak variasi data yang diperoleh dari berbagai sumber yang jauh lebih luas. Informasi seperti pandangan politik seseorang, preferensi diet, hewan peliharaan, dan bahkan daftar keinginan Amazon seseorang dapat dengan mudah ditemukan dengan biaya berlangganan bulanan yang kecil. Dan itu semua saat ini legal.
Data pribadi adalah alat yang sangat sensitif yang digunakan penjahat dunia maya untuk menyebabkan kerugian nyata bagi orang-orang yang datanya tersedia untuk umum di Internet. Tapi bukan hanya individu yang menderita. Bayaran dari kejahatan terhadap bisnis dapat mengerdilkan keuntungan dari kejahatan terhadap individu, menjadikannya target yang sangat menarik. Bisnis hanya seaman karyawan mereka yang paling rentan secara digital.
Mungkin perlu bertahun-tahun sebelum kami memiliki undang-undang federal yang komprehensif untuk melindungi privasi data. Itulah sebabnya upaya organisasi untuk mencegah kejahatan dunia maya harus mencakup bekerja dengan karyawan untuk mengurangi dan menghapus informasi pribadi mereka dari Internet. Itu akan mempersulit pelaku jahat untuk mendapatkan data karyawan untuk dimanfaatkan dalam serangan mereka.
