Serangan siber: Ancaman eksistensial yang sangat nyata bagi organisasi

Kita semua tahu bahwa keamanan siber adalah elemen penting dalam risiko bisnis. Namun seberapa penting? Beberapa ruang rapat tampaknya hanya sekedar basa-basi terhadap keamanan dan masih berhasil menghindari dampak serius. Itu sebabnya yang baru laporan dari perusahaan asuransi global Hiscox membuat bacaan yang menarik. Ini sebenarnya mengklaim bahwa banyak organisasi Eropa dan Amerika hampir bangkrut setelah pelanggaran keamanan. Dan sementara pengeluaran meningkat, lebih sedikit perusahaan global yang digambarkan sebagai "ahli" kesiapan dunia maya.

Jelas bahwa mengetahui ke mana harus mengarahkan investasi dalam keamanan siber sangatlah penting. Lalu apa yang dilakukan para ahli agar terhindar dari kebangkrutan? Menurut laporan tersebut, hal ini sebagian besar merupakan perpaduan antara dasar-dasar praktik terbaik dan kemauan untuk belajar dari kejadian sebelumnya.

Ancaman eksistensial

Laporan ini dikumpulkan dari wawancara dengan 5,000 bisnis di AS, Inggris, Belgia, Prancis, Jerman, Spanyol, Belanda, dan Irlandia. Beberapa temuan sudah kami ketahui. Namun ada beberapa nuansa menarik. Misalnya:

• Tujuh dari delapan negara menempatkan serangan siber sebagai ancaman nomor satu terhadap bisnis mereka
• Setengah (48%) responden melaporkan serangan siber dalam 12 bulan terakhir, naik dari 43% tahun lalu
• Seperlima (19%) responden melaporkan serangan ransomware, naik dari 16%. Dua pertiga korban membayar penyerang mereka

Sejauh ini biasa saja. Namun, ada kesenjangan persepsi yang besar antara mereka yang terkena serangan dan mereka yang tidak terkena serangan. Lebih dari separuh (55%) korban serangan siber memandang keamanan siber sebagai bidang yang berisiko tinggi, namun angka tersebut turun menjadi hanya 36% bagi mereka yang belum mengalami kompromi. Demikian pula, 41% dari mereka yang terkena serangan mengatakan bahwa paparan risiko mereka meningkat, namun untuk kelompok lain angkanya kurang dari seperempat (23%).

Nugget menarik lainnya: penjahat dunia maya tampaknya semakin menargetkan perusahaan kecil. Mereka yang memiliki pendapatan US$100,000-$500,000 sekarang dapat mengharapkan serangan sebanyak mereka yang menghasilkan $1 juta-$9 juta per tahun.

Perusahaan biaya sayang

Ini penting, karena seperlima dari perusahaan penanggap yang diserang mengatakan solvabilitas mereka terancam, meningkat 24% dari tahun lalu. Meskipun tidak diuraikan dalam laporan, biaya pelanggaran dapat mencakup:

• Pemadaman operasional
• Biaya hukum
• Lembur TI dan biaya forensik pihak ketiga
• Denda peraturan
• Pelanggan churn
• Kehilangan output dan penjualan
• Kerusakan reputasi jangka panjang

Ini sebagian dapat menjelaskan mengapa pengeluaran meningkat. Rata-rata pengeluaran responden untuk keamanan siber meningkat 60% pada tahun lalu menjadi US$5.3 juta, dan telah meningkat 250% sejak 2019, menurut laporan tersebut.

Bagaimana penyerang mengkompromikan organisasi?

Untuk lebih memahami bagaimana organisasi Anda dapat menghindari kebangkrutan, pertama-tama kita perlu mengetahui bagaimana aktor ancaman melakukan begitu banyak kerusakan. Menurut laporan tersebut, vektor utama serangan adalah:

• Server awan (41%)
• Email bisnis (40%)
• Server perusahaan (37%)
• Server akses jarak jauh (31%)
• Perangkat seluler milik karyawan (29%)
• DDoS (26%)

Ini sejalan dengan temuan laporan lain dan narasi bahwa kerja jarak jauh, investasi terkait pandemi dalam infrastruktur cloud, dan tantangan keamanan kerja jarak jauh adalah beberapa risiko terbesar yang dihadapi organisasi saat ini. Ini telah dikombinasikan dengan kesalahan manusia untuk menciptakan permukaan serangan yang besar untuk dibidik oleh aktor ancaman.

Apa yang harus dilakukan selanjutnya?

Yang menjadi kekhawatiran adalah fakta bahwa skor kesiapan dunia maya seperti yang diperkirakan oleh Hiscox turun sebesar 2.6% dibandingkan tahun lalu, yang menyebabkan penurunan tajam dalam jumlah perusahaan yang diberi peringkat “ahli” – dari 20% menjadi hanya 4.5%. Proporsi yang berperingkat pemula juga menurun secara signifikan, menyisakan sebagian besar sebagai “intermediate.” Kesiapan dunia maya penting karena median biaya serangan, sebagai persentase pendapatan, dua setengah kali lebih tinggi bagi perusahaan-perusahaan yang termasuk dalam kategori “pemula dunia maya,” klaim laporan tersebut.

Jadi seperti apa bentuk organisasi siap siber yang matang? Untungnya, itu tidak semua tergantung pada berapa banyak uang yang tersedia untuk dibelanjakan. Beberapa praktik terbaik disorot, termasuk yang berikut:

• Meresmikan keamanan siber dengan peran dan dewan direksi yang jelas atau persetujuan manajemen senior
• Pastikan eksekutif puncak memiliki visibilitas yang jelas dan keterlibatan dengan keamanan siber
• Ikuti standar praktik terbaik seperti Kerangka Institut Standar dan Teknologi Nasional AS (NIST)
• Sebarkan investasi melalui lima fungsi utama NIST – mengidentifikasi, melindungi, mendeteksi, merespons, dan memulihkan
• Fokus pada perencanaan respons insiden dan simulasi serangan mengingat ketidakpastian geopolitik saat ini
• Secara teratur menilai data perusahaan dan infrastruktur teknologi
• Memberikan efektif pelatihan kesadaran keamanan siber
• Pastikan pemasok dan mitra bisnis mematuhi persyaratan keamanan
• Fokus pada proses "buah yang menggantung rendah" seperti patching, pentesting, dan pencadangan reguler

Secara bersama-sama, langkah-langkah ini akan membantu meminimalkan kemungkinan serangan yang pada akhirnya membuat bangkrut organisasi.