Pusing Kena Serangan Siber? Mungkin Celahnya dari Mantan

Kadang tak perlu cara canggih banget untuk mencari celah pembobolan sistem di perusahaan. Coba cek kredensial alias paket user dan password yang pernah dimiliki barisan para mantan karyawan.  

Berdasarkan hasil analisis perusahaan keamanan siber Kaspersky terhadap insiden siber di perusahaan usaha mikro kecil dan menengah (UMKM), setengahnya mengaku tidak yakin 100 persen bahwa karyawan yang diberhentikan tidak dapat mengakses data bisnis mereka melalui layanan Cloud atau akun perusahaan.

Apa kerugian yang dapat dilakukan oleh mantan karyawan yang memiliki akses ke data perusahaan?

UMKM biasanya mengkhawatirkan beberapa bentuk ancaman dari mantan karyawan. Misalnya, menggunakan data perusahaan untuk meluncurkan bisnis sendiri yang menjadi saingan mereka atau bekerja di perusahaan pesaing dan mencuri pelanggan perusahaan awal.

Namun demikian, Kaspersky mengungkapkan ada sejumlah potensi bahaya lain yang tak kalah besar.

Pertama, jika mantan karyawan memiliki akses ke database pelanggan berisikan data pribadi, yang dapat mereka lakukan adalah membocorkannya ke domain publik (misalnya, sebagai balas dendam atas pemecatan) atau menjualnya di web gelap.

"Hal itu akan merusak reputasi bisnis Anda," demikian dikutip dari keterangan pers Kaspersky.

Kedua, kebocoran data pribadi pelanggan. Hal itu akan membuka peluang gugatan terhadap perusahaan.

Ketiga, perusahaan bisa menerima denda besar dan berat dari pemerintah. UU Perlindungan Data Pribadi (PDP) diketahui memberi celah denda besar bagi perusahaan yang lalai menjaga data konsumennya.

Tak selalu sengaja

Terlepas dari itu, Kaspersky menyebut masalah pembobolan sistem perusahaan ini tak melulu akibat rencana licik para mantan karyawan atau bahkan kebocoran langsung. Eks karyawan mungkin tidak ingat mereka memiliki akses ke sumber daya perusahaan.

"Dan bahkan jika Anda benar-benar yakin bahwa perpisahan terjadi secara baik-baik dengan semua rekan kerja, itu bukan berarti Anda keluar dari lingkaran berisiko," kata Kaspersky.

Akses yang berulang ke sistem, seperti email kantor, dapat meningkatkan permukaan serangan. Tak ketinggalan, obrolan sederhana di antara rekan kerja tentang masalah non-pekerjaan dapat digunakan untuk serangan rekayasa sosial.

Lalu, bagaimana meminimalkan risiko kebocoran via eks karyawan?

• Minimalisasi jumlah orang yang memiliki akses ke data penting perusahaan.

• Akses yang ketat untuk sumber daya perusahaan - termasuk email, folder bersama, dan dokumen online.

• Menyimpan log akses yang ketat: catat akses apa yang diberikan dan kepada siapa. Cabut segera jika karyawan tersebut keluar dari perusahaan.

• Membuat instruksi yang jelas untuk membuat dan mengubah kata sandi.

• Memperkenalkan pelatihan kesadaran keamanan siber secara berkala bagi karyawan.