Pasar vendor cybersecurity tumbuh sangat ramai sehingga beberapa perusahaan telah menggunakan taktik ekstrem untuk membuat eksekutif security mau berbicara di telepon untuk menawarkan produk mereka, termasuk berbohong tentang keadaan darurat keamanan dan mengancam akan mengekspos pelanggaran tidak signifikan ke media.
Taktik agresif datang ketika pasar keamanan siber meluas secara dramatis, dengan “ekor panjang” dari ribuan vendor dengan spesialisasi tertentu. Taktik penjualan ini dapat mempersulit eksekutif cybersecurity yang bekerja sangat keras untuk menemukan dan menghentikan ancaman nyata. Hal ini juga dapat menghasilkan publisitas yang berlebihan tentang pelanggaran dan peretasan yang sebenarnya kecil, yang membingungkan pelanggan dan konsumen.
Empat eksekutif cybersecurity teratas di perusahaan keuangan, perawatan kesehatan, dan pembayaran yang masuk daftar Fortune 500 berbicara tentang praktik-praktik buruk dari vendor. Semua eksekutif ini mengatakan bahwa mereka telah ditekan oleh vendor dan peneliti yang mengklaim – entah benar atau tidak – telah menemukan masalah keamanan siber di perusahaan mereka. Beberapa mengisyaratkan kemungkinan liputan berita negatif jika para eksekutif itu tidak mendengarkan penawaran penuh dari para vendor.
Yang menambah rumit, banyak peretas yang memiliki etika menggunakan kontak mereka dengan perusahaan untuk melaporkan masalah yang sebenarnya terjadi. Seorang eksekutif mengeluh “kebisingan” ini membuatnya sulit untuk menentukan laporan yang benar dari kelemahan infrastruktur yang perlu diperbaiki.
Baca: Negara Terbanyak Alami Ancaman Siber: Indonesia Menempati Peringkat Kelima se-Asia Pasifik
“Serigala menangis”
Sulit bagi perusahaan cybersecurity untuk mendapat perhatian. Khususnya, vendor yang lebih kecil yang harus berjuang karena perusahaan-perusahaan besar sudah memiliki kontrak atau hubungan pelanggan yang kuat dengan perusahaan terbesar.
Di sinilah ancaman liputan media negatif masuk. Mengungkap kelemahan keamanan, sekecil apa pun, dapat menimbulkan berita besar jika terjadi di perusahaan besar. Liputan pers yang cukup dapat memicu berminggu-minggu kemarahan dan membuat para pemimpin puncak perusahaan harus menghadap panggilan dari Kongres Amerika Serikat.
Namun, pelanggaran yang sebenarnya sehingga menyebabkan kerusakan relatif jarang terjadi. Akibatnya, vendor sering mencoba untuk membuat masalah besar dari pelanggaran kecil yang tidak meng-ekspose informasi perusahaan atau pelanggan penting.
Sebagai contoh, keempat eksekutif mengatakan para vendor keamanan siber mencoba menarik perhatian mereka ke data yang berpotensi terpapar di Amazon dan server cloud Microsoft Azure. Namun, tidak satu pun dari data ini termasuk informasi material terkini.
Dalam satu kasus, database menampung rencana bisnis untuk proyek berusia 10 tahun lalu yang telah dilaporkan dan sekarang tidak relevan. Dalam kasus lain, data termasuk informasi tentang pelanggan – tetapi hanya nama mereka dan fakta bahwa mereka telah menghadiri konferensi teknologi beberapa tahun sebelumnya. Tidak ada rincian identifikasi lebih lanjut secara pribadi, nomor Jaminan Sosial atau data lain yang akan menimbulkan kemarahan regulator atau bahkan eksekutif senior perusahaan.
Namun para perwakilan menekan eksekutif di telepon, mengatakan mereka telah berulang kali mencoba memperingatkan mereka tentang masalah-masalah kecil ini dan siap untuk menyampaikannya ke outlet media.
Karena khawatir atas publisitas negatif, eksekutif ini biasanya setuju untuk menghabiskan sekitar satu jam memungkinkan vendor untuk menawarkan “layanan gratis” untuk memperbaiki masalah, diikuti oleh penawaran yang lebih besar untuk layanan berbayar.
Dua eksekutif lainnya juga mengatakan vendor menggunakan taktik yang patut dipertanyakan hanya untuk menghubungi telepon mereka. Contohya, vendor menelepon ingin melaporkan insiden “darurat”, kemudian setelah mereka melewati “penjaga gerbang” perusahaan, mereka mengubah “peringatan” menjadi promosi penjualan. Mereka juga telah berbohong kepada staf administrasi tentang alasan mereka menelepon, mengkarakterisasi panggilan mereka sebagai masalah keamanan yang serius, hanya untuk memberikan promosi penjualan begitu mereka berhasil mencapai eksekutif yang tepat.
Semua eksekutif mengatakan, hal ini menghasilkan banyak waktu yang terbuang. Lebih buruk, seperti kata seorang eksekutif, “Saya tidak mempercayai sebagian besar dari mereka, jadi mungkin saya merindukan orang-orang yang mungkin mencoba untuk mengangkat masalah yang sebenarnya.”
Baca: 5 Penyebab Sistem Keamanan Perusahaan Indonesia Rentan Dibobol Hacker
‘Tetaplah Tenang’
Vendor keamanan siber juga sering mencoba menakut-nakuti eksekutif berdasarkan jenis pelaku yang meluncurkan serangan tertentu.
Penawaran-penawaran ini sering bekerja pada anggota dewan atau eksekutif yang cenderung kurang paham masalah teknis, yang takut akan kemungkinan mempertahankan jaringan mereka atas serangan dari Iran, Cina, Korea Utara atau Rusia dan terkesan pada keterampilan investigasi para vendor siber sekuriti itu, kata para eksekutif.
Tapi untuk sebagian besar perusahaan, terkena masalah keamanan siber tidak masalah sama sekali, kata mereka. Itu karena siapa pun yang melakukannya, sebagian besar pelanggaran data sektor swasta dapat dikaitkan dengan kelemahan keamanan dasar yang sama dengan yang dieksploitasi oleh semua peretas.
“Jika Anda rentan terhadap injeksi SQL,” kata salah satu petugas keamanan informasi kepala bank, merujuk pada jenis peretasan dasar yang sering digunakan untuk mencuri data konsumen, “maka Anda akan menjadi mangsa injeksi SQL. Tidak masalah jika beberapa anak di ruang bawah tanah melakukannya atau PLA [Tentara Pembebasan Rakyat China]. ”
Regulator juga tidak terlalu peduli, kata pejabat bank. Jika Anda memiliki kelemahan yang harus Anda perbaiki, regulator akan fokus pada kelemahan itu.
“Kecuali Anda NSA (badan keamanan nasional AS), terkena masalah keamanan sibertidak masalah,” kata kepala keamanan.
Sumber: cnbc.com
