Menurut hasil penelitian terbaru Kaspersky, pelanggaran yang dilakukan karyawan terhadap kebijakan keamanan informasi dalam organisasi sama berbahayanya dengan serangan peretas eksternal. Dalam dua tahun terakhir, 33% insiden siber di dunia bisnis di Asia Pasifik (APAC) terjadi karena karyawan dengan sengaja melanggar protokol keamanan. Angka ini hampir sama dengan kerugian yang diakibatkan oleh pelanggaran keamanan siber, dimana 40% di antaranya terjadi karena peretasan.
Angka-angka ini sedikit lebih tinggi dibandingkan rata-rata global yang masing-masing sebesar 26% dan 30%. Terdapat persepsi yang kuat bahwa kesalahan manusia adalah salah satu penyebab utama insiden dunia maya dalam bisnis. Tapi segalanya tidak hitam dan putih. Kondisi keamanan siber suatu organisasi lebih rumit dari itu dan lebih banyak faktor yang mempengaruhinya.
Mengingat hal ini, Kaspersky melakukan penelitian untuk mengetahui pendapat para profesional Keamanan TI yang bekerja untuk UMKM dan perusahaan di seluruh dunia mengenai dampak dari “manusia” terhadap keamanan siber di sebuah perusahaan. Penelitian ini bertujuan untuk mengumpulkan informasi tentang berbagai kelompok orang yang mempengaruhi keamanan siber, dengan mempertimbangkan staf internal dan aktor eksternal. Sebanyak 234 responden dari Asia Pasifik disurvei.
Studi Kaspersky mengungkapkan bahwa, selain kesalahan asli/nyata, pelanggaran kebijakan keamanan informasi yang dilakukan oleh karyawan di wilayah tersebut merupakan salah satu masalah terbesar bagi perusahaan.
Responden dari organisasi-organisasi di Asia Pasifik menyatakan bahwa kesengajaan untuk melanggar aturan keamanan siber dilakukan oleh karyawan non-IT dan TI dalam dua tahun terakhir. Mereka mengatakan pelanggaran kebijakan seperti ini yang dilakukan oleh pejabat senior keamanan TI menyebabkan 16% insiden dunia maya dalam dua tahun terakhir, 4% lebih tinggi dari rata-rata global.
Selain itu, profesional TI lainnya dan kolega non-TI perusahaan masing-masing menyebabkan 15% dan 12% insiden dunia maya ketika mereka melanggar protokol keamanan.
Terkait perilaku individu karyawan, masalah yang paling umum adalah karyawan dengan sengaja melakukan apa yang dilarang dan, sebaliknya, mereka gagal melakukan apa yang diwajibkan. Oleh karena itu, responden menyatakan bahwa seperempat (35%) insiden dunia maya dalam dua tahun terakhir terjadi karena penggunaan kata sandi yang lemah atau kegagalan untuk mengubahnya pada waktu yang tepat. Angka ini 10% lebih tinggi dibandingkan hasil global sebesar 25%.
Survei ini dilakukan di 19 negara: Brasil, Chili, Tiongkok, Kolombia, Prancis, Jerman, India, Indonesia, Jepang, Kazakhstan, Meksiko, Rusia, Arab Saudi, Afrika Selatan, Spanyol, Turki, UEA, Inggris, dan Amerika Serikat.
Penyebab lain dari hampir sepertiga (32%) pelanggaran keamanan siber adalah akibat staf di Asia Pasifik mengunjungi situs web yang tidak aman. Sebanyak 25% lainnya melaporkan bahwa mereka menghadapi insiden dunia maya karena karyawan tidak memperbarui perangkat lunak atau aplikasi sistem saat diperlukan.
“Sangat mengkhawatirkan melihat bahwa meskipun terjadi beberapa pelanggaran data dan serangan ransomware yang menjadi berita utama di wilayah Aasia Pasifik tahun ini, masih banyak karyawan yang dengan sengaja melanggar kebijakan dasar keamanan informasi. Dengan studi terbaru yang menunjukkan bahwa jumlah pengguna di Asia Pasifik selalu lebih tinggi dibandingkan rata-rata global, maka pendekatan multi-departemen untuk membangun budaya keamanan siber perusahaan yang kuat sangat diperlukan untuk mengatasi kesenjangan faktor manusia yang jelas telah dieksploitasi oleh para penjahat siber,” komentar Adrian Hia, Managing Director Asia Pasifik di Kaspersky.
Penggunaan layanan atau perangkat yang tidak diminta merupakan kontributor utama lainnya terhadap pelanggaran kebijakan keamanan informasi yang disengaja. Hampir seperempat (31%) perusahaan mengalami insiden dunia maya karena karyawan mereka menggunakan sistem tidak sah untuk berbagi data. Karyawan di 25% perusahaan dengan sengaja mengakses data melalui perangkat yang tidak sah, sementara 26% staf di bisnis lain mengirimkan data ke alamat email pribadi. Tindakan lain yang dilaporkan adalah penerapan TI bayangan pada perangkat kerja – 15% responden menyatakan bahwa hal ini menyebabkan terjadinya insiden siber.
Hal mengkhawatirkan lainnya, responden dari Asia Pasifik mengakui bahwa, selain perilaku tidak bertanggung jawab yang telah disebutkan, 26% tindakan berbahaya dilakukan oleh karyawan demi keuntungan pribadi. Temuan menarik lainnya adalah pelanggaran kebijakan keamanan informasi yang disengaja oleh karyawan merupakan masalah yang relatif besar di industri jasa keuangan, seperti yang dilaporkan oleh 18% responden di sektor ini.
“Selain ancaman keamanan siber eksternal, ada banyak faktor internal yang dapat menyebabkan insiden di organisasi mana pun. Statistik menunjukkan bahwa karyawan dari departemen mana pun, baik spesialis non-TI maupun profesional Keamanan TI, dapat memberikan pengaruh negatif terhadap keamanan siber, baik disengaja maupun tidak disengaja. Oleh karena itu, penting untuk mempertimbangkan metode pencegahan pelanggaran kebijakan keamanan informasi dalam memastikan keamanan, misalnya menerapkan pendekatan terpadu terhadap keamanan siber,” komentar Alexei Vovk, Kepala Keamanan Informasi di Kaspersky.
“Menurut penelitian kami, selain 26% insiden dunia maya disebabkan oleh pelanggaran kebijakan keamanan informasi, 38% pelanggaran terjadi karena kesalahan manusia. Karena persentase yang mengkhawatirkan, budaya keamanan siber di suatu organisasi perlu diciptakan sejak awal dengan mengembangkan dan menegakkan kebijakan keamanan, serta meningkatkan kesadaran keamanan siber di kalangan karyawan. Dengan demikian, staf akan menerapkan peraturan secara lebih bertanggung jawab dan memahami dengan jelas kemungkinan konsekuensi dari pelanggaran yang mereka lakukan,” sambung Alexei Vovk.
