JANGAN selalu mengira bahwa serangan siber itu selalu dari luar perusahaan/institusi. Juga, bukan melulu melalui jaringan internet.

Serangan bisa terjadi dari mana saja, bahkan dari orang dalam yang kita anggap baik-baik saja. Hanya, target penyerang tetaplah sama: jaringan sistem informasi/komputer atau perangkat komputer itu sendiri.

Serangan bisa menargetkan pribadi atau organisasi. Serangan organisasi juga biasanya berawal dari serangan pribadi, melalui karyawan yang tak sadar bahwa dirinya menjadi target email phishing.

Serangan yang akrab di telinga umum Indonesia adalah virus. Kita menginstal perangkat lunak tidak sah, mencolok sembarang USB sehabis dari warnet atau komputer lain yang terinfeksi, mengunduh foto atau video di sembarang domain adalah sebagian contoh vektor virus atau malware menyebar.

Komputer pribadi kita bisa terkena virus meski tak terkoneksi internet. Caranya bagaimana? Melalui koneksi perangkat eksternal di port USB. Ini serangan siber yang tak disadari oleh kita. Boleh jadi, serangan itu memang tidak untuk ditargetkan untuk kendali jarak jauh atau mencuri data informasi sensitif korban, tapi serangan itu sengaja membuat porak-poranda sistem operasi komputer Anda.

Komputer pun melambat, file tiba-tiba rusak atau digandakan dengan otomatis, atau muncul iklan yang tidak diinginkan di layar komputer Anda. Walhasil, virus itu telah sukses membuat Anda dongkol. Bahkan, serangan serupa juga bisa terjadi di ponsel pintar Anda, yang sekarang juga sudah kompatibel dengan colokan USB.

Sebagian besar serangan siber karena keteledoran pribadi. Mereka tidak menyadari atau memahami bahwa menjadi target si peretas (hacker).

Jangan dikira kelemahan bukan terjadi di karyawan biasa, bahkan anggota tim TI pun—tentu mereka yang malas dan ceroboh terhadap kondisi sistem—adalah biang keladi terjadinya pelanggaran data.

Semua itu karena masing-masing dari kita belum peduli dan menyadari akan keamanan siber.

Menurut data Notifiable Data Breaches Scheme, kesalahan manusia adalah penyebab 67 persen dari pelanggaran data. Bahkan, sejumlah laporan lain menyebutkan, kesalahan manusia sebagai penyebab lebih dari 90 persen dari pelanggaran data.

Para pakar keamanan siber telah lama bersuara keras tentang perlunya pelatihan kewaspadaan siber untuk staf. Namun, tampaknya, isu ini terkadang menjadi agak berat atau dipandang terlalu aneh, serta kurang menarik dibanding isu politik, selebritas, startup, dan film. Padahal, generasi sekarang hampir selalu berkoneksi dengan internet. Itulah, sialnya!

Ketika budaya organisasi tidak menghargai kesadaran risiko dunia maya, rasanya akan sulit untuk mendidik dan melibatkan staf tentang apa yang dianggap sebagai penghambat, bahkan “pembuat sial” bagi pekerjaan nyata”.

Jadi, apa yang dilakukan organisasi? Pastinya, pembiasaan terhadap solusi teknologi keamanan. Teknologi sudah tersedia, kini tinggal manusianya yang dibudayakan.

Misal, tiap karyawan harus sadar akan otentikasi multi-faktor, firewall, enkripsi, cadangan data, dan lain-lain. Jika perusahaan mampu, berilah pelatihan dalam periode kuartalan, lebih-lebih pada perusahaan teknologi informasi atau yang mengembangkan aplikasi digital.

“Berinvestasilah dalam pelatihan kesadaran keamanan siber reguler yang telah disesuaikan untuk organisasi Anda, bukan hanya modul generik tentang implikasi keuangan dari pelanggaran data. Pelatihan harus memberikan skenario realistis yang menyenangkan dan menarik,” demikian tulis Shannon Sedgwick dalam artikelnya “The Human Factor of Cyber Security”.

“Tindak lanjuti pelatihan kesadaran siber dengan kampanye kesadaran berkelanjutan yang menunjukkan kepada staf Anda apa manfaat dari kebersihan siber yang baik dan bagaimana kontribusinya terhadap strategi dan tujuan bisnis secara keseluruhan.”

Menurut laporan Kaspersky, hampir 50 persen insiden dunia maya disembunyikan oleh staf lantaran mereka takut terkena hukuman dari perusahaan—barangkali karena kesalahan internal sendiri. Oleh karenaya, menurut Shannon, justru sebaliknya, jangan menakuti staf, tapi organisasi/perusahaan harus memotivasi karyawan untuk melaporkan insiden melalui penguatan positif.

“Penelitian menunjukkan bahwa lebih dari 50 persen pelanggan akan membayar lebih untuk layanan dan produk perusahaan jika mereka mempercayainya,” tulis Shannon.

Memang benar kata Shannon, “Jauh lebih mudah untuk merancang solusi teknologi dan keamanan dengan mempertimbangkan perilaku manusia daripada mengubah perilaku manusia itu sendiri,” tulis dia.