Cyberthreat.id – Laporan terbaru dari Office of the Australian Information Commissioner menyebutkan (OAIC), ransomware adalah penyebab utama dari sejumlah pelanggaran (kebocoran) data yang terjadi di Australia selama semester pertama 2020.

OAIC adalah lembaga pemerintahan yang mengurusi kebebasan informasi dan perlindungan privasi.

Laporan bertajuk "Notifiable Data Breaches Report" itu dirilis pada Jumat (31 Juli 2020). Disebutkan, serangan ransomware telah naik menjadi 33 kasus pada paruh pertama 2020 dari 13 kasus dalam periode enam bulan sebelumnya.

"Kami sekarang rutin mengamati serangan ransomware yang mengekstrak data dari jaringan sebelum mereka mengenkripsi data milik korban,” ujar Komisioner OAIC Angelene Falk, seperti dikutip dari Computer Weekly, diakses Senin (3 Agustus 2020).

Menurut dia, ransomware adalah serangkaian perangkat lunak berbahaya  yang digunakan untuk mengenkripsi data dan menjadikannya tidak dapat digunakan atau tidak dapat diakses. “Tren ini memiliki implikasi yang signifikan untuk sebuah organisasi,” ujar dia.

Falk juga menyarankan agar organisasi pemerintahan dan swasta perlu memiliki pemahaman dalam menjaga data-datanya.

"Tentang bagaimana dan di mana informasi pribadi disimpan di jaringan mereka, dan untuk mempertimbangkan langkah-langkah tambahan seperti segmentasi jaringan, kontrol akses yang kuat, dan enkrips,” ujar dia.

Meski ransomware secara signifikan mempengaruhi pelanggaran data, ada penurunan dari jumlah laporan kejadian pelanggaran data. Jumlah laporan kasus pelanggaran data selama semester pertama 2020 sebanyak 518 kasus, sedangkan semester kedua 2019 ada 532 kasus.

Dari jumlah laporan kasus tahun ini, sekitar 77 persen organisasi dapat mengidentifikasi pelanggaran dalam waktu 30 hari sejak serangan.

Sementara, 47 organisasi membutuhkan antara 61 dan 365 hari baru menyadari adanya pelanggaran data yang terjadi. Lalu, ada 14 organisasi membutuhkan lebih dari satu tahun baru sadar telah terjadi pelanggaran data.

Dengan melihat data itu, Falk menilai organisasi perlu mendeteksi, merespons, dan melaporkan dengan cepat terhadap setiap pelanggaran data.

“Sejumlah pemberitahuan juga tidak memenuhi standar yang disyaratkan, karena gagal mengidentifikasi semua jenis informasi pribadi yang terlibat dan tidak memberikan saran kepada orang-orang yang terkena dampak tentang cara mengurangi risiko bahaya,” kata Falk.

“Dalam kasus ini, kami meminta organisasi untuk menerbitkan kembali pemberitahuan. Kami akan terus memonitor kepatuhan dengan kewajiban penilaian dan pemberitahuan sebagai bagian dari sistem pengawasan kami.”

Selama periode pelaporan ini, jumlah pemberitahuan per bulan yang masuk ke OAIC juga sangat bervariasi, misal, 63 laporan kasus pada Januari dan ada 124 kasus pada Mei.

"Laporan inijuga  menunjukkan bahwa lebih banyak pelanggaran data kesalahan manusia (human error) dilaporkan pada bulan Mei," katanya.

Memberikan pelatihan kepada karyawan untuk menangani data-data atau informasi pribadi ini perlu dilakukan. Organisasi harus membekali karyawan dengan pelatihan dan alat yang tepat untuk mengurangi risiko dari kesalahan manusia.

Misalnya, serangan phishing itu dapat diminimalkan oleh organisasi yang mengadopsi penggunaan aplikasi kelola kata sandi dan otentikasi multifaktor.

“Perlu juga ada fokus yang lebih besar untuk mendidik karyawan tentang praktik terbaik keamanan dan privasi,” kata Lindsay Brown, Wakil Presiden untuk Asia-Pasifik dan Jepang di LogMeIn, sebuah perusahaan perangkat lunak juga konsultan TI.[]

Redaktur: Andi Nugroho