Di era digital saat ini, ancaman keamanan siber bukanlah hal baru. Namun, meskipun banyak perusahaan telah menginvestasikan dana besar untuk sistem keamanan, masih banyak serangan siber yang luput dari perhatian. Serangan-serangan ini sering dianggap kecil atau tidak berbahaya, padahal dampaknya bisa sangat merugikan, baik dari segi finansial maupun reputasi.
Dalam artikel ini, kita akan membahas 5 jenis serangan siber yang sering diabaikan perusahaan, lengkap dengan penjelasan dan contoh kasus nyata. Jika Anda seorang pemilik bisnis, manajer IT, atau bahkan karyawan biasa, informasi ini penting untuk meningkatkan kewaspadaan Anda terhadap ancaman digital yang tersembunyi.
1. Serangan Social Engineering (Rekayasa Sosial)
Apa itu?
Social engineering adalah manipulasi psikologis yang dilakukan hacker untuk mendapatkan akses ke data atau sistem perusahaan. Teknik ini tidak selalu melibatkan perangkat lunak atau hacking teknis, tetapi memanfaatkan kepercayaan dan kelengahan manusia.
Mengapa sering diabaikan?
Karena teknik ini tidak selalu tampak seperti serangan. Karyawan bisa saja memberikan informasi penting melalui telepon atau email palsu tanpa menyadarinya.
Contoh kasus:
Seorang pelaku menyamar sebagai teknisi IT dan menelepon staf administrasi, mengaku butuh akses ke sistem karena adanya gangguan. Karena terdengar meyakinkan, staf tersebut memberikan username dan password.
Solusi:
- Edukasi dan pelatihan keamanan siber secara berkala.
- Gunakan otentikasi dua faktor (2FA).
- Terapkan kebijakan “tidak berbagi informasi sensitif” tanpa verifikasi.
2. Shadow IT
Apa itu?
Shadow IT merujuk pada perangkat lunak, aplikasi, atau sistem yang digunakan karyawan tanpa sepengetahuan atau persetujuan dari departemen IT perusahaan.
Mengapa sering diabaikan?
Karena karyawan sering merasa aplikasi pihak ketiga seperti Google Drive, WhatsApp Web, atau Dropbox lebih praktis dan cepat digunakan daripada sistem resmi perusahaan.
Risiko besar:
Data sensitif bisa tersebar tanpa kontrol keamanan yang layak, membuka celah besar bagi kebocoran data.
Contoh kasus:
Seorang karyawan menyimpan data pelanggan di akun cloud pribadi agar mudah diakses dari rumah. Sayangnya, akun tersebut diretas, dan data bocor ke pihak tak bertanggung jawab.
Solusi:
- Audit rutin penggunaan aplikasi oleh karyawan.
- Edukasi risiko Shadow IT.
- Sediakan tools resmi yang mudah dan efisien agar karyawan tidak mencari alternatif.
3. Serangan Melalui Perangkat IoT (Internet of Things)
Apa itu?
Perangkat IoT seperti printer pintar, kamera CCTV, atau sistem kontrol suhu sering kali terhubung ke jaringan perusahaan tapi tidak dilindungi dengan sistem keamanan yang memadai.
Mengapa sering diabaikan?
Karena dianggap bukan “perangkat utama” yang menyimpan data, padahal tetap terhubung ke jaringan internal.
Contoh kasus:
Hacker berhasil masuk ke jaringan perusahaan besar melalui printer yang tidak pernah diperbarui firmware-nya. Dari situ, mereka melakukan lateral movement ke server utama.
Solusi:
- Selalu perbarui firmware perangkat IoT.
- Segmentasikan jaringan antara perangkat IoT dan server utama.
- Gunakan firewall internal untuk meminimalkan akses tidak sah.
4. Serangan Phishing Tertarget (Spear Phishing)
Apa itu?
Berbeda dengan phishing biasa, spear phishing adalah serangan yang sangat tertarget. Pelaku mengumpulkan informasi tentang korban terlebih dahulu, sehingga email atau pesan yang dikirim terlihat sangat meyakinkan.
Mengapa sering diabaikan?
Karena pesan terlihat sah dan personal, banyak karyawan (bahkan eksekutif) tidak menyadari mereka sedang menjadi target.
Contoh kasus:
CEO sebuah perusahaan menerima email dari “CFO” yang meminta transfer dana untuk proyek penting. Karena email tersebut menggunakan gaya bahasa yang mirip dan alamat hampir sama, dana pun ditransfer ke rekening penipu.
Solusi:
- Terapkan prosedur validasi dua langkah untuk transaksi sensitif.
- Latih karyawan mengenali email mencurigakan.
- Gunakan software anti-phishing yang diperbarui.
5. Eksploitasi Karyawan Lama (Akses yang Tidak Dinonaktifkan)
Apa itu?
Serangan ini terjadi karena kelalaian dalam menonaktifkan akses karyawan yang sudah keluar dari perusahaan.
Mengapa sering diabaikan?
Proses offboarding sering tidak menjadi prioritas, apalagi jika perusahaan tidak memiliki sistem manajemen identitas yang baik.
Contoh kasus:
Mantan karyawan yang masih memiliki akses VPN masuk ke sistem perusahaan dan menghapus dokumen penting karena merasa tidak puas dengan cara mereka diberhentikan.
Solusi:
- Terapkan prosedur offboarding yang ketat dan terstruktur.
- Otomatiskan pencabutan akses setelah karyawan keluar.
- Audit rutin akses akun pengguna.
Kesimpulan
Keamanan siber bukan hanya soal firewall dan antivirus. Banyak serangan yang justru datang dari celah kecil, kebiasaan buruk, atau kelalaian yang tampak sepele. Perusahaan perlu lebih proaktif dalam mengenali dan mengatasi ancaman yang sering diabaikan ini.
Mulai dari social engineering hingga akses mantan karyawan yang masih aktif, setiap elemen harus mendapat perhatian serius demi menjaga integritas data dan kepercayaan pelanggan.
baca juga :
Mengapa Integrasi ERP dan Big Data Analytics Sangat Penting bagi Perusahaan
Membaca Persepsi Orang Indonesia Ketika Ingin Mulai Berbisnis
