Seperti yang diketahui oleh pembaca reguler TechCrunch, tahun 2024 – sama seperti tahun-tahun sebelumnya – penuh dengan pelanggaran data, serangan ransomware, dan peretasan massal yang mengeksploitasi beberapa kerentanan perangkat lunak yang paling sepele. Bahkan organisasi yang memiliki sumber daya paling baik pun gagal mencegah peretas masuk ke sistem mereka selama dua belas bulan terakhir. AT&T mengalami pelanggaran besar-besaran yang kedua pada tahun ini, kali ini berdampak pada “hampir semua pelanggan”; Ticketmaster diduga memiliki 560 juta catatan yang dicuri dalam peretasan raksasa penyimpanan cloud Snowflake; dan raksasa asuransi kesehatan Change Healthcare terkena serangan ransomware yang mengakses rincian medis sensitif dari setidaknya sepertiga penduduk Amerika.
Startup Anda tidak harus mengalami nasib yang sama pada tahun 2025. Beberapa hal paling sederhana dalam keamanan dapat membantu mencegah peretas jahat.
Berikut ini beberapa hal sederhana — namun efektif! — resolusi keamanan siber yang harus Anda buat menjelang tahun baru.
Simpan kata sandi perusahaan Anda dengan aman
Pengelola kata sandi menyimpan semua kata sandi perusahaan Anda dengan aman, sehingga karyawan Anda tidak perlu khawatir untuk mengingatnya. Pengelola kata sandi juga membantu membuat dan menyimpan kata sandi yang unik dan rumit untuk semua akun Anda. Hal ini dapat membantu mencegah intrusi akun yang disebabkan oleh penggunaan ulang kata sandi, di mana peretas memanfaatkan orang-orang yang menggunakan nama pengguna dan kata sandi yang sama di berbagai akun online. Segera setelah satu kata sandi dibobol, peretas dapat mengakses akun lain orang tersebut menggunakan kata sandi yang sama. Beberapa perusahaan sudah tidak lagi menggunakan kata sandi dan mengandalkan kunci sandi, yang tahan terhadap serangan phishing, dan teknologi tanpa kata sandi lainnya.
Menerapkan otentikasi multi-faktor
Kata sandi saja tidak cukup untuk melindungi akun terpenting Anda dari ancaman jahat. Peretas mencuri setidaknya 1 miliar catatan pribadi pada tahun 2024, sebagian besar terbantu oleh penggunaan kredensial curian untuk akun perusahaan yang tidak terlindungi oleh autentikasi multifaktor.
MFA, sebuah fitur keamanan yang mengharuskan pengguna memberikan kode tambahan selain kata sandi saat login, mempersulit penjahat dunia maya untuk membobol akun online. Dalam kasus raksasa komputasi awan Snowflake, mewajibkan penggunaan MFA dapat mencegah sepasang peretas mencuri data yang sangat sensitif dari AT&T dan lebih dari seratus pelanggan korporat lainnya.
Kebanyakan petugas keamanan akan merekomendasikan penggunaan aplikasi autentikator yang menghasilkan kode login pada perangkat, daripada kode yang dikirim melalui pesan teks SMS, yang dalam beberapa kasus dapat disadap.
Selalu perbarui perangkat lunak Anda
Beberapa pelanggaran paling merusak pada tahun 2024 disebabkan oleh masalah yang sudah berlangsung bertahun-tahun: Kerentanan yang belum ditambal pada perangkat lunak pihak ketiga. Salah satu target peretasan besar dalam beberapa tahun terakhir adalah alat transfer file yang dikelola, perangkat lunak yang digunakan oleh perusahaan besar untuk mentransfer file data berukuran besar melalui internet. Beberapa produk transfer file dan teknologi perusahaan lainnya telah ada selama bertahun-tahun (atau lebih lama), dan ditargetkan karena kecenderungannya untuk menyimpan kumpulan data sensitif perusahaan.
Meskipun beberapa bug dieksploitasi sebagai zero-days — kerentanan yang terungkap sebelum patch tersedia — hal terbaik yang dapat dilakukan perusahaan adalah memastikan perangkat lunak internal Anda selalu diperbarui dan patch keamanan diterapkan sesegera mungkin. .
Cadangkan data perusahaan Anda
Serangan Ransomware kembali memecahkan rekor pada tahun 2024, ketika perusahaan membayar sejumlah besar uang kepada peretas untuk mendapatkan kembali data mereka (dan mencegahnya bocor secara online). Mencadangkan data perusahaan Anda secara teratur merupakan garis pertahanan penting terhadap enkripsi data dan serangan pencurian data. Cadangan juga dapat ditargetkan oleh peretas karena kemampuannya membantu korban memulihkan operasi bisnis mereka secara efektif tanpa kehilangan data yang signifikan. Memiliki cadangan terenkripsi di luar lokasi dapat membantu jika terjadi bencana keamanan atau data.
Berhenti mengangkat telepon
Meskipun para peretas selama bertahun-tahun mengandalkan umpan email yang mengandung malware sebagai senjata pilihan mereka untuk melawan korban yang tidak diduga, beberapa kelompok peretas beralih ke panggilan telepon palsu sebagai cara utama mereka meretas organisasi. Satu panggilan telepon ke meja bantuan TI raksasa kasino dan hotel MGM dilaporkan menyebabkan pelanggaran besar-besaran pada tahun 2023, yang merugikan raksasa hiburan itu setidaknya $100 juta. Seperti yang ditulis dengan sempurna oleh Zack Whittaker dari TechCrunch di sini: Selalu bersikap skeptis terhadap panggilan tak terduga, meskipun panggilan tersebut berasal dari kontak yang tampak sah, dan jangan pernah membagikan informasi rahasia melalui telepon tanpa memverifikasinya melalui sarana komunikasi lain terlebih dahulu.
Bersikaplah transparan
Sekalipun Anda melakukan semuanya dengan benar, tidak ada jaminan bahwa startup Anda tidak akan ditargetkan. Startup adalah target utama para peretas karena sumber daya mereka yang terbatas dibandingkan dengan perusahaan besar. Jika perusahaan Anda menjadi korban serangan siber, berterus terang mengenai insiden tersebut dapat memberikan perbedaan nyata dalam hal hasil. Transparansi dapat membantu pelanggan Anda mengambil tindakan apa pun yang diperlukan, dan berbagi informasi dapat membantu pihak lain bertahan dari serangan serupa di masa mendatang.
Menyembunyikan pelanggaran data tidak hanya dapat menyebabkan kerusakan reputasi dan berpotensi menyebabkan denda yang signifikan bagi Anda — namun hal ini juga dapat menempatkan Anda dalam pengumpulan 'pelanggaran yang ditangani dengan buruk' tahunan oleh TechCrunch.
