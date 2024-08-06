Pemimpin keamanan terbiasa memikirkan pertahanan berlapis dan memastikan tumpukan keamanan dan arsitektur keseluruhannya memberikan ketahanan dan perlindungan. Meskipun paradigma ini berlaku saat ini, mungkin sudah waktunya untuk memikirkan peralihan ke keamanan yang mengutamakan data. Ini berarti manajemen data yang sesuai dengan contoh penggunaan saat ini, dan di mana data adalah aset utama yang membutuhkan perlindungan di seluruh siklus hidup, penggunaan, dan pembuangannya. Pergeseran paradigma dalam keamanan data didukung dengan baik oleh bukti-bukti dalam Laporan Biaya Pelanggaran Data edisi 2024.
Laporan ini menyajikan penelitian yang mempelajari penyebab, dampak biaya, dan pemulihan dari pelanggaran aktual di 604 organisasi di seluruh dunia dan di 17 industri. Temuan menunjukkan beberapa tren menarik yang dapat membantu memecahkan teka-teki data, termasuk dampak terhadap keamanan, privasi, tata kelola, dan regulasi. Semua aspek ini telah menunjukkan kenaikan risiko yang meningkat akibat terburu-buru dalam menyediakan inisiatif AI generatif (gen AI) baru dan membawanya ke pasar dengan cepat, mengabaikan pertimbangan keamanan. Yang mengkhawatirkan, survei baru-baru ini tentang keamanan gen AI mengungkap bahwa hanya 24% dari inisiatif-inisiatif baru yang menyertakan komponen keamanan.
Data telah menjadi aset utama yang diandalkan perusahaan saat ini. Tetapi meskipun data adalah raja, data masih belum dikelola atau dilindungi dengan cukup untuk menyesuaikan signifikansinya dan dampak potensial dari kehilangan data. Mari kita lihat beberapa cara di mana data, perjalanan data, dan paradigma perlindungan seputar siklus hidupnya adalah faktor utama yang berkontribusi dalam biaya pelanggaran data.
Pertama, data masa kini berada pada skala yang mengharuskan organisasi untuk melampaui infrastruktur on premises dan cloud pribadi lama mereka. Faktor pendorongnya adalah skalabilitas volume data tetapi juga permintaan lalu lintas dan beban kerja yang semakin tumbuh seiring waktu. Dengan data berjalan melalui lingkungan multi-cloud, Laporan Biaya Pelanggaran Data mencatat secara signifikan bahwa 40% pelanggaran melibatkan data yang disimpan di berbagai jenis lingkungan. Ketika pelanggaran terjadi, lingkungan cloud publik menanggung biaya pelanggaran rata-rata tertinggi sebesar 5,17 juta USD.
Apa pemicu masalah ini? Sifat multi-cloud yang terdesentralisasi adalah faktor kompleks dalam memvisualisasikan dan mengendalikan data, dan dalam kasus pelanggaran, dibutuhkan waktu lebih lama untuk mengumpulkan informasi, menyelidiki, dan mengaktifkan dukungan penyedia cloud untuk menahan pelanggaran. Cloud juga menghosting lebih banyak data, dan peningkatan skala berarti lebih banyak data yang dilanggar pada satu waktu, berpotensi menambah dampak pada pelanggan dan biaya pemulihan.
Data tersebar di lebih banyak tempat daripada sebelumnya, dan 35% pelanggaran tahun ini melibatkan data yang disimpan dalam penyimpanan data yang tidak terkelola, alias “data bayangan”. Ini diterjemahkan ke dalam data yang tidak diklasifikasikan dengan benar atau sama sekali, tidak dilindungi dengan baik, dan tidak dikelola siklus hidupnya saat berpindah ke dalam dan di dalam organisasi. Mempertimbangkan bahwa 25% pelanggaran yang melibatkan data bayangan hanya terjadi on premises, situasi ini kemungkinan menyoroti risiko yang tidak terkelola dalam bentuk kesenjangan tata kelola data, masalah privasi data, dan dampak peraturan yang akan diberlakukan.
Pelanggaran yang melibatkan data bayangan juga membutuhkan waktu 26,2% lebih lama untuk diidentifikasi dan 20,2% lebih lama untuk dikendalikan, rata-rata 291 hari. Hal ini menyebabkan peningkatan biaya pelanggaran, rata-rata sebesar 5,27 juta USD ketika data bayangan terlibat. Namun, angka tersebut hanyalah puncak gunung es jika mempertimbangkan efek limpahan pelanggaran ke pihak lain dalam ekosistem, potensi masalah kontrak, dan gugatan hukum, semuanya merupakan bagian dari biaya jangka panjang yang terus bertambah selama 2-3 tahun setelah pelanggaran terjadi.
Ketika data tidak diinventarisasi dan dikatalogkan secara efektif, data tersebut tidak diklasifikasikan dengan benar dan oleh karena itu juga tidak dilindungi secara memadai. Itu bisa dengan mudah berupa data yang seharusnya diberi tag terbatas atau rahasia, yang mengarah ke statistik berikutnya dari laporan. Penyerang dapat mengakses data yang jauh lebih sensitif selama pelanggaran, yang menyebabkan peningkatan 26,5% dalam pencurian IP. Biaya IP yang hilang jauh lebih tinggi per rekor daripada tahun lalu, naik menjadi 173 USD pada 2024 dari 156 USD per catatan dalam laporan tahun 2023; kenaikan 11%.
Tapi mari kita kesampingkan biaya berat itu sejenak. Dampak dari pencurian IP dapat berarti bahwa organisasi akan kehilangan keunggulan kompetitifnya. Perusahaan dapat kehilangan pangsa pasar dan pendapatan yang cukup besar yang diharapkan dari hasil IP strategis. Pemegang saham mana yang tidak akan khawatir dengan statistik ini, mengingat sebagian besar organisasi secara aktif memulai pengembangan aplikasi gen AI inovatif yang mereka harapkan untuk dimonetisasi secara eksklusif.
Efek samping yang mahal dari perlindungan data yang kurang adalah hilangnya bisnis dan kerusakan reputasi, dengan rata-rata 1,47 juta USD dan sebagian besar kenaikan biaya rata-rata pelanggaran pada tahun 2024.
Dengan gen AI sebagai demam emas baru saat ini, berbagai pemangku kepentingan dalam organisasi dapat dengan mudah mengeksposnya ke risiko yang tak terkelola terkait dengan data, model, dan penggunaan AI secara keseluruhan yang tidak sah. Penggunaan ini bisa jadi tak terpantau oleh tim TI dan keamanan, yang dapat mengakibatkan insiden yang berdampak di kemudian hari.
Faktor risiko lainnya adalah kumpulan data yang ditujukan untuk digunakan dalam implementasi AI, bersumber dari beberapa penyedia pihak ketiga. Tidak dikelola oleh tim keamanan, sumber eksternal ini dapat menambah risiko seperti pemalsuan data (poisoning) dan kerentanan. Namun, risiko yang lebih berbahaya adalah model bayangan, dan banyak data pelatihan tidak terenkripsi yang mengalir masuk ke dan keluar dari lingkungan cloud.
Pikirkan contoh skenario ini: organisasi layanan kesehatan menggunakan gen AI untuk mengidentifikasi anomali dalam rontgen dada. Mereka mengirim gambar ke model cloud untuk menerima hasil, tetapi gambar dikirim dan digunakan dalam bentuk tidak terenkripsi. Seorang penyerang mengakses gambar dan kemudian memeras penyedia layanan kesehatan untuk membayar tebusan. Hal yang sama dapat terjadi dengan plaintext, atau jenis data lain yang tidak terlindungi yang harus dijaga dengan lebih baik. Jangan kaget untuk langsung melihat gugatan hukum diajukan oleh pihak yang datanya terdampak.
Sebagian besar organisasi masa kini akan kehilangan hampir seluruh produktivitas jika mereka kehilangan akses ke data. Mulai dari bentuk produktivitas karyawan yang paling sederhana hingga kerumitan perusahaan berbasis data, perusahaan tidak menganggap data sebagai produk sampingan dari bisnis mereka. Data adalah aset utama di mana organisasi menyelaraskan budaya, organisasi, dan teknologi mereka, untuk inovasi dan pertumbuhan bisnis yang berkelanjutan. Masuk akal bahwa data dikelola dan dilindungi hingga tingkat klasifikasi yang tepat, dan menggunakan teknologi yang tepat untuk mencapainya.
Identifikasi, klasifikasi, enkripsi. Semakin terlindungi data, semakin kecil kemampuan penyerang untuk mengambil manfaat saat terjadi pelanggaran data. Ini juga akan berarti dampak yang lebih kecil bagi pemilik data dan kemungkinan penurunan denda regulasi. Jadi, terapkan enkripsi, dan lakukan dengan cerdas. Tidak semua data dibuat sama. Jika organisasi Anda menggunakan gambar atau jenis data lainnya, pelajari cara yang lebih baik untuk mengenkripsi data tersebut sehingga Anda dapat menggunakannya dengan aman dan menikmati manfaatnya.
Semakin inovatif organisasi Anda, semakin banyak data yang digunakan, semakin penting enkripsi. Pertimbangkan komputasi rahasia untuk contoh penggunaan Anda, serta enkripsi pasca-kuantum untuk memastikan data yang dilindungi tetap terlindungi di masa mendatang.
Karena data jelas tersebar di seluruh lingkungan dan tetap terekspos dalam banyak kasus, salah satu cara untuk mendapatkan kembali kendali adalah melalui manajemen postur keamanan data (DSPM). DSPM adalah teknologi keamanan siber yang mengidentifikasi data sensitif di berbagai lingkungan dan layanan cloud, menilai kerentanannya terhadap ancaman keamanan dan risiko ketidakpatuhan terhadap peraturan. Alih-alih mengamankan perangkat, sistem, dan aplikasi yang menampung, memindahkan, atau memproses data, tim keamanan dapat menggunakan DSPM untuk fokus pada melindungi data secara langsung.
Dengan skala dan skenario penggunaan data dalam solusi gen AI, organisasi harus meninjau kembali siklus hidup data mereka dan cara melindunginya dalam skala besar, di semua kondisi. Pikirkan tentang mengamankan data pelatihan dengan melindunginya dari pencurian dan manipulasi. Organisasi dapat menggunakan penemuan dan klasifikasi data untuk mendeteksi data sensitif yang digunakan dalam pelatihan atau penyetelan. Mereka juga dapat menerapkan kontrol keamanan data di seluruh enkripsi, manajemen akses, dan pemantauan kepatuhan. Perluas manajemen postur ke model AI untuk melindungi data pelatihan AI yang sensitif dan mendapatkan visibilitas ke dalam penggunaan model AI yang tidak sah atau bayangan, penyimpangan berbahaya, penyalahgunaan AI, atau kebocoran data.
Penggunaan data sudah melibatkan persyaratan ekstensif dari regulator privasi data. Tuntutan ini menjadi lebih rumit dan bernuansa dalam hal data yang digunakan dalam solusi dan skenario yang didukung AI. Ini berarti bahwa kemampuan perlindungan data tradisional mungkin tidak cukup dan memerlukan mekanisme klasifikasi, perlindungan, dan pemantauan yang ditingkatkan, serta peningkatan kontrol untuk audit dan pengawasan.
Dalam edisi ke-19 tahun ini, Laporan Biaya Pelanggaran Data memberikan bukti yang tepat waktu dan terukur kepada para pemimpin TI, manajemen risiko, dan keamanan, untuk memandu mereka dalam pengambilan keputusan strategis. Laporan ini juga membantu tim untuk mengelola profil risiko dan investasi keamanan mereka dengan lebih baik. Tahun ini, statistik memberikan insight dari pengalaman 604 organisasi dan 3.556 pemimpin keamanan siber dan bisnis yang menghadapi pelanggaran data. Unduh salinan laporan untuk memberdayakan diri Anda dengan contoh-contoh dunia nyata dan rekomendasi pakar tentang cara mengurangi risiko.