Risiko keamanan siber besar yang Anda abaikan: kantor Anda.

Anda memiliki filter spam terbaru dan terhebat untuk akun email semua orang. Alat deteksi dan respons titik akhir di setiap perangkat yang dikeluarkan perusahaan. Sistem deteksi dan pencegahan intrusi menjaga gerbang jaringan Anda, berteriak “Hentikan!” untuk setiap paket yang bahkan terlihat lucu.

Sistem Anda benar-benar terkunci. Tidak ada peretas yang masuk ke sini.

Pintu depan gedung kantor Anda, itu cerita lain. Penyerang kemungkinan bisa masuk dengan mudah.

Percayalah. Saya tahu dari pengalaman. Saya sendiri melakukan itu.

Salah satu bagian paling menyenangkan dari menjadi Chief People Hacker IBM adalah saya dapat melakukan penilaian keamanan fisik. Pada dasarnya, saya mencoba membobol ke gedung klien, dengan izin, untuk membantu mengidentifikasi kelemahan dalam pertahanan fisik mereka.  

Dan ketika saya bisa masuk, saya bisa menyebabkan banyak kerusakan. Laptop tanpa pengawasan di ruang istirahat? Yoink. Itu milik saya sekarang, bersama dengan akses ke setiap dokumen yang dapat diakses oleh pemiliknya. File-file rahasia yang ada di atas meja di kantor yang kosong dan tidak terkunci? Milik saya juga.

Sebagian besar dari kita menganggap keamanan siber sebagai urusan digital murni. Itu masuk akal, “siber” benar dalam namanya. Tetapi serangan siber sebenarnya dapat dimulai di sini di dunia fisik, dan saya tidak berbicara tentang robot yang menyerang (setidaknya, belum).

Saya berbicara tentang orang luar yang jahat, dan bahkan orang dalam yang jahat, yang dapat membahayakan sistem komputer Anda langsung dari gedung Anda. Panggilan itu datang dari dalam rumah!

Seiring dengan semakin banyaknya organisasi yang membawa karyawan kembali ke kantor, serangan fisik ini mungkin akan menjadi lebih umum, dan lebih berhasil. Setelah bertahun-tahun bekerja dari jarak jauh, banyak dari kita menjadi terbelakang dalam hal menjaga keamanan kantor kita.

Mari kita lihat beberapa risiko keamanan siber fisik dan apa yang dapat dilakukan organisasi untuk melawannya. 

Gangguan fisik dapat terjadi dalam banyak cara, tetapi berdasarkan pengalaman saya, itu cenderung terjadi dalam tiga tahap:

• Tahap 1: Mengumpulkan intelijen
• Tahap 2: Mendapat akses
• Tahap 3: Menjalankan serangan

Mari kita uraikan tahapan-tahapan ini.

Tahap pertama dari penilaian fisik IBM® X-Force adalah mengumpulkan intelijen tentang target kami. Tentu saja, kami tidak meminta informasi ini kepada klien. Karena itu tidak perlu. Sungguh menakjubkan apa yang dapat Anda ketahui tentang perusahaan hanya dari menonton karyawannya menjalani kehidupan sehari-hari mereka.

Misalnya, saya mungkin mengunjungi akun Instagram perusahaan untuk mencari foto karyawan. Apakah mereka mengenakan seragam? Apakah mereka memiliki kode berpakaian? Ini adalah informasi yang dapat saya gunakan untuk berbaur. (Dan Anda berpikir, tidak, berharap, tidak ada yang melihat foto-foto pesta liburan kantor.)

Jika saya benar-benar beruntung, saya mungkin melihat sekilas tanda pengenal karyawan, yang akan membantu saya membuat versi palsu yang meyakinkan. Saya tidak bisa masuk dengannya, tetapi itu akan menghilangkan kecurigaan saat saya berjalan-jalan di sekitar kampus.

Mungkin saya menemukan daftar vendor di situs web Anda. Sekarang saya bisa menyamar sebagai pengirim perlengkapan kantor.

Mungkin saya pergi ke gedung Anda dan melakukan sedikit pengawasan. Pintu apa yang digunakan karyawan? Apakah ada pintu masuk terpisah untuk umum? Apakah Anda memiliki keamanan, dan di mana mereka berada?

Bahkan detail yang tampaknya paling tidak penting dapat digunakan untuk melawan Anda. Misalnya, saya mungkin mengetahui jadwal sampah Anda. Aneh, saya tahu, tapi dengarkan ini: Jika hari sampah adalah hari Rabu, saya akan mampir Selasa malam karena saya tahu bahwa sampah akan penuh. Itu berarti ada kemungkinan besar saya akan menemukan kata sandi jaringan yang tertulis di post-it, atau memo rahasia yang tidak dihancurkan.

(Saya tahu bagaimana Anda melihat saya sekarang. Saya bisa merasakannya melalui layar. Saya tidak menikmati bagian pekerjaan ini. Jadi jika Anda bisa menghancurkan dokumen sensitif Anda, itu akan membantu saya. Sungguh.)

Saya berharap bisa mengatakan bahwa saya melakukan manuver James Bond yang serius untuk masuk ke gedung klien saya, tetapi kenyataannya adalah saya biasanya berjalan melewati pintu depan bersama orang lain. Ini adalah metode serangan yang disebut “tailgating.”

Tailgating adalah ketika aktor jahat mengikuti orang yang berwenang ke area yang aman. Pikirkan tentang gedung perkantoran: Karyawan sering membutuhkan semacam tanda pengenal atau fob untuk membuka pintu. Sebagai penyerang, Anda jelas tidak memilikinya. Jadi, yang harus Anda lakukan adalah berjalan di belakang karyawan sehingga, ketika mereka masuk, mereka akan menahan pintu agar tetap terbuka atau Anda bisa menangkapnya sebelum pintu tertutup.

Ternyata, tailgating sangatlah sukses. Orang-orang sopan! Bahkan ketika mereka tahu Anda seharusnya tidak ada di situ, kebanyakan dari mereka tidak mau mengatakan apa pun. Terlalu canggung. Dan rekayasa sosial mengandalkan respons yang sangat manusiawi seperti ini.

Itu tidak berarti bahwa penjahat tidak pernah mencoba masuk ke gedung dengan cara kuno. Hanya saja mereka tidak benar-benar perlu.

Ketika saya berhasil masuk, saya mungkin akan mencuri sesuatu. (Yah, berpura-pura mencuri sesuatu.) Dokumen sensitif dan perangkat yang ditinggalkan di tempat terbuka adalah target utama, tetapi itu belum semuanya. Saya mungkin mengambil tanda pengenal karyawan atau satu set kunci bangunan untuk memperluas akses saya dan masuk kembali jika saya harus pergi.

Jika saya bisa mendapatkan perangkat perusahaan, saya dapat mengakses jaringan perusahaan. Saya dapat menyamar sebagai pemilik perangkat dan mengirim email phishing dari akun mereka. Saya dapat menanam file berbahaya di direktori perusahaan.

Hal menyenangkan lainnya yang bisa saya lakukan adalah dengan memancing. Saya menjatuhkan drive USB yang penuh dengan malware (ya, malware palsu) di sekitar gedung.

Orang-orang lucu: Ketika mereka menemukan drive USB asing, mereka cenderung ingin mencolokkannya dan melihat apa yang ada di dalamnya. Mungkin mereka orang Samaria yang baik mencoba mencari identitas pemiliknya. Mungkin mereka hanya usil. Bagaimanapun, mereka berada dalam masalah. Drive USB itu diam-diam akan menginfeksi perangkat mereka dengan sesuatu yang jahat, seperti keylogger atau ransomware. 

Pada penilaian fisik apa pun, saya biasanya menunggu berapa lama waktu yang dibutuhkan seseorang untuk menghentikan saya. 

Saya ingat satu penilaian di mana butuh waktu empat jam bagi pihak keamanan untuk mulai mencari saya, meskipun seorang karyawan menyadari bahwa saya mengikutinya ke dalam gedung. (Dan saya masih berhasil menyelinap keluar sebelum mereka menemukan saya!)

Maksud saya adalah bahwa praktik keamanan fisik kita seringkali cukup buruk. Inilah yang harus dilakukan sebagai gantinya:

Kita semua tahu apa yang terjadi ketika Anda berasumsi, bukan?

Anda membuat pekerjaan aktor jahat jauh lebih mudah.

Salah satu kesalahan terbesar yang dilakukan orang dengan keamanan fisik adalah bahwa mereka menganggap semua perlindungan yang tepat sudah tersedia. Dan saya berbicara tentang hal-hal sederhana, seperti berasumsi bahwa “pintu yang mengunci secara otomatis” benar-benar mengunci secara otomatis. Atau bahwa orang-orang menggunakan mesin penghancur kertas. Atau bahwa karyawan akan menghentikan orang asing di gedung untuk bertanya apa yang mereka lakukan.

Lalu saya masuk, dan inilah yang saya temukan: Kunci pintu itu tidak berfungsi untuk waktu yang lama. Orang-orang membuang dokumen rahasia ke tempat sampah biasa. Mereka melihat orang asing di gedung dan berpikir, “Bukan urusanku!”

Semua kegagalan kecil ini berakumulasi, memungkinkan penyerang untuk melakukan serangan canggih di depan mata. (Lihat postingan saya sebelumnya tentang bagaimana saya menipu resepsionis untuk mencolokkan flash drive yang belum diverifikasi ke komputernya, sementara petugas keamanan berdiri tepat di belakang saya, mencari saya).

Saya mendorong organisasi untuk tidak berasumsi apa pun. Periksa apakah pintu terkunci. Jangan hanya mempercayai lampu merah kecil pada gesekan tanda pengenal. Coba tarik. Beri tahu orang-orang dokumen mana yang harus dihancurkan. Jika Anda melihat orang asing, jangan takut untuk bertanya apa yang mereka lakukan. (Anda bahkan dapat melakukannya dengan sopan: “Halo, saya lihat Anda tidak memiliki tanda pengenal pengunjung. Saya bisa antar Anda ke security, jadi Anda tidak akan terus dihentikan!”) 

Pelatihan keamanan siber harus menghabiskan lebih banyak waktu untuk praktik keamanan fisik. Ini mungkin bukan rute serangan yang paling umum, tetapi ini adalah lubang menganga dalam pertahanan banyak organisasi.

Pikirkan tentang pelatihan keamanan siber rata-rata. Jika ada peringatan tentang keamanan fisik sama sekali, yang jarang sekali, biasanya tidak lebih dalam dari “Jaga laptop kantor Anda dari pencurian.”

Keamanan fisik harus diperlakukan dengan kedalaman yang sama dengan topik lainnya. Misalnya, pelatihan sering menutupi tanda bahaya dalam pesan phishing, seperti tata bahasa yang buruk dan permintaan mendesak. Bagaimana kalau mengajari orang untuk melihat tanda bahaya pada pengunjung kantor, seperti berkeliaran sendirian dan tanpa tanda pengenal?

Semakin eksplisit instruksinya, semakin baik. Ambil tailgating, misalnya. Hanya dengan mengatakan kepada karyawan untuk tidak membiarkan orang asing masuk ke dalam gedung tidak cukup membekali mereka untuk merespons penguntit di dunia nyata.

Sebaliknya, mereka harus tahu persis apa prosesnya ketika mereka melihat orang asing. Biasanya, sesederhana, “Siapa yang ingin Anda temui di sini? Biarkan saya mengantar Anda ke security sehingga Anda bisa melapor masuk.” Jika Anda berurusan dengan pengunjung nyata, mereka akan menghargai bantuan Anda. Jika Anda berhadapan dengan penyerang, mereka mungkin akan membatalkan misi setelah mereka terlihat.

Dan ingat bagian tentang mempertimbangkan kembali asumsi? Tidak ada detail yang terlalu kecil untuk dimasukkan dalam pelatihan keamanan fisik. Beri tahu karyawan untuk mengunci data dan perangkat sensitif. Pastikan mereka mengetahui tempat sampah untuk penghancur kertas. Tekankan dengan keras bahaya drive USB yang tidak dikenal.

Buatlah semudah mungkin bagi karyawan untuk mengikuti kebijakan, proses, dan praktik keamanan fisik terbaik dengan memastikan mereka memiliki sumber daya yang mereka butuhkan tepat di ujung jari mereka.

Misalnya, saya sarankan untuk menyimpan nomor telepon dan alamat email semua kontak keamanan di setiap meja dan di setiap perangkat. Dengan demikian, jika terjadi sesuatu, karyawan tahu kepada siapa harus segera melaporkannya. Harus mudah untuk membawa pengunjung langsung ke security, jadi pertimbangkan penempatan meja keamanan fisik.

Dan pastikan karyawan memiliki cara untuk mengamankan perangkat dan dokumen mereka, seperti loker pribadi, lemari arsip yang terkunci, dan kunci komputer di setiap meja.

Serangan siber tidak hanya terjadi secara online, jadi Anda tidak dapat mengandalkan pertahanan digital saja.

Jika ada satu pelajaran utama yang bisa diambil di sini, mungkin adalah ini: Untuk keamanan fisik, detail-detail kecil sama pentingnya, bahkan mungkin lebih penting daripada gambaran besarnya.

Tentu saja, Anda memerlukan strategi keamanan fisik yang menyeluruh, yang hasilnya akan terkait dengan strategi keamanan siber yang menyeluruh. Tetapi belum tentu kurangnya pemikiran strategis yang membuat organisasi terbuka untuk serangan fisik. Ini sering kali merupakan masalah kepraktisan: Apakah orang-orang tahu persis apa yang harus dilakukan terhadap ancaman fisik, dan apakah mereka diberdayakan untuk melakukannya?

Dengan memikirkan kembali asumsi Anda, berinvestasi pada pelatihan yang lebih baik dan melengkapi karyawan dengan sumber daya yang tepat, Anda bisa menggagalkan banyak serangan. Dan sementara Anda akan membuat pekerjaan saya jadi lebih sulit, Anda akan membuat dunia jauh lebih aman.

Jadi itu mungkin pengorbanan yang sepadan.