Pelanggaran data adalah setiap insiden keamanan di mana pihak yang tidak berwenang mendapatkan akses ke data sensitif atau informasi rahasia, termasuk data pribadi (nomor Jaminan Sosial, nomor rekening bank, data perawatan kesehatan) atau data perusahaan (catatan data pelanggan, kekayaan intelektual, informasi keuangan).
Istilah 'pelanggaran data' dan 'pelanggaran' sering digunakan secara bergantian dengan 'serangan siber.' Tetapi tidak semua serangan siber adalah pelanggaran data—dan tidak semua pelanggaran data adalah serangan siber.
Pelanggaran data hanya mencakup pelanggaran keamanan yang menyebabkan kerahasiaan data terganggu. Jadi, misalnya, serangan denial-of-service terdistribusi (DDoS) yang membanjiri situs web bukanlah pelanggaran data. Tapi serangan ransomware yang mengunci data pelanggan perusahaan, dan mengancam untuk menjualnya jika uang tebusan tidak dibayar, adalah pelanggaran data. Begitu juga dengan pencurian fisik hard drive, flashdisk, atau bahkan file kertas yang berisi informasi sensitif.
Pelanggaran di perusahaan yang menggunakan AI dan otomatisasi menelan biaya USD 3 juta lebih rendah dibandingkan dengan pelanggaran di organisasi yang tidak menggunakan alat tersebut.
Menurut laporan Biaya Pelanggaran Data 2022 dari IBM, biaya rata-rata global untuk pelanggaran data adalah USD 4,35 juta; biaya rata-rata pelanggaran data di Amerika Serikat lebih dari dua kali lipatnya, yaitu USD 9,44 juta. Delapan puluh tiga (83) persen organisasi yang disurvei dalam laporan tersebut mengalami lebih dari satu pelanggaran data.
Organisasi dengan berbagai ukuran dan jenis rentan terhadap pelanggaran, bisnis besar dan kecil, perusahaan publik dan swasta, pemerintah federal, negara bagian dan lokal, organisasi nirlaba. Tetapi konsekuensi dari pelanggaran data sangat parah bagi organisasi di bidang-bidang seperti perawatan kesehatan, keuangan, dan sektor publik. Nilai data yang ditangani perusahaan-perusahaan ini; rahasia pemerintah, informasi kesehatan pasien, nomor rekening bank, dan kredensial login, dan denda peraturan yang ketat serta hukuman yang dihadapi organisasi-organisasi ini jika terjadi pelanggaran membuat biaya pelanggaran mereka semakin tinggi. Sebagai contoh, menurut laporan IBM, rata-rata pelanggaran data perawatan kesehatan menelan biaya USD 10,10 juta, lebih dari dua kali lipat biaya rata-rata semua pelanggaran.
Biaya pelanggaran data muncul dari beberapa faktor, beberapa di antaranya lebih mengejutkan daripada yang lain. Kehilangan bisnis, pendapatan, dan pelanggan yang diakibatkan oleh pelanggaran data merugikan korban pelanggaran data rata-rata sebesar USD 1,42 juta. Tetapi biaya untuk mendeteksi dan mengatasi pelanggaran sedikit lebih mahal, rata-rata USD 1,44 juta. Dan biaya pasca-pelanggaran-termasuk segala sesuatu mulai dari denda, penyelesaian, dan biaya hukum hingga biaya pelaporan dan penyediaan pemantauan kredit gratis dari pelanggan yang terkena dampak, membebani rata-rata korban pelanggaran data sebesar USD 1,49 juta. Persyaratan pelaporan pelanggaran data bisa sangat mahal dan memakan waktu.
- Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis (CIRCIA) AS tahun 2022 mewajibkan organisasi di bidang keamanan nasional, keuangan, manufaktur penting, dan industri lain yang ditunjuk untuk melaporkan insiden keamanan siber yang memengaruhi data pribadi atau operasi bisnis kepada Departemen Keamanan Dalam Negeri dalam waktu 72 jam.
- Organisasi AS yang tunduk pada Health Insurance Portability and Accountability Act (HIPPA) harus memberi tahu Departemen Kesehatan dan Layanan Kemanusiaan AS, individu yang terkena dampak, dan (dalam beberapa kasus) media jika informasi kesehatan yang dilindungi dilanggar.
- Semua 50 negara bagian AS juga memiliki undang-undang pemberitahuan pelanggaran data mereka sendiri.
- Peraturan Perlindungan Data Umum (GDPR) mewajibkan perusahaan yang berbisnis dengan warga negara Uni Eropa untuk memberi tahu pihak berwenang tentang pelanggaran dalam waktu 72 jam. Pelaporan ini dan tanggung jawab pasca-pelanggaran lainnya - mulai dari membayar denda, penyelesaian, dan biaya hukum hingga menyediakan pemantauan kredit gratis bagi pelanggan yang terkena dampak - membebani rata-rata korban pelanggaran data sebesar USD 1,49 juta.
Pelanggaran data dapat disebabkan oleh
- Kesalahan yang tidak disengaja-misalnya, seorang karyawan mengirimkan email berisi informasi rahasia kepada orang yang salah
- Orang dalam yang jahat — karyawan yang marah atau diberhentikan, atau karyawan serakah yang rentan terhadap suap orang luar
- Peretas, orang luar yang berniat jahat melakukan kejahatan siber yang disengaja untuk mencuri data.
Sebagian besar serangan jahat dimotivasi oleh keuntungan finansial. Peretas dapat mencuri nomor kartu kredit, rekening bank, atau informasi keuangan lainnya untuk menguras dana dari orang dan perusahaan secara langsung. Mereka dapat mencuri informasi yang dapat diidentifikasi secara pribadi (PII) - nomor jaminan sosial dan nomor telepon - untuk pencurian identitas (mengambil pinjaman dan membuka kartu kredit atas nama korban mereka) atau untuk dijual di web gelap, di mana mereka dapat memperoleh sebanyak USD 1 per nomor jaminan sosial dan USD 2.000 untuk nomor paspor (tautan berada di luar ibm.com). Penjahat siber juga dapat menjual informasi pribadi atau kredensial yang dicuri kepada peretas lain di web gelap, yang dapat menggunakannya untuk tujuan jahat mereka sendiri.
Pelanggaran data mungkin memiliki tujuan lain. Organisasi yang tidak bermoral dapat mencuri rahasia dagang dari pesaing. Pelaku bangsa-negara dapat membobol sistem pemerintah untuk mencuri informasi tentang transaksi politik yang sensitif, operasi militer, atau infrastruktur nasional. Beberapa pelanggaran murni bersifat destruktif, dengan peretas mengakses data sensitif hanya untuk menghancurkan atau merusaknya. Serangan destruktif seperti itu, yang menyumbang 17 persen pelanggaran menurut laporan Biaya Pelanggaran Data 2022, sering kali dilakukan oleh pelaku negara atau kelompok peretas yang berupaya merusak suatu organisasi.
Menurut laporan Biaya Pelanggaran Data 2022, siklus hidup pelanggaran data rata-rata adalah 277 hari, yang berarti dibutuhkan waktu selama itu bagi organisasi untuk mengidentifikasi dan mengatasi pelanggaran aktif.
Pelanggaran data yang disengaja yang disebabkan oleh pelaku ancaman internal atau eksternal mengikuti pola dasar yang sama:
- Penelitian: Peretas mencari target, dan kemudian mencari kelemahan yang dapat mereka eksploitasi dalam sistem komputer atau karyawan target. Mereka juga dapat membeli malware informasi yang telah dicuri sebelumnya yang akan memberi mereka akses ke jaringan target.
- Serangan: Dengan target dan metode yang diidentifikasi, peretas meluncurkan serangan. Peretas dapat memulai kampanye rekayasa sosial, secara langsung mengeksploitasi kerentanan pada sistem target, menggunakan kredensial login yang dicuri, atau memanfaatkan salah satu vektor serangan pembobolan data yang umum (lihat di bawah).
- Kompromi data: Peretas menemukan data yang mereka incar dan mengambil tindakan. Ini bisa berarti mengeksfiltrasi data untuk digunakan atau dijual, menghancurkan data, atau mengunci data dengan ransomware dan meminta pembayaran.
Pelaku jahat dapat menggunakan sejumlah vektor serangan, atau metode, untuk melakukan pelanggaran data. Beberapa yang paling umum termasuk:
Menurut Biaya Pelanggaran Data 2022, kredensial yang dicuri atau disalahgunakan adalah vektor serangan awal yang paling umum, menyumbang 19 persen dari pelanggaran data. Peretas dapat mencuri atau membahayakan kredensial dengan menggunakan serangan brute force, membeli kredensial curian dari web gelap, atau menipu karyawan untuk mengungkapkan kredensial melalui serangan rekayasa sosial.
Rekayasa sosial adalah tindakan memanipulasi orang secara psikologis agar tanpa disadari membahayakan keamanan informasi mereka sendiri. Phishing, jenis serangan rekayasa sosial yang paling umum, juga merupakan vektor serangan pembobolan data yang paling umum kedua, menyumbang 16 persen dari pelanggaran. Penipuan phishing menggunakan email palsu, pesan teks, konten media sosial, atau situs web untuk mengelabui pengguna agar membagikan kredensial atau mengunduh malware.
Menurut Biaya Pelanggaran Data 2022, rata-rata perusahaan membutuhkan waktu 326 hari untuk mengidentifikasi dan mengatasi pelanggaran ransomware. Hal ini sangat mengerikan karena menurut Indeks X-Force Threat Intelligence 2023, rata-rata waktu eksekusi ransomware turun dari 60+ hari pada tahun 2019 menjadi hanya 3,85 hari pada tahun 2021. Biaya rata-rata pelanggaran terkait ransomware adalah USD 4,54 juta - angka yang tidak termasuk pembayaran tebusan, yang bisa mencapai puluhan juta dolar.
Penjahat siber dapat memperoleh akses ke jaringan target dengan mengeksploitasi kelemahan aset TI seperti situs web, sistem operasi, titik akhir, dan perangkat lunak yang umum digunakan seperti Microsoft Office atau browser web. Setelah peretas menemukan kerentanan, mereka akan sering menggunakannya untuk menyuntikkan malware ke dalam jaringan. Spyware, yang merekam penekanan tombol korban dan data sensitif lainnya dan mengirimkannya kembali ke server perintah dan kontrol yang dioperasikan oleh peretas, adalah jenis malware yang umum digunakan dalam pembobolan data.
Metode lain untuk melanggar sistem target secara langsung, injeksi SQL memanfaatkan kelemahan dalam database Structured Query Language (SQL) dari situs web yang tidak aman. Peretas memasukkan kode berbahaya ke bidang pencarian situs web, mendorong database untuk mengembalikan data pribadi seperti nomor kartu kredit atau detail pribadi pelanggan.
Peretas dapat memanfaatkan kesalahan karyawan untuk mendapatkan akses ke informasi rahasia. Sebagai contoh, menurut laporan Biaya Pelanggaran Data 2022 dari IBM, kesalahan konfigurasi cloud menjadi vektor serangan awal dalam 15 persen pelanggaran. Karyawan juga dapat mengekspos data ke penyerang dengan menyimpannya di lokasi yang tidak aman, salah menempatkan perangkat dengan informasi sensitif yang tersimpan di hard drive mereka, atau secara keliru memberikan hak akses data yang berlebihan kepada pengguna jaringan. Penjahat siber juga dapat menggunakan kegagalan TI, seperti pemadaman sistem sementara, untuk menyelinap ke dalam basis data yang sensitif.
Penyerang dapat mencuri pekerjaan karyawan atau perangkat pribadi untuk mendapatkan akses ke data sensitif yang dikandungnya, masuk ke kantor perusahaan untuk mencuri dokumen kertas dan hard drive fisik, atau menempatkan perangkat skimming pada pembaca kartu kredit dan debit fisik untuk mengumpulkan informasi kartu pembayaran individu.
Beberapa contoh menunjukkan berbagai penyebab dan biaya pelanggaran data.
- TJX: Pelanggaran TJX Corporation pada tahun 2007, perusahaan induk peritel TJ Maxx dan Marshalls, pada saat itu merupakan pelaku pelanggaran data konsumen terbesar dan termahal dalam sejarah Amerika Serikat, dengan sebanyak 94 juta data pelanggan yang disusupi dan kerugian finansial lebih dari 256 juta dolar AS. Peretas mendapatkan akses ke data dengan mendekripsi jaringan nirkabel yang menghubungkan mesin kasir toko ke sistem back-end.
- Yahoo: Pada tahun 2013, Yahoo mengalami apa yang mungkin merupakan pelanggaran data terbesar dalam sejarah. Para peretas mengeksploitasi kelemahan dalam sistem cookie perusahaan untuk mendapatkan akses ke nama, tanggal lahir, alamat email, dan kata sandi dari 3 miliar pengguna Yahoo. Pelanggaran sepenuhnya baru terungkap pada tahun 2016, ketika Verizon sedang dalam pembicaraan untuk membeli perusahaan tersebut. Akibatnya, Verizon mengurangi penawaran akuisisi sebesar USD 350 juta.
- Equifax: Pada tahun 2017, para peretas membobol perusahaan biro kredit Equifax dan mengakses data pribadi lebih dari 143 juta orang Amerika. Para peretas mengeksploitasi kelemahan yang belum ditambal di situs web Equifax untuk mendapatkan akses ke jaringan dan kemudian pindah ke server lain untuk menemukan nomor jaminan sosial, nomor SIM, dan nomor kartu kredit. Serangan tersebut merugikan Equifax sebesar USD 1,4 miliar antara penyelesaian, denda, dan biaya lain yang terkait dengan perbaikan pelanggaran.
- SolarWinds: Pada tahun 2020, pelaku negara Rusia mengeksekusi serangan rantai pasokan dengan meretas vendor perangkat lunak SolarWinds. Peretas menggunakan platform pemantauan jaringan organisasi, Orion, untuk mendistribusikan malware secara diam-diam ke pelanggan SolarWinds. Mata-mata Rusia mampu mendapatkan akses ke informasi rahasia dari berbagai lembaga pemerintah AS yang menggunakan layanan SolarWinds, termasuk Departemen Keuangan, Kehakiman, dan Luar Negeri.
- Colonial Pipeline: Pada tahun 2021, peretas menginfeksi sistem Colonial Pipeline dengan ransomware, memaksa perusahaan untuk menutup sementara pipa yang memasok 45 persen bahan bakar Pantai Timur AS. Peretas menggunakan kata sandi karyawan, yang ditemukan di web gelap, untuk melanggar jaringan. Colonial Pipeline Company membayar tebusan sebesar USD 4,4 juta dalam bentuk mata uang kripto, tetapi penegak hukum federal berhasil mengembalikan sekitar USD 2,3 juta dari pembayaran tersebut.
Langkah-langkah keamanan standar, penilaian kerentanan secara teratur, pencadangan terjadwal, enkripsi data saat istirahat dan dalam perjalanan, konfigurasi basis data yang tepat, penerapan sistem dan perangkat lunak yang tepat waktu, dapat membantu mencegah pembobolan data, dan mengurangi dampaknya ketika pembobolan data terjadi. Namun, saat ini organisasi dapat menerapkan kontrol keamanan data, teknologi, dan praktik terbaik yang lebih spesifik untuk mencegah pelanggaran data dan mengurangi kerusakan yang ditimbulkannya.
Rencana respons insiden. Rencana respons insiden (IRP) organisasi - cetak biru untuk mendeteksi, mengatasi, dan memberantas ancaman siber - merupakan salah satu cara paling efektif untuk mengurangi kerusakan akibat pembobolan data. Menurut laporan Biaya Pelanggaran Data 2022, organisasi dengan rencana tanggap insiden yang teruji secara teratur dan tim tanggap insiden formal memiliki biaya rata-rata pelanggaran data sebesar USD 3,26 juta - USD 2,66 juta lebih rendah daripada biaya rata-rata pelanggaran data untuk organisasi yang tidak memiliki tim dan rencana respons insiden.
AI dan otomatisasi. Laporan Biaya Pelanggaran Data 2022 juga menemukan bahwa organisasi yang menerapkankecerdasan buatan (AI)tingkat tinggi dan otomatisasi untuk deteksi dan respons ancaman memiliki biaya pelanggaran data rata-rata 55,3 persen lebih rendah daripada organisasi yang menerapkan teknologi tersebut dengan tingkat yang lebih rendah. Teknologi seperti SOAR (orkestrasi keamanan, otomatisasi dan respons), UEBA (analitik perilaku pengguna dan entitas), EDR (deteksi dan responstitik akhir),dan XDR (deteksi dan respons yang diperluas) memanfaatkan AI dan analitik lanjutan untuk mengidentifikasi ancaman lebih awal—bahkan sebelum mengarah pada pelanggaran data—dan memberikan kemampuan otomatisasi yang memungkinkan respons yang lebih cepat dan hemat biaya.
Pelatihan karyawan. Karena rekayasa sosial dan serangan phishing adalah penyebab utama pelanggaran, melatih karyawan untuk mengenali dan menghindari serangan ini dapat mengurangi risiko perusahaan dari pelanggaran data. Selain itu, melatih karyawan untuk menangani data dengan benar dapat membantu mencegah pelanggaran data yang tidak disengaja dan kebocoran data.
Manajemen identitas dan akses (IAM). Kebijakan kata sandi yang kuat, pengelola kata sandi, otentikasi dua faktor (2FA) atau otentikasi multi-faktor (MFA), sistemmasuk tunggal (SSO), serta teknologi dan praktik manajemen identitas dan akses (IAM) lainnya bisa membantu organisasi untuk bertahan lebih baik dari para peretas yang menggunakan kredensial yang dicuri atau disusupi, yang merupakan vektor serangan pembobolan data yang paling sering terjadi.
Pendekatan keamananzero trust. Pendekatan keamanan zero trust adalah pendekatan yang tidak pernah mempercayai dan terus menerus memverifikasi semua pengguna atau entitas, baik yang berada di luar maupun yang sudah berada di dalam jaringan. Secara khusus, zero trust membutuhkan
- Otentikasi, otorisasi, dan validasi berkelanjutan: Siapa punatau apa pun yang mencoba mengakses jaringan atau sumber daya jaringan akan dianggap berpotensi membahayakan atau berbahaya, dan harus melewati tantangan autentikasi, otorisasi, dan validasi kontekstual yang terus menerus untuk mendapatkan atau mempertahankan akses.
- Akses paling rendah: Setelah validasi berhasil, pengguna atau entitas diberikan tingkat akses dan izin terendah yang diperlukan untuk menyelesaikan tugas mereka atau memenuhi peran mereka.
- Pemantauan menyeluruh terhadap semua aktivitas jaringan:Implementasi zero trust membutuhkan visibilitas ke setiap aspek ekosistem jaringan hibrida organisasi, termasuk bagaimana pengguna dan entitas berinteraksi dengan sumber daya berdasarkan peran dan di mana potensi kerentanan ada.
Kontrol ini dapat membantu menggagalkan pembobolan data dan serangan siber lainnya dengan mengidentifikasi dan menghentikannya sejak awal, dan dengan membatasi pergerakan dan perkembangan peretas dan serangan yang berhasil mendapatkan akses ke jaringan.
Mengelabui serangan dengan rangkaian keamanan yang terhubung dan modern Portofolio QRadar disematkan dengan AI tingkat perusahaan dan menawarkan produk terintegrasi untuk keamanan titik akhir, manajemen log, SIEM, dan SOAR-semuanya dengan antarmuka pengguna yang sama, wawasan bersama, dan alur kerja yang terhubung.
Diimplementasikan di tempat atau di hybrid cloud, solusi keamanan data IBM membantu Anda mendapatkan visibilitas dan wawasan yang lebih besar untuk menyelidiki dan memulihkan ancaman siber, menegakkan kontrol real-time, dan mengelola kepatuhan terhadap peraturan.
Perburuan ancaman secara proaktif, pemantauan berkelanjutan, dan investigasi mendalam terhadap ancaman hanyalah beberapa prioritas yang dihadapi departemen TI yang sudah sangat sibuk. Memiliki tim tanggap insiden tepercaya yang siap siaga dapat mengurangi waktu tanggap Anda, meminimalkan dampak serangan siber, dan membantu Anda pulih lebih cepat.
Dapatkan wawasan terbaru tentang lanskap ancaman yang terus berkembang dan menawarkan rekomendasi cara menghemat waktu dan membatasi kerugian.
CISO, tim keamanan, dan pemimpin bisnis: Temukan wawasan yang dapat ditindaklanjuti untuk memahami cara pelaku ancaman melancarkan serangan, dan cara melindungi organisasi Anda secara proaktif.
Pelajari cara kerja ransomware, mengapa ransomware telah berkembang biak dalam beberapa tahun terakhir, dan bagaimana organisasi mempertahankan diri dari ransomware.