Kerentanan Sistem Informasi dan Resiliensi Teknologi Operasional

Dalam sebuah artikel di akhir Juni 2021, sebuah konsultan global, McKinsey company menyampaikan urgensi mengenai perlunya tiap perusahaan memperhatikan lebih jauh lagi mengenai bahaya dari sistem keamanan sibernetika yang dimiliki tiap perusahaan. 

Salah satu ancaman terbesar, adalah dari link phising yang bisa saja di klik oleh salah satu karyawan di perusahaan anda tanpa ia menyadari bahwa satu klik yang dibuatnya pada salah satu email yang seolah-olah meniru suatu situs resmi, bisa membuat sang penjahat dapat memasuki sistem keamanan siber perusahaan anda dan bisa mengacak-acak teknologi operasional yang dimiliki perusahaan dan menyebabkan serangkaian sistem informasi milik perusahaan terancam dirusak bila perusahaan tidak membayar sejumlah tebusan pada si pengirim ransomware tersebut. 

Kisah ini mungkin familiar bagi anda penggemar drama korea, karena kisah serupa diatas merupakan pembuka dari rangkaian drama series yang cukup hits di netflix tersebut, yang berjudul Start Up. Tidak hanya berkisar pada jumlah permintaan yang amat fantastis dan bernilai besar, perusahaan kini harus makin waspada pada berbagai serangan siber. 

McKinsey menyampaikan bahwa di darkweb, sebuah tempat dimana para kriminal siber berkumpul, para pelaku ransomware kini sudah lebih hati-hati dalam memilih sasaran mereka, karena tujuan mereka hanyalah finansial, dan tidak ingin mencelakakan siapapun. Namun tetap saja, seorang kriminal siber yang berbahaya bisa tidak menyadari sejauh mana penyebaran email phising yang dibuatnya bisa membahayakan sistem keamanan suatu perusahaan, dan sebesar apa bahaya yang bisa ditimbulkannya. 

Bila sistem teknologi operasional yang terserang oleh ransomware berada pada suatu perusahaan yang menanggung hajat hidup orang banyak, maka bisa jadi bahaya yang terjadi bukan saja urusan finansial semata, namun bisa mengacaukan kehidupan sekian ribu orang karyawan hingga puluhan perusahaan yang dapat terkena dampak dari integrasi supply chain yang terganggu gara-gara satu serangan siber di satu perusahaan tersebut. 

Menyerah pada ancaman kriminal siber tentu bukan pilihan. Karena sekali mereka berhasil menembus perusahaan anda, maka mereka akan mencobanya untuk kesekian kalinya. Hal ini tentu amat mengganggu secara finansial dan keamanan data perusahaan. Satu-satunya yang dapat dilakukan adalah meningkatkan sistem resiliensi sibernetika pada rangkaiaan sistem informasi dan sistem teknologi operasional milik perusahaan anda. 

Selain itu, perusahaan juga perlu melakukan simulasi dan latihan berkala untuk memeriksa kerentanan dari sistem informatika perusahaan. Untuk mengecek apakah ada karyawan yang iseng dan kemudian melakukan asal klik pada berbagai email phising yang dapat membahayakan sistem siber perusahaan. untuk kemudian ditindaklanjuti ke bagian sdm untuk pendidikan dan pelatihan lebih lanjut mengenai keamanan siber, atau dengan memberikan surat peringatan bila perlu. 

Sedangkan untuk sistem informasi (IT) dan teknologi operasional (OT), ada baiknya perusahaan anda melakukan penggantian sistem operasional secara reguler, apakah itu dua tahun sekali ataupun satu tahun sekali. Perlu dipertimbangkan juga untuk perusahaan melakukan screening tetap pada calon karyawan maupun screening reguler pada karyawan existing, ataupun dengan melakukan screening para berbagai perusahaan rekanan dengan sejumlah langkah untuk mengecek apakah mereka bisa menjadi ancaman pada sistem IT dan OT di perusahaan anda. 

Langkah hati-hati dalam upaya menjaga keamanan sibernetika di perusahaan Anda, tidak pernah sia-sia. Demikian juga dengan upaya pendidikan dan pelatihan yang dilakukan pada karyawan dan tim kritikal di perusahaan Anda. Tak ada pendidikan yang sia-sia, yang mungkin terjadi adalah pemilihan topik yang tidak tepat, atau pemberian materi oleh pihak yang kurang kompeten di bidangnya. Namun, bila Anda memiliki karyawan yang berkualitas, bahkan bila terjadi kedua hal itupun, pelatihan dan pendidikan yang diberikan, tetap akan mendatangkan manfaat di perusahaan Anda.