Beban (biaya) Cyber Security
Menciptakan ruang siber yang aman dan tangguh menjadi tantangan yang semakin kompleks dan memakan biaya seiring dengan berkembangnya kebutuhan untuk melindungi sistem dan data kita terhadap serangan kriminal yang semakin canggih. Kerugian yang diakibatkan kejahatan siber global tahunan sekarang mencapai $600 miliar, setara dengan 0,8% dari PDB global. Data merupakan ‘mata uang baru’ dan selama data tetap lebih mudah dicuri daripada uang, kejahatan siber akan terus mencari keuntungan. Peningkatan perlindungan data dan pengaturan cyber security tampaknya belum sepenuhnya efektif dengan banyaknya organisasi yang mengalami pembobolan yang lebih sering dan lebih besar. Kerugian pembobolan data tahun lalu naik sebesar 6,4% yang mengindikasikan bahwa banyak organisasi yang belum mengambil tindakan yang memadai untuk melindungi data mereka.
Pembobolan Besar Akhir-akhir Ini di Asia
Di Asia, kita menyadari dampak dari pembobolan besar (kehilangan sebanyak lebih dari 1 juta rekaman); pada bulan Maret 2016, Filipina mengalami peretasan COMELEC yang berdampak pada 20 juta warga. Pada bulan Juli 2018 di Singapura, pembobolan SingHealth merupakan yang terbesar dalam sejarah di negara tersebut dengan 1,5 juta catatan pasien yang bocor. Pada saat ini, di Tiongkok, Huazhu Hotel Group sedang menyelidiki pembobolan data yang berpotensi berdampak pada jutaan konsumen.
Kerugian Akibat Pembobolan Data yang Meningkat (semua kerugian dalam US$)
Rata-rata kerugian pembobolan data sekarang mencapai $3,86 juta dengan kerugian akibat hilangnya satu rekaman data sebesar $148. Patut diperhatikan bahwa organisasi yang mengalami pembobolan dan telah memiliki sistem cyber security yang sepenuhnya otomatis memiliki rata-rata kerugian pembobolan yang lebih rendah (sebesar $2,88 juta), sementara organisasi yang tidak memiliki sistem tersebut mengalami kerugian sebesar $4,43 juta (terdengar seperti argumen yang meyakinkan untuk berinvestasi dalam pengamanan siber). Waktu yang digunakan untuk mengidentifikasi, menyelidiki dan mengendalikan pembobolan juga memiliki dampak. Perusahaan yang dapat mengendalikan pembobolan dalam jangka waktu 30 hari dapat menekan kerugian sebesar $1 juta. Perusahaan yang memiliki rencana tanggap insiden menghemat $14 per catatan yang bocor. Dengan rata-rata waktu mengidentifikasi pembobolan sebanyak 197 hari (dan 69 hari selanjutnya untuk mengendalikannya), jelas bahwa para penyerang termotivasi tidak hanya untuk mendapatkan akses ke sistem namun juga untuk bertahan dalam periode yang lama dan memanen data untuk menambah keuntungan finansial. Bagaimana dengan harga saham? Estimasi menunjukkan penurunan rata-rata (pasca pembobolan) sebesar 5% dengan kerugian jangka menengah 1,4 sampai dengan 1,7 % poin. Meskipun sebagian besar saham pulih seiring waktu, organisasi dengan strategi, kebijakan keamanan dan rencana tanggap insiden yang jelas cenderung pulih lebih cepat.
Terdiri dari apa saja sebagian besar komponen kerugian pembobolan?
Kerugian pembobolan paling tepat dihitung dengan menggunakan biaya berbasis kegiatan. Biaya Deteksi dan Eskalasi mencakup; layanan penyelidikan dan forensik, manajemen dan komunikasi krisis. Kegiatan Tanggapan Pasca pembobolan mencakup; layanan perlindungan identitas, penerbitan akun atau kartu baru, biaya hukum, biaya kompensasi, penalti dan denda. Biaya Pemberitahuan mencakup surat elektronik, surat dan panggilan keluar kepada para konsumen terdampak dan otoritas pengawasan serta biaya Usaha yang Hilang yang mencakup gangguan usaha dan waktu tunggu yang meliputi kehilangan itikad baik konsumen yang tidak dapat dihindari ditambah kerugian reputasi.
Biaya untuk Mengamankan Perusahaan Anda
Jadi mari pertimbangkan apa yang harus dibelanjakan oleh organisasi untuk pengamanan siber (cyber security) guna mengurangi risiko dampak pembobolan data. Menurut penelitian oleh IBM, belanja cyber security yang ideal adalah antara 9,8% dan 13,7% dari anggaran TI. Untuk industri tertentu, belanja ini mungkin lebih dari 13,7% dan untuk perencanaan strategis jangka panjang (sampai dengan 2025), angka ini diperkirakan akan meningkat sebesar 30%. Lebih bijaksana untuk mulai memperkirakan peningkatan belanja tahunan (% belanja TI dalam siber) sebesar paling sedikit 3% setiap tahun. Banyak solusi yang tersedia bagi organisasi yang meliputi identifikasi ancaman, tata kelola data dan tindakan pelindung dan deteksi lainnya. Semua hal ini merupakan bagian dari strategi cyber security secara keseluruhan. Dua komponen keamanan penting yang patut diperhatikan; manajemen identitas yang ditingkatkan (misalnya otentikasi multi faktor) dan enkripsi data dianggap sebagai dua tindakan pencegahan yang paling efektif. Surat elektronik dan perambahan web yang aman serta keamanan workstation yang berhadapan dengan publik yang secara langsung tersambung dengan sistem sisi belakang dan basis data juga sedang sangat diperhatikan saat ini. Organisasi juga harus mempertimbangkan penggunaan layanan konsultasi dan pengelolaan keamanan yang profesional apabila kemampuan tersebut tidak tersedia secara internal. Membeli solusi teknologi saja tentu tidak cukup karena solusi ini harus dikonfigurasi, dikelola dan dipantau secara hati-hati. Perbedaan pengeluaran cyber security bergantung pada faktor tertentu, termasuk:
- Ukuran organisasi Anda
- Jenis industri Anda; sektor layanan keuangan, kesehatan, keramahtamahan dan ritel umumnya menjadi sasaran pencurian data. Sektor lain seperti farmasi, teknologi dan manufaktur dapat menjadi sasaran pencurian kekayaan intelektual. Infrastruktur nasional penting (Critical National Infrastructure – CNI) juga rentan mengalami ancaman gangguan dan penolakan layanan;
- Kemampuan menanggung risiko Anda; tingkat risiko yang berani diambil oleh organisasi Anda untuk memenuhi tujuan usaha.
- Postur cyber security organisasi Anda. Setiap hal yang dilakukan oleh organisasi Anda untuk mengelola risiko cyber security termasuk pelatihan karyawan, konfigurasi dan pemeliharaan sistem, pembaharuan perangkat lunak dan penyusunan rencana tanggap insiden siber Anda.
- Pertimbangan kepatuhan. Di Asia Tenggara, negara yang memiliki peraturan perundang-undangan nasional untuk perlindungan data dan cyber security termasuk Singapura, Indonesia, Malaysia dan Filipina. Tentunya akan ada kendali finansial dan peraturan berbasis industri dan sektor yang harus dipertimbangkan.
Dalam mengkaji biaya cyber security, kita melihat bahwa pada kenyataannya kita memiliki pilihan; mengurangi paparan risiko kerugian secara signifikan dengan berinvestasi dalam strategi cyber security yang komprehensif atau berisiko menanggung kerugian finansial dan reputasi yang signifikan dengan tidak melakukannya.
Referensi:
--------
i) https://www.nmhc.org/news/articles/cyber-hygiene-prevents-80-percent-of-breaches/
Artikel asli ditulis untuk majalah Orient British Chamber Singapore
