Sektor amal adalah bisnis besar. Di Inggris Raya, diperkirakan lebih dari £5 miliar telah disumbangkan untuk amal pada tahun 2020. Ini adalah berita yang sangat positif dengan banyak orang yang berperan dalam upaya membantu mereka yang kurang beruntung. Tetapi ketika Anda mempertimbangkan bahwa sejumlah besar uang sedang diproses di sektor ini, bersama dengan informasi pribadi dan sensitif, ini adalah target yang sangat menguntungkan bagi penyerang dunia maya. Namun, menurut penelitian terbaru oleh Charity Commission, hanya setengah (58%) dari badan amal yang menganggap kejahatan dunia maya sebagai risiko.
Tentang Penulis
Bindu Sundaresan adalah Direktur AT&T (terbuka di tab baru) Keamanan cyber.
Ini adalah sikap yang mengejutkan oleh hampir setengah dari industri amal, terutama ketika sepertiga dari badan amal mengalami serangan dunia maya selama pandemi virus corona. Dengan downtime bukan pilihan untuk layanan kritis organisasi ini, pembuat keputusan dalam sektor amal harus mengambil pendekatan proaktif terhadap keamanan siber (terbuka di tab baru). Dampak potensial dari pelanggaran data – kerusakan reputasi, kerugian finansial dan data (terbuka di tab baru)kehilangan produktivitas (terbuka di tab baru) dalam melayani mereka yang membutuhkan – terlalu besar untuk diabaikan.
Ada beberapa ancaman dunia maya umum yang perlu dipertimbangkan:
Pengelabuan
Untuk bersiap menghadapi serangan dunia maya, organisasi di sektor amal perlu memahami ancaman dunia maya yang paling umum, dimulai dengan phishing. Peretas akan melakukan yang terbaik untuk mengelabui pengguna yang tidak curiga agar berinteraksi dengan situs web palsu atau mengunduh malware yang dapat mencuri informasi sensitif atau uang. Pengelabuan (terbuka di tab baru) kampanye biasanya dilakukan melalui email tetapi belakangan ini, SMS phishing (atau smishing) menjadi populer. Kampanye ini mungkin sulit dikenali karena mereka menggunakan verbiage dan branding yang sangat mirip dengan perusahaan yang ingin mereka tiru. Meskipun serangan phishing umum terjadi sepanjang tahun, peretas bersifat oportunistik dan akan mencari peristiwa atau bencana besar untuk meningkatkan serangan mereka. Misalnya, ketika bantuan disiapkan untuk korban bencana Menara Grenfell, penipu menargetkan simpatisan dengan pesan yang tidak diminta dengan permohonan amal palsu. Ingat, penjahat dunia maya tidak memiliki penyesalan atas siapa korbannya karena mereka mempermainkan kenaifan perilaku manusia.
Ancaman orang dalam
Ancaman orang dalam adalah keamanan umum lainnya (terbuka di tab baru) masalah yang perlu dicegah oleh semua organisasi. Tidak perlu peretas dalang untuk mengeksploitasi kerentanan untuk mendapatkan akses ke sistem komputer amal. Sebaliknya, serangan ‘orang dalam’ mengharuskan karyawan atau anggota staf untuk menyerahkan kata sandi (terbuka di tab baru) atau akses ke sistem dan data organisasi ke peretas. Mengingat bahwa temuan penelitian memperkirakan bahwa risiko pelanggaran data orang dalam akan meningkat hampir 10% pada tahun 2021, badan amal harus tetap waspada terhadap siapa yang memiliki akses dan hak istimewa ke sistem mana.
Masalah di cloud
Dengan pandemi yang memaksa sebagian besar tenaga kerja untuk bekerja dari rumah, mereka yang berada di sektor amal juga terkena dampak yang sama. Ini memaksa banyak orang untuk mengadopsi teknologi transformasi digital seperti cloud (terbuka di tab baru). Dengan memanfaatkan cloud untuk mendukung aplikasi dan menyimpan data secara online, berarti sebagian besar dapat terus bekerja dari rumah dengan gangguan minimal. Penjahat dunia maya menyadari hal ini dan dengan cepat mulai mengeksploitasi kelemahan dan kerentanan di dalam cloud. Memang, telah terjadi peningkatan serangan berbasis cloud sebesar 630% sejak tahun 2020.
Masuk jalur keamanan
Untuk membantu menghindari ancaman keamanan siber umum agar tidak memengaruhi amal Anda, jadikan keamanan siber sebagai prioritas dengan melibatkan semua orang, dan dokumentasikan rencana dan proses Anda. Kesadaran yang lebih besar dapat sangat membantu dalam melindungi data organisasi nirlaba Anda. Tes simulasi phishing semi-tahunan membantu efektivitas kesadaran keamanan. Pertahankan inventaris data yang akurat dan fokuskan pada perlindungan informasi lebih dari sekadar daftar periksa persyaratan kepatuhan.
Selanjutnya, ikuti langkah-langkah keamanan dasar. Sementara memperbarui Sistem Operasi (OS) secara konsisten menjadi yang utama dalam menjalankan database dan situs yang aman, memperkuat sistem menggunakan VPN (terbuka di tab baru)anti Virus (terbuka di tab baru)dan firewall (terbuka di tab baru) sama pentingnya. Ini membantu membuat sistem tahan terhadap serangan. Penilaian keamanan dapat mengidentifikasi titik-titik rentan untuk menindaklanjutinya dengan tepat. Pada saat yang sama, terapkan alat atau layanan yang dapat mendukung sistem manajemen email untuk mencegah pengiriman ransomware melalui phishing. Terus lakukan manajemen tambalan karena ransomware menggunakan celah yang diketahui dalam perangkat lunak umum, seperti aplikasi produktivitas untuk memperkenalkan situs web yang terinfeksi. Tetap perbarui perangkat lunak dan terus lakukan pembaruan; perangkat lunak terus-menerus ditambal. Selain itu, terapkan alat anti-malware di seluruh bisnis untuk memindai malware secara proaktif dan mencegah pemasangannya di sistem.
Terakhir, evaluasi proses pencadangan yang ada. Mengadopsi strategi pencadangan 3-2-1 dapat membantu melindungi aset perusahaan menggunakan metode pencadangan yang beragam. Simpan 3 salinan data: simpan salinan data asli bersama dengan setidaknya dua cadangan jika satu atau lebih hilang. Gunakan 2 jenis penyimpanan yang berbeda: mendiversifikasi perangkat penyimpanan dapat membantu melindungi perusahaan jika terjadi kegagalan data. Misalnya, jika data disimpan di hard drive internal, gunakan perangkat sekunder seperti drive eksternal atau sumber cloud. Simpan 1 salinan data di luar lokasi: menyimpan dua salinan atau lebih di lokasi yang sama dapat menjadi bencana jika terjadi bencana alam. Menyimpan satu salinan di luar situs adalah strategi perlindungan yang andal.
Berikut adalah beberapa aturan utama tambahan yang harus diikuti badan amal terkait proses pencadangan:
- Bisakah organisasi pulih dari kehilangan data total? Penyerang akan berusaha menemukan cadangan apa pun dan menghapus atau mengenkripsinya.
- Pencadangan harus offline untuk mencegahnya dikompromikan pada saat yang bersamaan.
- Strategi pencadangan yang baik adalah menjalankan pencadangan harian penuh pada “Permata Mahkota” atau sistem kritis bisnis, dan sistem nilai yang lebih rendah menggunakan pencadangan inkremental.
- Yang juga penting selama fase pemulihan adalah memulihkan cadangan secara efisien. Mempelajari nuansa pemulihan cadangan selama insiden aktif sangat meningkatkan waktu pemulihan.
Jika memahami postur keamanan terbukti sulit, disarankan bagi organisasi amal untuk mencari konsultasi eksternal untuk menilai celah keamanan mereka dengan lebih baik. Kami telah mencapai titik di mana keamanan dunia maya tidak dapat lagi diremehkan oleh sektor amal, terutama dengan Komisi Amal baru-baru ini mengungkapkan bahwa penjahat dunia maya telah mencuri lebih dari £3,5 juta dari badan amal selama 12 bulan terakhir. Serangan dunia maya menjadi lebih umum dan, akibatnya, badan amal harus mengambil pendekatan proaktif terhadap keamanan dunia maya dengan mengalokasikan sumber daya yang diperlukan untuk melindungi sistem.
