Oleh: Zulkifli
KOPI, Jakarta – Mengamankan e-mail perusahaan merupakan bagian utama dari mengamankan aset digital perusahaan. Studi yang dilakukan oleh Tessian bertajuk State of E-mail Security 2022 menemukan jika serangan siber didominasi melalui e-mail. Kejahatan siber banyak dilakukan dengan memanfaatkan kelemahan e-mail perusahaan karena e-mail merupakan pusat lalu lintas data sebuah perusahaan.
Dalam temuan Tessian, jumlah e-mail yang terkirim dari tahun ke tahun terus meningkat. Pada tahun 2021 diperkirakan lebih dari 319,6 milyar per hari dan diprediksi akan mendekati angka 376,4 milyar perhari di tahun 2025. Phising berbasis e-mail masih menjadi kejahatan siber yang mendominasi. Hampir 30% perusahaan diindikasikan mengalami lebih dari 30 serangan phising yang berhasil. Semakin besar sebuah perusahaan semakin besar pula jumlah serangan siber berbasis e-mail yang mereka terima. Akibatnya hampir 39% perusahaan mengalami pelanggaran data pelanggan, 34% mengalami kerugian keuangan dan 32% terkena infeksi ramsomware.
E-mail menjadi jalan masuk paling menarik bagi pelaku kejahatan siber karena merupakan titik lemah dalam keamanan organisasi. Lewat e-mail, peretas bisa mendapatkan data penting pelanggan bahkan tak sedikit dokumen rahasia perusahaan.
Di satu sisi kesadaran akan keamanan digital setiap karyawan tidaklah sama.
Kenyataan ini divalidasi dengan temuan dari Trend Micro dalam Cyber Risk Index paruh kedua tahun 2022. Studi ini menyebutkan lima informasi bisnis yang paling rentan diretas. Di tempat teratas yaitu komunikasi bisnis (e-mail) disusul file karyawan, informasi keuangan, informasi penelitian pengembangan dan informasi rahasia perusahaan.
Indonesia Anti-Phising Data Exchange (IDADX) mencatat terjadi 9.823 serangan phising pada Q3 tahun 2023. Laporan tersebut tidak merinci sumber yang digunakan untuk melakukan melakukan phising. IDADX mendefinisikan phising sebagai kejahatan untuk mendapatkan informasi pribadi hingga kredensial akun keuangan. Hal tersebut dimanipulasi dengan cara memanfaatkan social engineering yaitu memanipulasi korban jika mereka berurusan dengan pihak terpercaya yang biasanya dilakukan melalui e-mail e-mail. Selain dengan social engineering juga memanfaatkan subterfuge yaitu menanam malware ke komputer korban untuk mencuri data kredensial.
Mengamankan E-mail Perusahaan dengan Sertifikat S/MIME
Selain ancaman kerahasiaan informasi yang bisa diretas, komunikasi berbasis e-mail juga memiliki kerentanan lainnya. Para pihak yang berkomunikasi menggunakan e-mail tidak bisa memastikan apakah pihak yang diajak berkomunikasi merupakan orang yang sesuai. Untuk itulah dibutuhkan sebuah protokol untuk memastikan para pihak yang berkomunikasi.
Anggota Anti-Phishing Working Group (APWG), Fortra dalam Phising Activity Trend Report 2023, menemukan meningkatnya aktifitas phising dalam bentuk ““business e-mail compromise”. Phising jenis ini mengincar karyawan perusahaan yang memiliki otoritas untuk mengeluarkan uang perusahaan. Sebanyak 87 persen yang terkena serangan jenis ini menggunakan alamat email gratis.
Secure/multipurpose Internet Mail Extensions (S/MIME Certificate) merupakan teknologi enkripsi menggunakan private key. Dengan private key ini, maka pesan hanya bisa dibaca menggunakan public key penerima sekaligus juga memastikan jika pengirimnya merupakan pihak yang benar (melalui digital signature). Private key merupakan teknologi untuk melakukan enkripsi pesan yang selanjutnya hanya dapat di dekripsi menggunakan public key.
Pemerintah melalui Peraturan Pemerintah No. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 82/2012) telah mengatur mengenai dua jenis tanda tangan elektronik yaitu tanda tangan yang tidak tersertifikasi serta tanda tangan tersertifikasi. Tanda tangan tersertifikasi menggunakan teknologi asymmetric cryptography melalui Public Key Infrastructure (PKI). Teknologi S/MIME menggunakan teknologi ini.
Sejumlah manfaat bisa didapatkan perusahaan yang mengimplementasikan S/MIME dalam email bisnisnya. Secara umum, implementasi S/MIME pada email bisnis bisa memantapkan lima core keamanan data yang dikenal sebagai CIAAN yaitu confidentiality, Integrity, Availability, Authenticity dan Non Repudiation.
Confidentiality mengacu pada kerahasiaan data. Integritity menjamin data tidak mengalami perubahan oleh pihak yang tidak berwenang. Adapun Availability menjamin data senantiasa tersedia saat dibutuhkan. Lalu Authenticity menjamin validitas dari masing-masing user. Dan Non repudiation yaitu menjamin seseorang tidak dapat menyangkal dari kegiatan atau transaksi yang telah dilakukannya.
Implementasi SSL pada Website Perusahaan
Selain memastikan keamanan data yang terkirim melalui email, perusahaan juga dituntut untuk mengamankan aset digital lainnya yaitu website. Secure Socket Layer (SSL) yang kemudian saat ini berkembang dengan Transport Layer Security (TLS) merupakan teknologi untuk meningkatkan keamanan website. Dengan kemampuan melakukan enkripsi, dengan teknologi SSL sebuah website relatif lebih aman dibandingkan tanpa teknologi SSL.
Karena relatif lebih aman, saat ini mesin pencari seperti Google lebih mementingkan website yang memiliki SSL/TLS untuk ditampilkan di hasil pencariannya. Pada akhirnya, karena fitur ini pula, maka secara umum, website yang dilengkapi SSL memiliki reputasi yang baik pula. SSL juga menjadi kewajiban bagi website yang menyajikan informasi sensitif.
Sayangnya celah ini dimanfaatkan juga oleh pelaku phising. Mereka memanfaatkan SSL gratis untuk mencitrakan website yang akan digunakan untuk phising sebagai website yang aman. Anti-Phishing Working Group (APWG) pada tahun 2019 mengeluarkan laporan Phishing Activity Trends Report 1st Quarter 2019. Laporan tersebut menyebutkan jika terdapat 58% website yang digunakan untuk phising justru menggunakan SSL.
Berdasarkan tipe validasinya, SSL terdiri dari tiga jenis. Pertama, SSL dengan domain validation (DV). Kedua, SSL Organization Validation (OV). Dibutuhkan informasi perusahaan untuk SSL jenis ini. Dan SSL Extended Validation (EV) yaitu SSL dengan tingkat kepercayaan yang sangat tinggi yang wajib digunakan bagi website yang melakukan transaksi online misalnya bank dan e-commerce.
Penting bagi perusahaan untuk menggunakan SSL jenis OV atau EV jika perusahaan tersebut merupakan perusahaan e-commerce. Perusahaan bisa menggunakan jasa pengamanan aset digital. Tentu saja ada biaya yang harus dikeluarkan untuk implementasi SSL dan S/MIME, tetapi jauh lebih penting untuk melindungi aset digital perusahaan.
Referensi:
Anti-Phishing Working Group (APWG), Phising Activity Trend Report 2023. https://docs.apwg.org/reports/apwg_trends_report_q2_2023.pdf. Diakses tanggal 27 Desember 2023.
———-, Phishing Activity Trends Report 1st Quarter 2019. https://docs.apwg.org/reports/apwg_trends_report_q1_2019.pdf. Diakses tanggal 27 Desember 2023.
IDADX, Laporan Aktifitas Phising Domain ~.ID Periode Q3 2023 https://api.idadx.id/documents/uploads/1698805646_Laporan%20Q3%202023.pdf.pdf. Diakses tanggal 27 Desember 2023.
Tessian, State of E-mail Security 2022. https://1670277.fs1.hubspotusercontent-na1.net/hubfs/1670277/%5BCollateral%5D%20Tessian-Research-Reports/%5BTessian%20Research%5D%20State%20of%20E-mail%20Security%202022.pdf. Diakses tanggal 27 Desember 2023.
Trend Micro, The 2H’2022 Cyber Risk Index (CRI), https://www.trendmicro.com/en_us/security-intelligence/breaking-news/cyber-risk-index.html. Diakses tanggal 27 Desember 2023.
Penulis merupakan penulis lepas dan pegiat jurnalisme warga. Aktif menulis di Mnulis.com
Comment