Diperbarui: 24 Mei 2024
Kontributor: Matius Kosinski
Pelanggaran data adalah setiap insiden keamanan di mana pihak yang tidak berwenang mengakses informasi sensitif atau rahasia, termasuk data pribadi (nomor Jaminan Sosial, nomor rekening bank, data layanan kesehatan) dan data perusahaan (catatan pelanggan, kekayaan intelektual, informasi keuangan).
Istilah “pelanggaran data” dan “pelanggaran” sering digunakan secara bergantian dengan “serangan siber”. Namun, tidak semua serangan cyber adalah pelanggaran data. Pelanggaran data hanya mencakup pelanggaran keamanan di mana seseorang memperoleh akses tidak sah ke data.
Misalnya, serangan denial-of-service terdistribusi (DDoS) yang membanjiri situs web bukanlah pelanggaran data. Seranganransomware yang mengunci data pelanggan perusahaan dan mengancam untuk membocorkannya kecuali perusahaan membayar uang tebusan adalah pelanggaran data. Pencurian fisik hard drive, USB flash drive, atau bahkan file kertas yang berisi informasi sensitif juga merupakan pelanggaran data.
Dapatkan insight untuk mengelola risiko pelanggaran data dengan lebih baik dengan laporan Biaya Pelanggaran Data terbaru.
Menurut laporan IBM® Cost of a Data Breach 2023 , biaya rata-rata global dari pelanggaran data adalah 4,45 juta USD. Meskipun organisasi dengan berbagai ukuran dan jenis rentan terhadap pelanggaran, tingkat keparahan pelanggaran ini dan biaya untuk memulihkannya bisa berbeda-beda.
Sebagai contoh, biaya rata-rata pelanggaran data di Amerika Serikat adalah 9,48 juta USD, lebih dari 4 kali lipat biaya pelanggaran di India (2,18 juta USD).
Konsekuensi pelanggaran cenderung sangat berat bagi organisasi di bidang yang sangat diatur seperti perawatan kesehatan, keuangan, dan sektor publik, di mana denda dan hukuman yang tinggi dapat menambah biaya. Sebagai contoh, menurut laporan IBM, rata-rata pelanggaran data perawatan kesehatan menelan biaya 10,93 juta USD, lebih dari dua kali lipat biaya rata-rata semua pelanggaran.
Biaya pelanggaran data muncul dari beberapa faktor, dengan laporan IBM mencatat empat faktor utama: bisnis yang hilang, deteksi dan penahanan, respons pasca-pelanggaran, dan pemberitahuan.
Hilangnya bisnis, pendapatan, dan pelanggan akibat pelanggaran ini merugikan organisasi rata-rata sebesar 1,30 juta USD. Harga yang harus dibayar untuk mendeteksi dan membendung pelanggaran ini bahkan lebih tinggi, yakni sebesar 1,58 juta USD. Pengeluaran pasca-pelanggaran, termasuk denda, penyelesaian, biaya hukum, penyediaan pemantauan kredit gratis kepada pelanggan yang terkena dampak, dan pengeluaran serupa, menimbulkan biaya rata-rata bagi korban pelanggaran sebesar USD 1,20 juta.
Biaya notifikasi, yang mencakup pelaporan pelanggaran kepada pelanggan, regulator, dan pihak ketiga lainnya, adalah yang terendah, yaitu sebesar 370.000 USD. Namun, persyaratan pelaporan masih bisa memberatkan dan memakan waktu.
Pelaporan Insiden Siber AS untuk Critical Infrastructure Act (CIRCIA) tahun 2022 mewajibkan organisasi di bidang keamanan nasional, keuangan, dan industri lain yang ditunjuk untuk melaporkan insiden keamanan siber yang memengaruhi data pribadi atau operasi bisnis kepada Departemen Keamanan Dalam Negeri dalam waktu 72 jam.
Organisasi AS yang tunduk pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPPA) wajib memberi tahu Departemen Kesehatan dan Layanan Kemanusiaan AS, individu yang terkena dampak, dan (dalam beberapa kasus) media jika informasi kesehatan yang dilindungi dilanggar.
Semua 50 negara bagian AS juga memiliki undang-undang pemberitahuan pelanggaran data mereka sendiri.
Peraturan Perlindungan Data Umum (GDPR) mewajibkan perusahaan yang melakukan bisnis dengan warga negara Uni Eropa untuk memberi tahu pihak berwenang tentang pelanggaran dalam waktu 72 jam.
Daftar untuk mendapatkan X-Force Threat Intelligence Index
Pelanggaran data disebabkan oleh:
Kesalahan yang tidak disengaja, seperti karyawan yang mengirimkan email berisi informasi rahasia kepada orang yang salah.
Orang dalam yang jahat, termasuk karyawan yang marah atau di-PHK yang ingin merugikan perusahaan dan karyawan serakah yang ingin mengambil keuntungan dari data perusahaan.
Peretas, orang luar yang jahat yang melakukan kejahatan siber yang disengaja untuk mencuri data. Peretas dapat bertindak sebagai operator tunggal atau bagian dari grup yang terorganisir.
Keuntungan finansial adalah motivasi utama untuk sebagian besar pelanggaran data berbahaya. Peretas mencuri nomor kartu kredit, rekening bank atau informasi keuangan lainnya untuk langsung menguras dana dari orang dan perusahaan.
Beberapa penyerang mencuri informasi identifikasi pribadi (PII),seperti nomor Jaminan Soal dan nomor telepon, untuk pencurian identitas, mengambil pinjaman dan membuka kartu kredit atas nama korban mereka. Penjahat siber juga dapat menjual PII dan informasi akun yang dicuri di dark web, di mana mereka dapat memperoleh sebanyak 500 USD untuk kredensial login bank.1
Pelanggaran data juga bisa menjadi fase pertama dari serangan yang lebih besar. Misalnya, peretas mungkin mencuri kata sandi akun email dari eksekutif perusahaan dan menggunakan akun tersebut untuk melakukan penipuan kompromi email bisnis.
Pelanggaran data mungkin memiliki tujuan selain pengayaan pribadi. Organisasi yang tidak bermoral mungkin mencuri rahasia dagang dari pesaing, dan aktor negara-bangsa mungkin melanggar sistem pemerintah untuk mencuri informasi tentang transaksi politik yang sensitif, operasi militer, atau infrastruktur nasional.
Beberapa pelanggaran murni bersifat destruktif, dengan peretas mengakses data sensitif hanya untuk menghancurkan atau merusaknya. Menurut laporan Cost of a Data Breach, serangan destruktif seperti itu menyumbang 25% dari pelanggaran berbahaya. Serangan-serangan ini seringkali merupakan karya aktor negara-bangsa atau kelompok hacktivis yang berusaha merusak suatu organisasi.
Sebagian besar pelanggaran data yang disengaja yang disebabkan oleh aktor ancaman internal atau eksternal mengikuti pola dasar yang sama:
- Penelitian: Pelaku ancaman mengidentifikasi target dan mencari kelemahan yang dapat mereka gunakan untuk membobol sistem target. Kelemahan ini bisa bersifat teknis, seperti kontrol keamananyang tidak memadai, atau manusia, seperti karyawan yang rentan terhadap rekayasa sosial.
- Serangan: Aktor ancaman memulai serangan terhadap target dengan menggunakan metode yang mereka pilih. Penyerang mungkin mengirim emailphishing tombak, secara langsung mengeksploitasi kerentanan dalam sistem, menggunakan kredensial login yang dicuri untuk mengambil alih akun atau memanfaatkan vektor serangan pelanggaran data umum lainnya.
- Kompromi data: Di dalam sistem, penyerang menemukan data yang mereka inginkan dan melakukan apa yang ingin mereka lakukan. Taktik yang umum dilakukan adalah mengambil data untuk dijual atau digunakan, menghancurkan data, atau mengunci data untuk meminta uang tebusan.
Pelaku jahat dapat menggunakan berbagai vektor serangan atau metode untuk melakukan pelanggaran data. Beberapa yang paling umum termasuk:
Menurut laporan Cost of a Data Breach 2023, kredensial yang dicuri atau disusupi adalah vektor serangan awal kedua yang paling umum, terhitung 15% dari pelanggaran data.
Peretas dapat membahayakan kredensial dengan menggunakan serangan brute force untuk memecahkan kata sandi, membeli kredensial curian dari dark web, atau menipu karyawan agar mengungkapkan kata sandi mereka melalui serangan rekayasa sosial.
Rekayasa sosial adalah tindakan memanipulasi orang secara psikologis agar tanpa disadari membahayakan keamanan informasi mereka sendiri.
Phishing, jenis serangan rekayasa sosial yang paling umum, juga merupakan vektor serangan pelanggaran data yang paling umum, menyumbang 16% dari pelanggaran. Penipuan phishing menggunakan email palsu, pesan teks, konten media sosial, atau situs web untuk mengelabui pengguna agar membagikan kredensial atau mengunduh malware.
Ransomware, sejenis malware yang menyandera data hingga korban membayar uang tebusan, terlibat dalam 24% pelanggaran berbahaya menurut laporan Cost of a Data Breach. Pelanggaran ini juga cenderung lebih mahal, dengan biaya rata-rata 5,13 juta USD. Angka ini tidak termasuk pembayaran tebusan, yang dapat mencapai puluhan juta dolar.
Penjahat siber dapat memperoleh akses ke jaringan target dengan mengeksploitasi kelemahan di situs web, sistem operasi, titik akhir, API, dan perangkat lunak umum seperti Microsoft Office atau aset IT lainnya.
Pelaku ancaman tidak perlu mencapai target mereka secara langsung. Dalam serangan rantai pasokan, peretas mengeksploitasi kerentanan dalam jaringan penyedia layanan dan vendor perusahaan untuk mencuri datanya.
Ketika peretas menemukan kerentanan, mereka sering menggunakannya untuk menanam malware di jaringan. Spyware, yang merekam penekanan tombol korban dan data sensitif lainnya dan mengirimkannya kembali ke server yang dikendalikan oleh peretas, adalah jenis malware yang umum digunakan dalam pelanggaran data.
Metode lain untuk membobol sistem target secara langsung adalah injeksi SQL, yang mengambil keuntungan dari kelemahan pada basis data Structured Query Language (SQL) pada situs web yang tidak aman.
Peretas memasukkan kode berbahaya ke bidang yang menghadap pengguna, seperti bilah pencarian dan jendela login. Kode ini menyebabkan database membocorkan data pribadi seperti nomor kartu kredit atau detail pribadi pelanggan.
Pelaku ancaman dapat memanfaatkan kesalahan karyawan untuk mendapatkan akses ke informasi rahasia.
Misalnya, sistem yang salah konfigurasi atau ketinggalan zaman dapat membiarkan pihak yang tidak berwenang mengakses data yang seharusnya tidak dapat mereka lakukan. Karyawan dapat mengekspos data dengan menyimpannya di lokasi yang tidak aman, salah menempatkan perangkat dengan informasi sensitif yang tersimpan di hard drive mereka, atau secara keliru memberikan hak akses yang berlebihan kepada pengguna jaringan. Penjahat dunia maya dapat menggunakan kegagalan IT, seperti pemadaman sistem sementara, untuk menyelinap ke basis data sensitif.
Menurut laporan Cost of a Data Breach, kesalahan konfigurasi cloud menyumbang 11% dari pelanggaran. Kerentanan yang diketahui dan belum ditambal menyumbang 6% dari pelanggaran. Kehilangan data yang tidak disengaja, termasuk perangkat yang hilang atau dicuri, menyumbang 6% lainnya. Secara keseluruhan, kesalahan ini berada di balik hampir seperempat dari semua pelanggaran.
Pelaku ancaman dapat masuk ke kantor perusahaan untuk mencuri perangkat karyawan, dokumen kertas, dan hard drive fisik yang berisi data sensitif. Penyerang juga dapat menempatkan perangkat skimming pada pembaca kartu kredit dan debit fisik untuk mengumpulkan informasi kartu pembayaran.
Pelanggaran terhadap TJX Corporation pada tahun 2007, perusahaan induk dari pengecer TJ Maxx dan Marshalls, pada saat itu merupakan pelanggaran data konsumen terbesar dan paling mahal dalam sejarah AS. Sebanyak 94 juta catatan pelanggan telah dibobol, dan perusahaan menderita kerugian finansial lebih dari 256 juta USD.
Peretas memperoleh akses ke data dengan menanam sniffer lalu lintas di jaringan nirkabel dua toko. Sniffer memungkinkan para peretas untuk menangkap informasi saat informasi tersebut dikirimkan dari mesin kasir toko ke sistem back-end.
Pada tahun 2013, Yahoo mengalami pelanggaran data terbesar dalam sejarah. Peretas mengeksploitasi kelemahan dalam sistem cookie perusahaan untuk mengakses nama, tanggal lahir, alamat email, dan kata sandi dari 3 miliar pengguna Yahoo.
Tingkat penuh dari pelanggaran tersebut terungkap pada tahun 2016 ketika Verizon sedang dalam pembicaraan untuk membeli perusahaan. Akibatnya, Verizon mengurangi penawaran akuisisi sebesar 350 juta USD.
Pada tahun 2017, para peretas membobol agen pelaporan kredit Equifax dan mengakses data pribadi lebih dari 143 juta orang Amerika.
Peretas mengeksploitasi kelemahan yang belum ditambal di situs Equifax untuk mendapatkan akses ke jaringan. Para peretas kemudian berpindah secara lateral ke server lain untuk menemukan nomor Jaminan Sosial, nomor SIM, dan nomor kartu kredit. Serangan tersebut merugikan Equifax sebesar 1,4 miliar USD antara penyelesaian, denda, dan biaya lain yang terkait dengan perbaikan pelanggaran.
Pada tahun 2020, aktor ancaman Rusia melakukan serangan rantai pasokan dengan meretas vendor perangkat lunak SolarWinds. Peretas menggunakan platform pemantauan jaringan organisasi, Orion, untuk mendistribusikan malware secara diam-diam ke pelanggan SolarWinds.
Mata-mata Rusia mendapatkan akses ke informasi rahasia dari berbagai lembaga pemerintah AS, termasuk Departemen Keuangan, Kehakiman, dan Departemen Luar Negeri, yang menggunakan layanan SolarWinds.
Pada tahun 2021, peretas menginfeksi sistem Colonial Pipeline dengan ransomware, memaksa perusahaan untuk sementara menutup pipa yang memasok 45% bahan bakar Pantai Timur AS.
Peretas melanggar jaringan dengan menggunakan kata sandi karyawan yang mereka temukan di dark web. Colonial Pipeline Company membayar tebusan sebesar 4,4 juta USD dalam bentuk mata uang kripto, tetapi penegak hukum federal mengembalikan sekitar 2,3 juta USD dari pembayaran tersebut.
Pada musim gugur tahun 2023, peretas mencuri data 6,9 juta pengguna 23andMe. Pelanggaran ini penting karena beberapa alasan. Pertama, karena 23andMe melakukan pengujian genetik, penyerang memperoleh beberapa informasi yang tidak biasa dan sangat pribadi, termasuk silsilah keluarga dan data DNA.
Kedua, para peretas melanggar akun pengguna melalui teknik yang disebut “pengisian kredensial”. Dalam serangan semacam ini, peretas menggunakan kredensial yang diekspos pada kebocoran sebelumnya dari sumber lain untuk membobol akun pengguna yang tidak terkait pada platform yang berbeda. Serangan ini bekerja karena banyak orang menggunakan kembali kombinasi nama pengguna dan kata sandi yang sama di seluruh situs.
Menurut laporan Cost of a Data Breach, organisasi membutuhkan rata-rata 277 hari untuk mengidentifikasi dan mengatasi pelanggaran aktif. Menerapkan solusi keamanan yang tepat dapat membantu organisasi mendeteksi dan merespons pelanggaran ini dengan lebih cepat.
Langkah-langkah standar, seperti penilaian kerentanan secara teratur, pencadangan terjadwal, penambalan tepat waktu, dan konfigurasi basis data yang tepat, dapat membantu mencegah beberapa pelanggaran dan mengurangi dampak dari pelanggaran yang terjadi.
Namun, banyak organisasi saat ini menerapkan kontrol yang lebih canggih dan praktik terbaik untuk menghentikan lebih banyak pelanggaran dan secara signifikan mengurangi kerusakan yang ditimbulkannya.
Organisasi dapat menerapkan solusi keamanan datakhusus untuk secara otomatis menemukan dan mengklasifikasikan data sensitif, menerapkan enkripsi dan perlindungan lainnya, serta mendapatkan insight real-time mengenai penggunaan data.
Organisasi dapat mengurangi kerusakan pelanggaran dengan mengadopsi rencana respons insiden formal untuk mendeteksi, menahan, dan memberantas ancaman siber. Menurut laporan Cost of a Data Breach, organisasi yang memiliki rencana tanggap insiden yang teruji secara teratur dan tim tanggap khusus mengurangi waktu yang dibutuhkan untuk mengatasi pelanggaran rata-rata 54 hari.
Organisasi yang secara ekstensif mengintegrasikan kecerdasan buatan (AI) dan otomatisasi ke dalam operasi keamanan menyelesaikan pelanggaran 108 hari lebih cepat daripada yang tidak, menurut laporan Cost of a Data Breach. Laporan tersebut juga menemukan bahwa keamanan, AI, dan otomatisasi juga mengurangi biaya pelanggaran rata-rata sebesar 1,76 juta USD atau 40%.
Banyak keamanan data, pencegahan kehilangan data dan alat manajemen identitas dan akses sekarang menggabungkan AI dan otomatisasi.
Karena serangan rekayasa sosial dan phishing adalah penyebab utama pelanggaran, melatih karyawan untuk mengenali dan menghindari serangan ini dapat mengurangi risiko pelanggaran data perusahaan. Selain itu, melatih karyawan untuk menangani data dengan benar dapat membantu mencegah pelanggaran data yang tidak disengaja dan kebocoran data.
Pengelola kata sandi, autentikasi dua faktor (2FA) atau autentikasi multifaktor (MFA), masuk tunggal (SSO), dan alat bantu manajemen identitas dan akses (IAM)lainnya bisa melindungi akun dan kredensial karyawan dari pencurian.
Organisasi juga dapat menerapkan kontrol akses berbasis peran dan prinsip hak istimewa terkecil untuk membatasi akses karyawan hanya pada data yang mereka perlukan untuk peran mereka. Kebijakan-kebijakan ini dapat membantu menghentikan ancaman orang dalam dan peretas yang membajak akun yang sah.
Melindungi data di seluruh hybrid cloud dan menyederhanakan persyaratan kepatuhan.
Perkuat perlindungan privasi data, membangun kepercayaan pelanggan, dan mengembangkan bisnis Anda
Meningkatkan program tanggap insiden organisasi Anda, meminimalkan dampak pelanggaran, dan tanggapan cepat terhadap insiden keamanan siber.
Pelajari cara meningkatkan postur keamanan dan kepatuhan data Anda dengan memusatkan keamanan, mengatasi kerentanan, dan lainnya.
Pelajari bagaimana lingkungan keamanan saat ini berubah dan cara menavigasi tantangan dan memanfaatkan ketahanan AI generatif.
Pelajari cara kerja ransomware, mengapa ransomware berkembang biak dalam beberapa tahun terakhir, dan bagaimana organisasi mempertahankan diri dari ransomware.
Catatan kaki
1 How Much Do Hackers Make From Stealing Your Data? (tautan berada di luar ibm.com), Nasdaq. 16 Oktober 2023