Berbahayakah aplikasi yang Anda gunakan untuk pekerjaan?

app Hak atas foto Thinkstock
Image caption Apakah Anda juga menggunakan rincian log-in pekerjaaan pada app yang Anda unduh?

Berapa banyak dari Anda yang mengunduh Pokemon Go di telepon pekerjaan?

Anda akan terheran-heran jika bagian IT mengizinkan Anda melakukan hal ini, karena sepertinya kebanyakan perusahaan tidak mengetahui apa yang dilakukan pegawainya.

Sebagai contoh, perusahaan keamanan siber Imperva menanyakan salah satu klien perbankannya terkait seberapa banyak aplikasi yang mereka perkirakan digunakan oleh pegawainya. Perusahaan itu memperkirakan 75 sampai 100, sementara angka sebenarnya mendekati 800 app.

Mengapa hal ini penting?

Aplikasi berdasar cloud seringkali memiliki akses ke kamera, lokasi, data dan kontak di telepon Anda. Jadi Anda tidak pernah tahu seberapa sensitif informasi perusahaan yang kemungkinan mereka curi.

Kemungkinan kita memberikan kunci ke pintu belakang perusahaan pada peretas dan mata-mata, terutama jika kita menggunakan rincian log-in aplikasi eksternal yang sama dengan aplikasi internal pekerjaan.

Hak atas foto PA
Image caption WhatsApp baru-baru ini memperkenalkan enkripsi end-to-end untuk mengatasi kecemasan terkait keamanan data.

"Ini adalah masalah kritis jika Anda tidak mengetahui kelompok ketiga yang memiliki akses ke data Anda," kata Ryan Kalember, wakil presiden senior strategi keamanan siber di Proofpoint.

Tahun ini saja perusahaan teknologi seperti LinkedIn, MySpace dan Dropbox mengalami pelanggaran data besar-besaran, sementara perusahaan penelitian keamanan Ponemon memperkirakan biaya rata-rata pelanggaran sebesar US$4 juta atau Rp52 miliar atau US$158 atau Rp2 juta per catatan curian.

Sikap santai kita terhadap aplikasi di pekerjaan dapat menjadi penyebab masalah, demikian diperingatkan para ahli.

"Jika perusahaan tidak memberikan alat yang mereka harapkan untuk bekerja, maka mereka akan mencarinya sendiri," kata Jon Huberman, pimpinan perusahaan berbagi file Syncplicity.

"Tetapi ini adalah masalah besar bagi perusahaan, kebocoran data adalah suatu masalah besar."

Masalah tersembunyi

Meski aplikasi seperti Slack, Evernote, WhatsApp, dan Dropbox, dapat membantu kita bekerja dengan lebih efisien, di kantor atau di luar kantor, kita seringkali tidak mengetahui apakah aplikasi tersebut disetujui bagian IT atau seberapa banyak data perusahaan yang kemungkinan kita bagi, secara sengaja atau tidak, lewat cloud.

Hak atas foto Google
Image caption Pelanggaran data diperparah app berdasar cloud, kata para ahli.

Terry Ray, pimpinan strategi produk Imperva mengatakan, "Staf seringkali tidak memikirkan keamanan bentuk data atau seberapa pekanya. Dan risiko pelanggaran data jauh semakin besar lewat cloud, meskipun aplikasi berdasar cloud, seperti Office 365 Microsoft, terbukti semakin populer karena sangat mengurangi biaya IT."

Yang dikhawatirkan bagian IT adalah aplikasi pihak ketiga kemungkinan tidak memiliki protokol keamanan yang sangat ketat karena kebanyakan dibuat untuk konsumen.

Sementara data itu sendiri kemungkinan disimpan di negara asing yang hukum perlindungan datanya kurang ketat.

"Keamanan app adalah masalah yang tersembunyi," kata Cesare Garlati, pimpinan strategi keamanan Prpl Foundation, badan nirlaba yang mempromosikan standar perangkat lunak sumber terbuka.

"Perangkat lunak saat ini dirakit, bukannya tertulis, pengembang menggunakan perpustakaan, sehingga Anda tidak mengetahui kode cacat yang kemungkinan ada di dalam app, yang dapat merusak keamanannya," katanya.

Hak atas foto Thinkstock
Image caption Banyak perusahaan sangat meremehkan jumlah app yang pegawainya pakai.

"Gunakan Alat Anda Sendiri (gunakan telepon pintar, tablet atau komputer jinjing sendiri untuk bekerja) adalah ancaman terbesar keamanan, (karena) perusahaan kehilangan kendali."

Sementara sejumlah perusahaan berusaha keras melindungi informasi pribadi yang dapat diidentifikasi, seperti nomor social security dan kartu kredit, seringkali informasi tidak berbahaya yang justru dapat memberikan para peretas amunisi untuk membuat email phishing menjadi dipercaya, misalnya sebuah permintaan pembayaran tagihan palsu dapat diterima.

Ancaman lain

Banyak app juga mengandung malware, yang merupakan ancaman lain bagi keamanan perusahaan.

"Kebanyakan app telepon genggam (yang mengandung malware) menghasilkan uang dengan menjual informasi pengguna atau memalsukan data perbankan," kata Kalember.

Hak atas foto Thinkstock
Image caption Apakah app pekerjaan Anda memungkinkan pencuri mengambil data perusahaan?

"Banyak organisasi kehilangan dana lewat app phishing, yang seringkali berpura-pura sebagai hal lain, seperti Flash player atau bahkan app Bible, saat mereka memungkinkan orang di bagian keuangan memasuki rekening bank perusahaan lewat telepon genggam."

Huberman dari Syncplicity menegaskan jika sebuah perusahaan tidak mengetahui app yang digunakan pegawainya atau data yang dibagi-bagikan, ini akan menjadi masalah ketika staf tersebut pindah ke perusahaan lain.

"Semua data mereka bawa," katanya, "kemungkinan ke pesaing Anda."

Dan program email berdasar web juga dapat berisiko.

Sebelum dokter memberikan keamanan berbagi data rahasia pasien, kebanyakan menggunakan program email terbuka seperti Gmail, yang jelas-jelas melanggar aturan data pribadi, kata Huberman.

Hak atas foto Thinkstock
Image caption Apakah orang ini sebenarnya sedang bermain Pokemon Go saat rapat?

"Mereka menyadari hal ini tetapi mereka memandang konsultasi dengan rekan-rekannya sangat perlu untuk menyelamatkan nyawa. Kami dapat memberikan alat yang tepat untuk berbagi data dengan aman pada alat apapun tanpa melanggar hukum."

Menyumbat bocor

Jadi apa yang seharusnya dunia usaha lakukan untuk mengatasi masalah ini?

Nasehat dari ahli keamanan dapat disarikan dalam beberapa butir ini:

  • Dorong program manajemen alat telepon genggam yang dapat mengidentifikasi app yang dipasang pada alat pengguna dan kebijakan keamanan serta kerahasiaannya.
  • Pastikan semua alat perusahaan ter-enkripsi
  • Jelaskan kepada staf data perusahaan yang dapat dan tidak dapat di-share dengan app kelompok ketiga
  • Awasi app dan data yang dipakai jaringan perusahaan
  • Didik staf untuk mengidentifikasi tingkah laku yang berisiko dan mengetahui email phishing
  • Berikan staf alat yang diperlukan sehingga mereka tidak tergoda untuk mengunduh app yang tidak dizinkan

Tentu saja, ini semua tidaklah mudah, dan pada banyak perusahaan keadaannya sudah terlanjur parah. Tetapi ketika Anda terlibat perang dan merasa kendali akan terlepas, bukankah Anda tidak akan segera menyerah?

Berita terkait