(+62-21) 750 2976 [email protected]
Sejumlah pelanggaran data telah diungkapkan selama tahun 2018, tetapi tidak ada yang sebesar atau memiliki dampak sebanyak yang diungkapkan pada 30 November oleh jaringan hotel Marriott International. Ini dapat menjadi pelajaran bersama untuk meningkatkan keamanan TI perusahaan agar tidak mengalami nasib yang sama.

Secara mengejutkan, 500 juta pengguna hotel beresiko datanya dipakai oleh pihak yang tidak bertanggung jawab. Ini sebagai akibat dari penerobosan keamanan TI. Jumlah data tersebut menempatkannya di antara pelanggaran terbesar sepanjang masa, setelah penerobosan data di Yahoo sebesar 1 miliar akun pengguna.

Sementara penyelidikan dan pengungkapan publik sepenuhnya tentang bagaimana pelanggaran itu terjadi masih berlangsung. Ada banyak fakta yang tersedia dan beberapa pelajaran yang dapat dipetik untuk perusahaan lain yang berharap untuk menghindari nasib yang sama.

Pelanggaran Keamanan TI di Marriott

Apa yang diketahui pada titik ini adalah bahwa jaringan hotel Starwood telah dilanggar sejauh 2014, meskipun Marriott tidak menemukan pelanggaran sampai 8 September 2018. Ancaman terus-menerus seperti itu adalah mimpi buruk keamanan TI.

Marriott mengakuisisi Starwood pada tahun 2016, dua tahun setelah pelanggaran diyakini telah terjadi. Merek hotel Starwood meliputi: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton dan Hotel Desain.

Meskipun Marriott pertama kali mendapat sinyal dari salah satu alat keamanannya bahwa ada masalah pada 8 September, tidak sampai 19 November bahwa jaringan hotel dapat menentukan bahwa data telah dicuri, karena para penyerang tampaknya telah mengenkripsi data yang mereka keluarkan dari jaringan.

Dari 500 juta pelanggan yang terkena dampak pelanggaran data, ada berbagai dampak. Untuk 327 juta individu, informasi yang dicuri termasuk nama, alamat surat, nomor telepon, alamat email, nomor paspor dan data kelahiran. Marriott juga menyatakan bahwa data kartu pembayaran dicuri dalam pelanggaran.

Menurut Marriott, informasi kartu pembayaran dalam database-nya dienkripsi dengan sistem yang membutuhkan dua komponen berbeda untuk mendekripsi nomor kartu pembayaran.

“Pada titik ini, Marriott belum bisa mengesampingkan kemungkinan bahwa keduanya diambil,” kata Marriott dalam sebuah penasehat.

Langkah-langkah untuk Mengurangi Risiko Keamanan TI

Jadi langkah apa yang bisa diambil oleh organisasi untuk mengurangi risiko menderita nasib yang sama seperti Marriott?

Uji Tuntas atas Akuisisi

Marriott bukan perusahaan pertama yang menemukan bahwa perusahaan yang diakuisisi telah dilanggar. Perangkat lunak Avast memperoleh perangkat lunak piriform vendor vendor pada tahun 2016 dan kemudian menemukan bahwa sistem perangkat lunaknya telah dilanggar.

Kegiatan utama untuk setiap perusahaan yang melakukan kegiatan M & A perlu menjadi penilaian cybersecurity untuk memahami sepenuhnya keadaan perusahaan dan kerentanannya. Penilaian cybersecurity lengkap harus menjadi bagian dari akuisisi bisnis modern.

Pertimbangkan Alat DLP

Fakta bahwa dibutuhkan beberapa saat setelah tanda-tanda peringatan awal sebelum kehilangan data terdeteksi adalah kekurangan besar.

Data sensitif dalam suatu organisasi, termasuk informasi identitas pribadi (PII), data kartu pembayaran dan informasi pengguna lainnya, harus dilindungi dengan teknologi pencegahan kehilangan data (DLP). Dengan sistem DLP yang tepat, data PII tidak dapat meninggalkan organisasi, dan upaya akses akan dimonitor dan dicatat.

Pengelolaan Akun Istimewa

Bahkan tanpa DLP, informasi database yang berisi PII hanya dapat diakses oleh akun istimewa, praktik terbaik TI umum.

Dengan alat dan teknologi pengelolaan akun istimewa (PAM), upaya akses dimonitor dan kredensial untuk akun istimewa dikontrol lebih ketat.

Kepatuhan PCI

Mengingat bahwa data kartu pembayaran terlibat dalam pelanggaran data, PCI-DSS (Lembaga Standar Kartu Pembayaran Data Security) dilibatkan. Apakah Starwood dinilai sebagai PCI-DSS compliant, atau bahkan dinilai baru-baru ini? Fakta-fakta itu belum diketahui.

Menurut Verizon, tidak ada perusahaan yang secara kuantitatif terbukti memiliki kepatuhan PCI-DSS yang pernah dilanggar. Melainkan pelanggaran terjadi ketika perusahaan tidak memenuhi syarat.

Uji Penetrasi Keamanan TI

Praktik terbaik yang baik untuk menjaga keamanan organisasi adalah memiliki aktivitas pengujian penetrasi pihak ketiga yang aktif. Ini adalah aktivitas yang digunakan organisasi di balik situs web Ashley Madison untuk membantu menjaga situs itu, yang merupakan korban pelanggaran besar-besaran itu sendiri, aman.

Dengan secara aktif mengambil pendekatan permusuhan dan memperoleh manfaat dari sumber pihak ketiga, kerentanan tambahan dapat ditemukan.

Berburu Ancaman

Selain melakukan pengujian penetrasi pihak ketiga, alat berburu ancaman aktif dapat mempercepat seberapa cepat potensi dan ancaman yang sebenarnya ditemukan.

Dengan alat berburu ancaman yang kadang-kadang dibangun ke dalam sistem SIEM, data dapat diperkaya dengan konteks tambahan dari sumber yang berbeda untuk membantu menghubungkan beberapa kumpulan informasi, yang berguna untuk menemukan ancaman.

Simulasi Pelanggaran dan Serangan (BAS)

Praktik terbaik keamanan TI terbaik lainnya adalah menggunakan simulasi pelanggaran dan serangan (BAS) dan pelatihan karyawan. Alat semacam itu mungkin tidak menemukan cacat yang tepat yang menyebabkan pelanggaran Starwood, tetapi pasti itu adalah latihan yang membantu mengeraskan jaringan perusahaan dan melatih staf keamanan TI. Dengan menyisir jaringan mencari kekurangan dan mensimulasi apa yang bisa terjadi, respons menjadi rutin dan waktu yang mungkin dihabiskan oleh penyerang dalam jaringan dapat dibatasi.

Share This