Ancaman terhadap media sosial perusahaan (korporat) berkembang dengan sangat cepat seiring dengan keterampilan rekayasa sosial para pelaku kejahatan siber. Terkadang teknik mereka mencapai tingkat tinggi, bahkan administrator jaringan perusahaan yang paham teknologi pun tidak dapat membedakan antara penipuan dan kebenaran.

Untuk membantu perusahaan tetap aman, perusahaan global cybersecurity Kaspersky memberikan tujuh tips memitigasi risiko dunia maya yang terkait dengan media sosial pada tahun 2023.

Pertama, berhati-hatilah dengan pesan langsung (direct message) dan folder draft, hapus informasi lama yang tidak relevan. Perusahaan harus berhati-hati dalam menyimpan informasi sensitif dalam pesan langsung. Orang sering menggunakan media sosial perusahaan untuk melakukan penulisan brand, meminta bantuan, menggunakan produk atau layanan pemegang akun.

Contohnya, beberapa kemitraan seperti dengan blogger, dapat dinegosiasikan melalui pesan langsung. Terkadang informasi pribadi atau keuangan dibagikan selama percakapan ini, bahkan tetap berada di folder pesan lama setelah melakukan interaksi. Jika ada pelanggaran yang memungkinkan penjahat dunia maya mendapatkan akses tidak sah ke akun, data sensitif dapat bocor atau digunakan untuk meluncurkan serangan.

Untuk menghindari risiko ini, biasakan menghapus pesan yang tidak relevan saat percakapan selesai dan informasi di dalamnya tidak lagi relevan. Hal yang sama berlaku untuk posting. Ada baiknya meninjau dengan cermat apa yang disimpan di folder draft dari waktu ke waktu.

Kedua, meninjau postingan lama untuk meminimalkan risiko reputasi. Kekuatan reputasi berkembang, setiap kata, tindakan, dan keputusan dapat membantu atau bahkan merusak citra perusahaan. Segala sesuatu yang dipublikasikan secara online juga sangat kritikal dalam keamanan dunia maya. Ketika informasi sensitif (kembali) muncul di depan umum, hal itu hampir selalu berakhir dengan rusaknya reputasi perusahaan dan dapat menimbulkan kerugian finansial.

Agar tetap aman, luangkan waktu untuk meninjau postingan yang sudah dipublikasikan, karena mungkin berisi informasi yang tidak sesuai dengan kenyataan saat ini – bisa berupa lelucon yang tidak pantas hingga kampanye iklan yang kontroversial. Apa yang normal kemarin, bisa menimbulkan reaksi publik yang negatif hari ini.

“Tinjauan publikasi yang dibuat selama beberapa tahun terakhir sebagian besar mengurangi risiko kerusakan reputasi tersebut,” jelas Roman Dedenok, Pakar Analisis Spam Kaspersky.

Ketiga, hati-hati memposting kisah sukses Anda. Setelah menandatangani kontrak atau mencapai kesepakatan, perusahaan tentu ingin memposting pemberitahuan di media sosial untuk memberi tahu sebanyak mungkin orang tentang kesuksesan bisnisnya. Tetapi kita benar-benar perlu menyadari apa yang menjadi perhatian para penjahat dunia maya.

Jika calon penyerang mengetahui siapa pemasok atau kontraktor Anda, serangan dapat muncul dengan berbagai skema seperti meniru identitas pihak ketiga tersebut, meretas akun hingga bertindak atas nama mereka. Selain itu, semakin jelas struktur dan metode kerja perusahaan tergambar di media sosial, semakin mudah bagi penjahat dunia maya untuk mempersiapkan serangan.

Misalnya, jika calon penyerang mengetahui siapa pihak yang bertanggung jawab atas keuangan, mereka dapat berpura-pura menjadi supervisor orang tersebut dan mencoba membujuk untuk segera mentransfer sejumlah besar uang ke akun palsu untuk ‘menemukan kesepakatan’ atau ‘membeli peralatan yang diperlukan’. Menggunakan berbagai teknik rekayasa sosial, penjahat dunia maya dapat secara meyakinkan menyamar sebagai orang lain, dan korban tidak akan menyadari penipuan tersebut.

Keempat, peringatkan pendatang baru tentang risiko yang terkait dengan memposting ‘pekerjaan baru’ di media sosial. Setelah mendapatkan pekerjaan baru, karyawan pendatang biasanya akan membagikan pengalamannya di media sosial, tetapi mereka belum memahami bagaimana proses keamanan siber dibangun di perusahaan, misalnya cara kerja identifikasi atau dengan siapa mereka dapat berbagi informasi sensitif. Oleh karena itu, karyawan baru lebih rentan terhadap serangan siber.

“Bayangkan penyerang melacak karyawan baru tersebut di media sosial dan mengumpulkan informasi tentang mereka. Kemudian penyerang menulis email kepada karyawan baru atas nama administrator TI perusahaan yang meminta untuk membagikan kata sandi untuk membuat akun teknis. Kemungkinan besar karyawan baru akan membagikan kata sandi karena menganggap pesan disampaikan oleh pihak administrator adalah resmi,” ujarnya.

Selain itu, kata dia, karyawan baru biasanya pemalu dan mereka mungkin ragu untuk bertanya kepada koleganya apakah pesan itu asli. Sebuah posting kecil di media sosial dapat mengubah karyawan tersebut menjadi titik masuk awal bagi penjahat dunia maya. Untuk mengurangi risiko, tawarkan pelatihan keamanan informasi kepada bagi para karyawan baru, dan beri tahu mereka untuk sangat berhati-hati saat memposting tentang pekerjaan baru.

Kelima, kontrol akses akun dan jangan lupa untuk mengubah kata sandi saat karyawan mengundurkan diri.

Login, kata sandi, dan akses ke alamat email yang digunakan untuk membuat akun media sosial sama berharganya dengan dokumen internal perusahaan lainnya. Jika seorang karyawan yang memiliki akses ke akun dan data otentikasi keluar dari perusahaan, menerapkan aturan perubahan kata sandi sama pentingnya seperti memblokir akses mereka ke jaringan perusahaan.

Pertama-tama, ubah kata sandi untuk akun email yang ditautkan ke jejaring sosial perusahaan; kemudian putuskan tautan nomor ponsel eks karyawan dan periksa metode otentikasi lainnya, misalnya email cadangan.

Keenam, jangan abaikan otentikasi dua faktor. Akun apa pun di jejaring sosial, apalagi akun perusahaan, harus dilindungi dengan aman. Otentikasi dua faktor adalah pengaturan yang mutlak diperlukan untuk semua jenis akun. Alamat email yang ditautkan ke akun harus dilindungi seperti akun media sosial itu sendiri.

Seringkali serangan dimulai dengan akses awal ke email. Setelah membobol akun, penyerang dapat mengonfigurasi filter di pengaturan kotak surat untuk menghapus semua email dukungan dari jejaring sosial. Oleh karena itu, pengguna tidak akan dapat memulihkan akses ke akunnya, karena semua email akan dihapus secara otomatis. Belum lagi dalam situasi stress, pengguna tidak akan memeriksa filter mana yang saat ini dikonfigurasi di email.

Anna Larkina, pakar analisis konten web di Kaspersky menyebut, cara terbaik adalah mendaftarkan akun media sosial menggunakan alamat email perusahaan. Pertama-tama, ini lebih terlindungi (dengan asumsi perusahaan memprioritaskan keamanan siber). Selain itu, spesialis keamanan internal dapat memblokir akses ke email tersebut beserta semua akses ke jaringan perusahaan.

Ketujuh, berikan karyawan pelatihan anti-phishing. Untuk memitigasi risiko siber di jaringan media sosial, tidak cukup hanya melindungi akun perusahaan secara teknis, penting juga untuk melakukan pelatihan khusus bagi karyawan tentang keamanan informasi, berbagai jenis phishing dan ancaman lainnya.

Menurut statistik pengguna di Kaspersky Gamified Assessment Tool, yang dirancang untuk mengedukasi pekerja dan membantu manajer dalam mengukur keterampilan dunia maya mereka, hanya 11% dari hampir 4.000 karyawan menunjukkan kesadaran keamanan dunia maya tingkat tinggi pada tahun 2022, sementara 28% tidak dapat membuktikan kecakapan keamanan dunia maya yang memadai.

“Penyerang menggunakan metode rekayasa sosial yang canggih. Bahkan perwakilan generasi yang paling maju seperti Gen Z sekali pun bisa dikelabui oleh mereka. Faktor manusia tidak dapat dikurangi menjadi nol, tetapi dapat diminimalkan sebanyak mungkin dengan bantuan pelatihan khusus,” tutur Anna.

Editor : Eva Martha Rahayu

Swa.co.id