Insider Threat

Terungkapnya pelaku penyebar data pribadi salah satu aktivis media social menjadi warning bagi setiap organisasi akan adanya potensi insider threat. Kasus yang bermula dari adanya capture data pribadi yang tersimpan pada salah satu perusahaan telekomunikasi yang kemudian di sampaikan kepada publik melalui akun twitter atas nama @opposite6890 ternyata sumber datanya bukan dari kebocoran data dari perusahaan telekomunikasi tersebut namun merupakan tindakan pribadi dari seseorang yang memiliki akses kepada data internal untuk kemudikan dicapture dan disebarkan kepada pihak lain.

Dalam beberapa bulan terakhir ini, berbagai issue tentang kebocoran data pribadi telah menjadi issue hangat sejalan dengan terungkapnya beberapa kasus kebocaran data dari sejumlah perusahaan besar ataupun institusi yang mengelola data. Hampir sebagian besar analisa mengarah pada adanya kerentanan system pada perusahaan atau institusi tersebut. Kasus yang terungkap dari penyebaran data pribadi salah satu aktivis media sosial tersebut menyadarkan kita semua akan adanya potensi lain dari sumber kebocoran data yang berasal dari perbuatan orang dalam, hal inilah yang dikenali sebagai insider threat. Solusi keamanan computer melalui access control, firewalls dirancang untuk menutup celah keamanan dari pihak eksternal atau pihak lainnya yang sifatnya not trusted. Namun insider threats sifatnya adalah celah keamanan terhadap trusted insider. Menurut data dari Varonis, 34% kebocoran data yang terjadi pada tahun 2019 adalah disebabkan oleh mereka yang masuk kedalam katagori insider threats.

Insider threat adalah terminologi yang digunakan untuk menunjukkan adanya potensi ancaman terhadap keamanan atau data sebuah sistem yang berasal dari aktivitas orang dalam. Secara sederhana yang dimaksud dengan insider adalah: individu yang memiliki otorisasi untuk melakukan akses terhadap system yang berjalan dalam sebuah perusahaan/institusi. Sementara thret adalah apapun yang berpotensi menjadi gangguan serius, kerusakan, kehilangan pada asset yang dikelola oleh perusahaan/institusi.  Dalam hal ini individu yang dimaksud mengarah pada karyawan atau mantan karyawan atau pihak ketiga (kontraktor atau pengembang sistemnya). Secara umum resiko yang dapat ditimbulkan dari insider threat adalah pencurian terhadap data yang sensitif, penyalahgunaan hak akses dan aktivitas penipuan yang akan berdampak pada reputasi dan brand image dari perusahaan/institusi tersebut. Menurut data Haystax 3 jenis data yang sering menjadi target dari pelaku insider threats adalah data customer, data yang berkaitan dengan finansial serta data yang dilindungi atau memuat hak intelektual.

Secara umum terdapat tiga katagori insider threat:

  • Pertama adalah ancamanan yang sifatnya accidental (tidak sengaja) atau disebut juga sebagai Negligent Insider, yaitu seseorang yang secara tidak sadar atau tidak sengaja mengkompromikan data karena buruknya security awareness yang bersangkutan, misalnya menjadi korban phising, melakukan delete file penting serta human error yang sifatnya tidak sengaja (Accidental).
  • Kedua adalah kelompok yang dikenal sebagai Malicious Insider yaitu seseorang yang berbahaya karena ada niat jahat dari orang dalam tersebut sehingga beberapa hal dapat dilakukan oleh yang bersangkutan.  Menurut laporan dari Securonix aktivitas exfiltration adalah aktivtas yang paling banyak dilakukan oleh pelaku insider threat. Exfiltration adalah sebuah upaya untuk melakukan copy data atau dokumen internal kepada pihak luar. Hal ini dapat dilakukan dengan mudah melalui forwarding email penting ke email pribadi atau email lainnya di luar email resmi perusahaan, melakukan copy data atau dokumen penting kepada situs eksternal ataupun device yang tidak memiliki authorisasi, memberikan hak akses kepada pihak lain untuk kolaborasi dokumen perusahaan.
  • Ketiga adalah Compromised Account (Resident Insider), yaitu seseorang yang tidak sadar kalau dirinya atau akunnya telah dimanfaatkan oleh pihak tertentu yang berniat jahat terhadap perusahaan tersebut.

Insider Threat adalah ancaman keamanan yang sama berbahayanya dengan serangan dari luar. Hal yang paling buruk yang dapat dilakukan oleh pelaku insider threat adalah melakukan aksi sabotase terhadap system sehingga alert system atau system keamanan yang telah dirancang tidak dapat bekerja dan menjadi jalan bagi terbukanya pihak eksternal melakukan aksi attack terhadap system. Hal lainnya adalah terkait dengan kebocoran data yang sensitif. Termasuk didalamnya adalah aktivitas yang mengarah pada kegiatan spionase industry. Aktivitas Fraud termasuk salah satu bentuk hal buruk yang dapat dilakukan melalui keberadaan insider threat.

Insider threats adalah layaknya musuh dalam selimut, sulit terdeteksi. Untuk itu teknik yang paling lazim untuk melakukan deteksi insider threat adalah melalui analisa perilaku. Menurut data dari Securonix, umumnya perusahaan menerapkan dua hal untuk melakukan deteksi adanya insider threat, teknik Behavior Analytic/Anomaly untuk melakukan deteksi terhadap keberadaan insider threat dalam lingkungannya melalui analisa terhadap pola dan perilaku pegawainya serta volumetric analysis untuk melakukan deteksi terhadap adanya insider threat melalui analisa transfer data dari akun tertentu kepada pihak luar yang sifatnya diluar kewajaran. Gabungan dari keduanya mengarah pada aspek human behaviors sebagai indikator utama untuk mendeteksi adanya potensi insider threats.

Salah satu langkah dalam behaviour analytic adalah mengenali karakteristik human yang berpotensi sebagai insider attacker, salah satunya adalah apa yang dikatagorikan sebagai Emotional attackers, yaitu karyawan yang motivasi tindakannya didasarkan pada tindakan emosional seperti marah terhadap perusahaan atau seseorang yang dilakukannya secara spontan. Merujuk pada kasus tersebarnya data pribadi salah satu aktivis media sosial, terungkap bahwa pelakunya adalah karyawan internal perusahaan yang memiliki rasa marah terhadap korban. Wujud kemarahannya tersebut, dengan kewenangan akses terhadap data korban yang tersimpan pada sistem, si pelaku mengekpresikannya melalui penyebaran data pribadi korban kepada pihak eksternal. Karakteristik perbuatan pelaku ini bisa dikatagorikan sebagai upaya melakukan exfiltrasi data kepada pihak luar. Walaupun fakta yang tersampaikan kepada public bahwa teknik yang dilakukan oleh pelaku hanya sekedar melakukan capture data melalui camera handphone kemudian mengirimkannya kepada pihak lain,namun dengan kewenanganya untuk akses data customer sebenarnya pelaku juga bisa saja melakukan copy data customer yang lebih banyak volumenya.

Terungkapnhya kasus tersebut memberikan pelajaran terhadap praktisi keamanan akan pentingnya program deteksi, proteksi dan recovery terhadap insident keamanan system yang disebabkan oleh insider threat akibat adanya insider attacker. Program keamanan sistem harus dipandang sebagai program terintegrasi untuk mengatasi adanya potensi attack dari eksternal maupun internal. Perhatian terhadap deteksi, proteksi dan mitigasi dari insider attack harus dilakukan secara simultan dan terintegrasi dengan upaya yang sama terhadap adanya external attack.

Dr. Yudi Prayudi, M.Kom

Pusat Studi Forensika Digital UII Yogyakarta

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.