Kebijakan Organisasi tentang Pencegahan dan Penanganan Phising

Restia Moegiono {CEH|CHFI|ECSA|QRMO}

A. Latar Belakang

Social engineering merupakan serangan siber yang menggunakan human interaction atau social skills untuk mendapatkan informasi dari suatu organisasi atau dari sistem komputer. Phishing merupakan suatu bentuk dari social engineering yang bertujuan untuk mendapatkan initial access untuk masuk ke internal organisasi dimana hal ini cukup berbahaya dan dapat merugikan organisasi. Kerugian akibat serangan phishing dapat berupa rusaknya reputasi organisasi, kerugian finansial dan hilangnya kepercayaan dari stakeholder. Oleh karena itu, dibutuhkan suatu kebijakan keamanan di dalam organisasi yang dapat mengatur dengan jelas hal-hal yang diperlukan dalam upada pencegahan maupun penanganan phishing.

B. Maksud dan Tujuan

Maksud dari penyusunan draf kebijakan ini adalah untuk menjadi rujukan bagi berbagai organisasi di Indonesia dalam menyusun kebijakan keamanan yang berfokus pada pencegahan dan penanganan phishing di organisasinya masing-masing.

Sedangkan tujuan dari penyusunan draft kebijakan ini, antara lain:

  1. Sebagai panduan untuk penyusunan kebijakan keamanan dalam rangka pencegahan dan penanganan phishing di lingkup organisasi;

  2. Meningkatkan implementasi pertahanan teknis terhadap phishing pada lingkungan operasional teknologi informasi di organisasi; dan

  3. Mendorong upaya edukasi tentang phishing pada stakeholder internal organisasi, sehingga dapat meningkatkan kesadaran stakeholder internal terhadap pentingnya keamanan informasi organisasi.

C. Disclaimer

Draf kebijakan ini terbuka bagi semua pihak untuk digunakan sesuai kebutuhannya. Diharapkan pembaca dapat membantu memperbaiki draf kebijakan dengan mengirimkan saran penulisan kepada penulis. Disarankan agar sumber dicantumkan sebagai referensi sebagaimana ketentuan dalam penulisan karya ilmiah lainnya. Pengguna draf kebijakan ini bertanggung jawab terhadap pelaksanaan dari draf kebijakan ini beserta konsekuensi implementasinya. Tidak ada jaminan apapun yang diberikan.

Izin penggunaan draf kebijakan ini diberikan secara gratis, kepada siapa pun yang memperoleh salinan draf kebijakan ini untuk menggunakan draf kebijakan tanpa batasan, termasuk namun tidak terbatas pada hak untuk menggunakan, menyalin, memodifikasi, menggabungkan , mempublikasikan, dan mendistribusikan.

D. Konten Templare Kebijakan

I. Ketentuan Umum

Dalam kebijakan organisasi ini, yang dimaksud dengan:

  1. Social engineering (rekayasa sosial) adalah tindakan memanipulasi personel dengan cara menipu untuk melakukan tindakan atau membocorkan informasi kredensial atau informasi rahasia yang bertentangan dengan kebijakan keamanan organisasi, yang dapat dilakukan secara langsung atau secara online.

  2. Phishing adalah jenis social engineering yang menggunakan metode online, termasuk email, situs web, pesan instan chat dan SMS (smishing), dan panggilan telepon (vishing).

  3. Personel adalah adalah karyawan atau pihak lain yang bertugas menjalankan pekerjaan pada suatu organisasi.

II. Ruang Lingkup Pencegahan dan Penanganan Phising

  1. Pencegahan dan penanganan phishing mencakup paling sedikit:

    • Kebijakan keamanan;

    • Pertahanan teknis; dan

    • Edukasi.

  2. Kebijakan keamanan sebagaimana dimaksud pada angka 1 huruf a adalah instruksi, rekomendasi, dan prosedur yang efektif, konsisten, dan dikomunikasikan di organisasi untuk mengurangi risiko keamanan secara efektif.

  3. Pertahanan teknis sebagaimana dimaksud pada angka 1 huruf b adalah semua mitigasi dan kontrol fisik dan logis yang diterapkan untuk mencegah sesuatu yang berbahaya terjadi pada perangkat keras, sistem operasi, dan aplikasi.

  4. Edukasi sebagaimana dimaksud pada angka 1 huruf c adalah semua tindakan yang dilakukan untuk membuat orang sadar terhadap dampak serangan phishing, membantu mengenali ancaman dan mengambil tindakan yang tepat.

  5. Tujuan pencegahan dan penanganan phishing adalah untuk:

    a. Mencegah dan mengatasi serangan siber phishing pada personel, yang dapat mengkompromikan organisasi mana pun; dan

    b. Mencegah terjadinya dampak risiko akibat phishing yang diantaranya:

    • Akses ke sistem secara tidak sah;

    • Kondisi penolakan layanan (Denial of Service/DoS);

    • Terjadi kebocoran data, sehingga dapat menyebabkan kerusakan reputasi organisasi dan kerugian finansial.

III. Kebijakan Umum Mengenai Phising

  1. Tanda-Tanda Phising

    • Personel harus memiliki keterampilan untuk dapat mengenali tanda-tanda phishing yang meliputi:

      (1) Tanda-tanda social engineering (termasuk phishing) secara umum;

      (2) Tanda-tanda phishing melalui email;

      (3) Tanda-tanda phishing melalui SMS atau pesan instan chat (smishing);

      (4) Tanda-tanda phishing melalui telepon (vhishing).

    • Tanda-tanda phishing sebagaimana dimaksud pada huruf a harus diajarkan kepada personel oleh unit kerja yang membawahkan fungsi pengelolaan teknologi informasi dan komunikasi.

    • Tanda-tanda social engineering (termasuk phishing) secara umum sebagaimana dimaksud pada huruf a angka (1), diantaranya:

      (1) Personel atau kontak yang tidak dikenal mengirimi pesan yang aneh atau pesan yang tidak biasa (anomali);

      (2) Emosi tiba-tiba meningkat, seperti marah, menangis, ketakutan setelah menerima pesan;

      (3) Terdapat permintaan yang sangat mendesak dan bersifat segera;

      (4) Terdapat tawaran itu terasa terlalu bagus untuk menjadi kenyataan (too good to be true);

      (5) Terdapat bantuan yang tidak pernah diminta, misalnya customer service atau pihak bank yang menawarkan bantuan kepada pelanggan;

      (6) Pihak yang berkomunikasi dengan personel tidak dapat membuktikan identitasnya atau tidak dapat diautentikasi.

    • Tanda-tanda phishing melalui email sebagaimana dimaksud pada huruf a angka (2), diantaranya:

      (1) Alamat email yang sekilas tampak seperti alamat email yang asli, padahal mengelabuhi personel;

      (2) Header email ketika dianalisis menggunakan tools analisis email header menunjukkan hasil yang negatif;

      (3) Penggunaan salam umum seperti "Pelanggan yang Terhormat”, tidak menggunakan mengunakan nama personel yang berarti pesan dikirim secara random;

      (4) Terdapat lampiran (attachment) atau tautan (link) yang mencurigakan atau berasal dari sumber yang tidak tepercaya;

      (5) Terdapat tata bahasa yang buruk seperti typo dan salah ejaan;

      (6) Terdapat grafik atau gambar tidak profesional seperti buram dan ukurannya terlalu besar/kecil;

      (7) Terdapat urgensi yang tidak perlu untuk memverifikasi alamat email, memberikan data pribadi, atau mentransfer sejumlah uang dengan segera.

    • Tanda-tanda phishing melalui SMS atau pesan instan chat (smishing) sebagaimana dimaksud pada huruf a angka (3), diantaranya:

      (1) Pengirim pesan menggunakan nomor yang tidak dikenal (tidak tersimpan di kontak), nomor yang berasal dari negara lain, atau bahkan nomor layanan yang terlihat sah (yang dibuat dengan tools SMS spoofing);

      (2) Profil yang digunakan pengirim pesan seolah-olah berasal dari pihak tepercaya, menggunakan atribut (foto, nama) yang mengelabuhi personel;

      (3) Terdapat tautan (link) yang mencurigakan atau berasal dari sumber yang tidak tepercaya;

      (4) Terdapat file/foto/video yang disampaikan pengirim pesan dengan berbagai modus yang mengelabuhi personel, yang sebenarnya merupakan malware/virus/file APK;

    • Tanda-tanda phishing melalui telepon (vhishing) sebagaimana dimaksud pada huruf a angka (4), diantaranya:

      (1) Penelpon menggunakan nomor yang tidak dikenal (tidak tersimpan di kontak), nomor yang berasal dari negara lain, atau bahkan nomor layanan yang terlihat sah (yang dibuat dengan tools Caller ID spoofing);

      (2) Penelpon seolah-olah berasal dari pihak tepercaya dan berbicara dengan tone yang terkesan positif;

      (3) Terdapat tekanan untuk segera mengambil tindakan dengan berbagai modus yang mengelabuhi personel, misalnya memberikan data pribadi, atau mentransfer sejumlah uang dengan segera;

      (4) Terdapat kebisingan yang aneh atau kualitas audio yang buruk pada panggilan telepon;

      (5) Terdapat suara-suara yang tidak wajar atau terdengar seperti robot karena bisa telepon merupakan robocall.

  2. Mengenali URL Berbahaya

    • Personel harus memiliki keterampilan untuk dapat mengenali URL berbahaya, diantaranya:

      (1) Reputasi URL termasuk ke dalam kategori known bad URL;

      (2) URL ketika dianalisis menggunakan tools analisis URL menunjukkan hasil yang negatif;

      (3) Domain URL menggunakan tanda hubung (-) dan simbol (@);

      (4) URL menggunakan nama halaman yang panjang untuk mengelabuhi personel dari alamat website yang sebenarnya;

      (5) Menggunakan pemendek URL untuk mengelabuhi personel dari alamat website yang sebenarnya;

      (6) Domain berupa alamat IP yang menggunakan angka seluruhnya.

    • Tools analisis URL sebagaimana dimaksud pada huruf a angka (2), diantaranya:

      (1) www.virustotal.com;

      (2) www.urlvoid.com;

      (3) www.urlscan.io.

    • Personel harus dapat mengenali URL berbahaya sebagaimana dimaksud pada huruf a agar tidak meng-klik URL berbahaya.

  3. Yang Dilakukan setelah Phishing Terdeteksi

    • Personel harus memahami apa yang harus dilakukan setelah phishing terdeteksi untuk melindungi organisasi dengan sebaik-baiknya.

    • Yang harus dilakukan oleh personel setelah phishing terdeteksi sebagaimana dimaksud pada huruf a, antara lain:

      (1) Mengabaikan semua informasi yang disampaikan pada pesan phishing;

      (2) Melaporkan pesan phishing ke titik kontak Tim Tanggap Insiden Siber (Computer Security Incident Response Team-CSIRT) sebagai pelaporan dugaan phishing atau konfirmasi serangan phishing;

      (3) Menghapus pesan phishing.

  4. Prinsip Pencegahan Phishing

    • Personel harus curiga terhadap email yang meminta kredensial login untuk memvalidasinya atau meminta Iogin untuk memvalidasi peristiwa keamanan yang seharusnya terdeteksi.

    • Personel tidak boleh memberikan kredensial login dalam permintaan ke email atau tautan yang dikirim di dalam email, kecuali diketahui pasti bahwa permintaan tersebut valid, dari pengirim yang sah, dan diharapkan.

    • Personel harus selalu verifikasi alamat email pengirim email yang diterima.

    • Personel harus curiga terhadap email yang datang dari pengirim yang tidak dikenal atau yang mengaku berasal dari pengirim tepercaya namun menggunakan alamat email yang sebelumnya tidak dikenal.

    • Personel harus memperlakukan semua lampiran file yang tidak terduga sebagai berpotensi mencurigakan, jika perlu lakukan verifikasi kepada pengirim mengenai lampiran file yang disertakan melalui media komunikasi lain yang telah ditentukan.

    • Personel tidak boleh mengizinkan script, macro, atau konten aktif lainnya berjalan saat membuka lampiran file dari email.

    • Jika personel ragu tentang email atau permintaan tak terduga dalam email, hubungi pengirim di nomor telepon yang telah ditentukan sebelumnya.

    • Personel harus memverifikasi semua tautan URL berasal dari domain yang sah dan dapat dipercaya sebelum mengeklik tautan tersebut.

    • Jika personel ragu mengenai keabsahan URL tertentu, maka dapat meminta bantuan kepada Tim Tanggap Insiden Siber (CSIRT) untuk menganalisis dan mengonfirmasi.

    • Personel tidak boleh menginstal perangkat lunak yang tidak sah.

    • Personel tidak boleh menginstal perangkat lunak yang ditawarkan oleh situs web pihak ketiga. Jika diberi tahu bahwa jenis atau versi perangkat lunak tertentu diperlukan, selalu kunjungi situs web vendor resmi untuk menginstal perangkat lunak tersebut.

  5. Pencegahan Business Email Compromise (BEC)

    • Tanda-tanda penipuan Business Email Compromise (BEC), diantaranya:

      (1) Pengirim email yang berpura-pura sebagai orang tepercaya (misalnya supervisor, eksekutif senior, atau vendor);

      (2) Dalih yang digunakan adalah orang tepercaya tidak dapat dihubungi namun terdapat pembayaran harus segera dilakukan ke rekening tujuan yang baru;

      (3) Penipuan terjadi apabila korban mengirimkan pembayaran ke rekening tujuan penipuan.

    • Pencegahan penipuan BEC, diantaranya:

      (1) Semua permintaan baru untuk pembayaran baru atau perubahan tujuan pembayaran harus dikonfirmasi dengan menghubungi pemohon pada nomor telepon yang telah diverifikasi sebelumnya untuk menguatkan permintaan tersebut.

      (2) Kebijakan sebagaimana dimaksud pada angka (1) harus tegas dan didukung oleh manajemen senior sehingga tidak ada karyawan yang merasa tertekan untuk melakukan pembayaran atau perubahan yang tidak terduga tanpa verifikasi yang diperlukan.

  6. Pelatihan Phishing

    • Semua personel harus diberi tahu tentang pelatihan phishing dan bagaimana pelatihan dilakukan (misalnya apa yang dilakukan, frekuensi umum, dan alat serta metode apa yang akan digunakan).

    • Pemberitahuan pelatihan phishing sebagaimana dimaksud pada huruf a bertujuan untuk mencegah personel terkena penipuan phishing yang muncul sebagai "pelatihan wajib" dari organisasi atau dari vendor pelatihan security awareness.

    • Pemberitahuan pelatihan phishing sebagaimana dimaksud pada huruf a juga meliputi pernyataan pelindungan privasi personel.

    • Pernyataan pelindungan privasi personel sebagaimana dimaksud pada huruf c memuat:

      (1) Pemantauan email personel dan pelacakan hasil tes phishing merupakan bagian yang tidak terpisahkan dari pelatihan phishing; dan

      (2) Organisasi melindungi privasi personel sesuai dengan peraturan organisasi dan peraturan perundang-undangan yang berlaku.

  7. Konsekuensi Phishing

    • Personel yang gagal dalam pelatihan phishing yang disimulasikan atau menjadi korban serangan phishing yang sebenarnya dapat diberikan konsekuensi.

    • Pemberian konsekuensi sebagaimana dimaksud pada huruf a bertujuan untuk meningkatkan kepedulian terhadap pelatihan phishing dan kewaspadaan terhadap serangan phishing.

    • Konsekuensi sebagaimana dimaksud pada huruf a dapat berupa:

      (1) Pelatihan phishing tambahan;

      (2) Konseling; dan

      (3) Pembatasan tugas personel.

  8. Manajemen Insiden Siber

    a. Prosedur tanggap insiden siber yang berelasi dengan serangan phishing harus disusun.

    b. Prosedur tanggap insiden siber yang berelasi dengan serangan phishing sebagaimana dimaksud pada huruf a meliputi:

    (1) Penanganan serangan phishing yang berhasil;

    (2) Penanganan kredensial yang bocor;

    (3) Penanganan malware; dan

    (4) Mekanisme koordinasi dengan pihak ketiga (jika tersedia).

    c. Prosedur tanggap insiden siber yang berelasi dengan serangan phishing sebagaimana dimaksud pada huruf a harus dikoordinasikan, direncanakan, dan dikomunikasikan kepada semua personel yang terkait.

  9. Kebijakan Keamanan Lainnya

    • Penggunaan Multi-Factor Authentication (MFA) dapat digunakan untuk mengurangi phishing secara signifikan.

    • Keputusan mengenai boleh tidaknya melakukan pembayaran tebusan atas insiden siber ransomware organisasi harus diputuskan dan dicantumkan dalam prosedur tanggap insiden siber.

    • Manajemen krisis siber harus disusun, dikoordinasikan, direncanakan, dan dikomunikasikan kepada semua personel yang terkait untuk mengantisipasi kemungkinan terburuk akibat serangan phishing pada organisasi.

    • Rencana kesinambungan bisnis harus disusun, dikoordinasikan, direncanakan, dan dikomunikasikan kepada semua personel yang terkait untuk membantu meminimalkan kerusakan selama peristiwa krisis siber.

    • Asuransi keamanan siber dapat digunakan untuk membantu membatasi kerugian finansial dari insiden siber yang tercakup.

IV. Pertahanan Teknis terhadap Phishing

  1. Defence In-Depth

    • Konsep defence in-depth yang memberikan pertahanan teknis berlapis pada upaya mitigasi risiko keamanan siber harus diterapkan.

    • Penerapan konsep defence in-depth sebagaimana dimaksud pada huruf a bertujuan untuk memastikan bahwa risiko yang terlewatkan oleh 1 (satu) mitigasi dapat dikendalikan oleh mitigasi lainnya.

    • Pertahanan teknis berlapis sebagaimana dimaksud pada huruf a harus ditempatkan pada:

      (1) Tepi jaringan; (2) Titik temu beberapa jaringan; (3) Titik masuk; (4) Titik keluar; (5) Sebuah host atau perangkat individual; dan (6) Jaringan cloud.

  2. Network Security Boundaries

    • Konsep network security boundaries yang dapat menghentikan lalu lintas dan koneksi jaringan yang tidak diinginkan atau tidak diperlukan harus diterapkan.

    • Penerapan konsep network security boundaries sebagaimana dimaksud pada huruf a bertujuan untuk mengurangi peluang eksploitasi kerentanan dan serangan phishing.

  3. Pemfilteran Konten

    • Pemfilteran konten pada layer jaringan atau data aplikasi yang dapat mencari pola yang tampak berbahaya harus diterapkan.

    • Penerapan pemfilteran konten sebagaimana dimaksud pada huruf a bertujuan untuk mengurangi ancaman phishing.

    • Pemfilteran konten sebagaimana dimaksud pada huruf a dapat diterapkan pada: (1) Layanan email; (2) Browser; (3) Perangkat perimeter jaringan; (4) Perangkat Intrution Detection (IDS); (5) Layanan antivirus (host atau jaringan); dan (6) Server email.

    • Penerapan pemfilteran konten sebagaimana dimaksud pada huruf a harus memenuhi kriteria:(1) Tidak boleh disetel terlalu agresif karena dapat memblokir konten yang sah secara tidak tepat; (2) Disetel untuk memblokir sebanyak mungkin konten nyata dan berbahaya tanpa menimbulkan false positif.

  4. Identifikasi Ancaman Email

    • Identifikasi ancaman email yang secara otomatis mengidentifikasi phishing, spam, dan jenis ancaman email lainnya harus diterapkan.

    • Penerapan identifikasi ancaman email sebagaimana dimaksud pada huruf a meliputi: (1) Penambahan label tambahan yang ditambahkan ke teks subjek pada email, yaitu [SPAM], [LIKELY PHISHING], [THREAT]; (2) Memblokir email yang berbahaya agar tidak diterima oleh pengguna akhir; atau (3) Mengkarantina konten yang teridentifikasi berbahaya untuk dapat dilakukan analisis dan penanganan ahli lebih lanjut.

  5. Detonation Sandboxes

    • Detonation sandboxes berupa perangkat atau perangkat lunak yang mengeksekusi konten yang berpotensi berbahaya harus diterapkan.

    • Detonation sandboxes sebagaimana dimaksud pada huruf a bertujuan untuk memblokir atau mencegah konten yang membahayakan sehingga tidak merugikan pengguna.

    • Konten yang berpotensi berbahaya sebagaimana dimaksud pada huruf a dapat berupa: (1) Lampiran (attachment) file pada email; dan (2) Konten internet dari URL yang diklik.

    • Mekanisme pada detonation sandboxes sebagaimana dimaksud pada huruf a meliputi: (1) Konten berbahaya akan dibuka di lingkungan virtual yang meniru secara realistis komponen inti dari lingkungan perangkat yang ada; (2) Konten dan hasil dari konten yang dieksekusi pada detonation sandboxes dianalisis untuk membantu menentukan keamanan dan legitimasinya; dan (3) Jika konten dianggap aman, konten tersebut kemudian diizinkan untuk dijalankan di perangkat pengguna dengan cara yang semula.

  6. Layanan Reputasi

    • Layanan reputasi yang memberikan saran keamanan, memblokir, atau mengizinkan konten berdasarkan URL asalnya, nama domain, atau alamat IP harus diterapkan.

    • Layanan reputasi sebagaimana dimaksud pada huruf a dapat diterapkan pada: (1) Server email; dan (2) Browser.

    • Layanan reputasi sebagaimana dimaksud pada huruf a dapat berupa: (1) Layanan blacklist yang berisi daftar domain yang sebelumnya dilaporkan berbahaya. (2) Layanan whitelist yang berisi daftar domain yang telah diverifikasi dan diizinkan sebelumnya.

    • Selain menggunakan layanan reputasi sebagaimana dimaksud pada huruf a, dapat digunakan mekanisme greylist dengan menerapkan: (1) Pemblokiran semua email masuk atau konten yang berasal dari pengirim atau domain mana pun yang sebelumnya tidak disetujui; atau (2) Penggunaan metode lain untuk mengkonfirmasi keabsahan alamat email atau domain yang sebelumnya tidak dikenal.

  7. Pemeriksaan DNS

    • Pemeriksaan DNS yang dapat menganalisis nama domain dari email masuk atau URL internet harus diterapkan.

    • Pemeriksaan DNS sebagaimana dimaksud pada huruf a bertujuan untuk memblokir yang tampak masih baru atau mendeteksi anomali pada domain lainnya.

  8. Mitigasi Malware

    • Layanan mitigasi malware yang dapat mendeteksi dan memblokir URL, konten, dan lampiran (attachment) file berbahaya harus diterapkan.

    • Layanan mitigasi malware sebagaimana dimaksud pada huruf a dapat berupa: (1) Antivirus (AV); atau (2) Endpoint Detection & Response (EDR).

  9. Tombol Peringatan Phishing (Phish Alert Button)

    • Tombol peringatan phishing (phish alert button) untuk mendukung mekanisme pelaporan pesan phishing secara mudah dan cepat, harus diterapkan

    • Penerapan phish alert button sebagaimana dimaksud pada huruf a dilakukan dengan cara: (1) Memasang ikon ke dalam email client yang dapat diklik ketika personel mencurigai adanya email phishing. (2) Mengkonfigurasi phish alert button untuk menghapus dan meneruskan semua email phishing ke titik kontak Tim Tanggap Insiden Siber (CSIRT); (3) Mengkkonfigurasi fungsionalitas tambahan yang dapat memberi tahu pengguna apakah email phishing yang dilaporkan termasuk dalam kategori berbahaya, percobaan serangan, atau tidak berbahaya (spam); (4) Membalas pelaporan phishing dengan memberikan feedback yang positif untuk mendorong personel melaporkan dugaan email phishing di masa mendatang; dan (5) Tim Tanggap Insiden Siber (CSIRT) melakukan analisis, konfirmasi, riset, dan pembuatan informasi tren phishing;

  10. Prinsip Hak Akses Terendah (Least Privilege)

    • Prinsip hak akses terendah (least privilege) yang memberikan izin hak akses terendah yang diperlukan untuk menyelesaikan suatu tugas, harus ditetapkan.

    • Prinsip hak akses terendah (least privilege) sebagaimana dimaksud pada huruf a bertujuan untuk mengantisipasi penyalahgunaan hak akses, sehingga kerugian yang ditimbulkan dapat paling sedikit.

    • Prinsip hak akses terendah (least privilege) sebagaimana dimaksud pada huruf a dapat diterapkan pada: (1) Akun pengguna; (2) Komputer atau perangkat lain; (3) Grup; (4) Layanan; (5) Daemon; dan (6) Jaringan.

  11. Keamanan Aplikasi Client

    • Keamanan aplikasi client yang digunakan untuk mengakses konten internet, harus diterapkan.

    • Keamanan aplikasi client sebagaimana dimaksud pada huruf a, diantaranya: (1) Menggunakan email client; (2) Memastikan pengaturan keamanan pada browser; (3) Melakukan update aplikasi client.

    • Penggunaan email client sebagaimana dimaksud pada huruf b angka (1) disebabkan karena memiliki fitur anti-phishing yang meliputi: (1) Tidak mengunduh konten yang ditautkan secara eksternal secara otomatis saat email dibuka; (2) Tidak mengizinkan lampiran file yang berpotensi berbahaya untuk segera dibuka; (3) Menampilkan placeholder yang meminta pengguna untuk mengklik tombol tambahan untuk mengunduh lampiran file atau konten yang berpotensi berbahaya.

    • Pengaturan keamanan pada browser sebagaimana dimaksud pada huruf b angka (2) meliputi: (1) Pemfilteran konten; (2) Layanan reputasi; dan (3) Peringatan jika pengguna mengunduh atau menjalankan konten yang berpotensi berbahaya.

  12. Keamanan Email

    • Keamanan email yang dapat mencegah ancaman spoofing terhadap domain email, harus diterapkan.

    • Keamanan email sebagaimana dimaksud pada huruf a meliputi: (1) Sender Policy Framework (SPF); (2) Domain Keys Identified Mail (DKIM); dan (3) Domain-Based Message Authentication, Reporting, and Conformance (DMARC).

  13. Pemantauan Lalu Lintas Jaringan

    • Pemantauan lalu lintas jaringan yang dapat mendeteksi malware atau eksploitasi peretas, harus diterapkan.

    • Mekanisme pemantauan lalu lintas jaringan sebagaimana dimaksud pada huruf a meliputi: (1) Analisis aliran lalu lintas jaringan; (2) Deteksi koneksi jaringan yang anomali di dalam jaringan yang disusupi; (3) Deteksi penggunaan protokol jaringan yang anomali; (4) Deteksi kebocoran data ke luar batas aman jaringan; dan (5) Pemberian peringatan berdasarkan anomali yang dideteksi.

  14. Honeypot

    • Honeypot berupa perangkat atau perangkat lunak yang berfungsi sebagai teknologi penipuan, dapat diterapkan.

    • Honeypot sebagaimana dimaksud pada huruf a bertujuan untuk: (1) Sebagai sistem peringatan dini ancaman siber; (2) Mendeteksi adanya potensi peretas dan potensi kejahatan lainnya; dan (3) Mendeteksi adanya potensi serangan malware.

  15. Sistem Merah dan Hijau

    • Sistem merah dan hijau yang membedakan lingkungan berdasarkan toleransi risiko dan nilai aset dikelola, dapat diterapkan.

    • Sistem merah dan hijau sebagaimana dimaksud pada huruf a diterapkan dengan: (1) Sistem merah adalah sistem sangat aman dan hanya berisi perangkat lunak dan layanan bisnis penting dimana pengguna hanya dapat melakukan tugas bisnis; dan (2) Sistem hijau adalah sistem yang kurang aman dan dapat digunakan oleh pengguna untuk melakukan penjelajahan internet, tugas pribadi, dan akses ke email.

V. Edukasi tentang Phishing

  1. Pengujian Dasar

    • Pengujian dasar yang dilakukan untuk menetapkan baseline pada edukasi tentang phishing, harus diterapkan.

    • Penetapan baseline pada edukasi tentang phishing sebagaimana dimaksud pada huruf a meliputi: (1) Personel yang paling rentan terhadap phishing; dan (2) Hasil pengukuran kampanye phishing berupa persentase personel yang membuka atau menanggapi upaya phishing yang disimulasikan.

    • Penetapan baseline pada edukasi tentang phishing sebagaimana dimaksud pada huruf a bertujuan untuk: (1) Mendapatkan data yang mudah dilihat dan diverifikasi untuk menunjukkan keberhasilan edukasi tentang phishing; (2) Membandingkan berapa banyak personel yang rentan terhadap phishing di awal program pelatihan security awareness di kemudian hari memungkinkan untuk mengukur keberhasilannya secara keseluruhan; dan (3) Memungkinkan untuk fokus pada personel yang rentan terhadap phishing.

  2. Pelatihan tentang Phishing

    • Pelatihan tentang phishing harus dilaksanakan kepada semua personel, selama menjadi karyawan pada organisasi.

    • Pelatihan tentang phishing sebagaimana dimaksud pada huruf a dapat menggunakan berbagai metode, termasuk video, poster, kuis, dan permainan.

    • Pelatihan tentang phishing sebagaimana dimaksud pada huruf a yang berdurasi pendek dapat diberikan setiap bulan.

    • Pelatihan tentang phishing yang berdurasi pendek sebagaimana dimaksud pada huruf c yang berdurasi pendek dapat mencakup tren phishing yang populer dan tren.

  3. Simulasi Phishing

    • Simulasi phishing terhadap semua personel harus dilakukan setiap bulan atau lebih sering.

    • Simulasi phishing sebagaimana dimaksud pada huruf a bertujuan untuk: (1) Menguji personel dalam memahami dan menerapkan edukasi tentang phishing; (2) Membangun pengetahuan, keahlian, dan kepercayaan diri dalam menangani serangan phishing.

    • Mekanisme simulasi phishing sebagaimana dimaksud pada huruf a meliputi: (1) Mensimulasikan phishing dengan tingkat kesulitan yang bertahap, mulai dari yang sederhana, agak mudah dikenali, sampai phishing yang canggih; (2) Peningkatan tingkat kesulitan pada simulasi phishing disesuaikan dengan kemampuan personel dalam menanggapi simulasi phishing; (3) Simulasi phishing relevan dengan serangan phishing di dunia nyata; (4) Simulasi phishing disampaikan secara acak, bukan ke semua personel secara sekaligus.

  4. Analisis Hasil Simulasi Phishing

    • Analisis hasil simulasi phishing harus menyediakan data yang andal dan dapat ditindaklanjuti.

    • Analisis hasil simulasi phishing sebagaimana dimaksud pada huruf a bertujuan untuk: (1) Mengidentifikasi personel yang gagal di bawah batas rata-rata pada simulasi phishing; yang disimulasikan, sehingga dapat diberi pelatihan tambahan, sesuai kebutuhan. (2) Mendapatkan skor risiko individu yang dapat dilacak dari waktu ke waktu; (3) Mendapatkan skor risiko unit kerja dari penggabungan skor risiko setiap individu; (4) Mendapatkan skor risiko organisasi dari penggabungan skor unit kerja. (5) Mendapatkan dan menggunakan data untuk memungkinkan memodifikasi pelatihan tentang phishing sesuai kebutuhan dan perubahan risiko keamanan siber dari waktu ke waktu.

  5. Inovasi pada Edukasi tentang Phishing

    • Inovasi yang dapat memaksimalkan edukasi tentang phishing, harus diterapkan.

    • Inovasi pada edukasi tentang phishing sebagaimana dimaksud pada huruf a meliputi: (1) Menyampaikan pentingnya edukasi tentang phishing; (2) Memberikan insentif kepada personel; (3) Menawarkan pelatihan yang menarik; (4) Menggunakan konten pelatihan yang selalu berubah; (5) Memberikan sertifikat pencapaian; dan (6) Memberikan edukasi tentang phishing kepada keluarga personel.

    • Penyampaian pentingnya edukasi tentang phishing sebagaimana dimaksud pada huruf b angka (1) dilakukan dengan membagikan fakta tentang insiden siber yang disebabkan oleh phishing.

    • Pemberian insentif kepada personel sebagaimana dimaksud pada huruf b angka (2) yang mencakup feedback positif, pengakuan sosial, hadiah kecil, uang, dan bonus, bertujuan agar personel mau mengikuti edukasi tentang phishing.

    • Penawaran pelatihan yang lebih menarik sebagaimana dimaksud pada huruf b angka (3) dilakukan dengan menyediakan pelatihan yang menyenangkan, tidak membosankan, dan tenang.

    • Penggunaan konten pelatihan yang selalu berubah sebagaimana dimaksud pada huruf b angka (4) bertujuan untuk memberikan pembelajaran dengan berbagai hal yang berbeda.

    • Pemberian sertifikat pencapaian sebagaimana dimaksud pada huruf b angka (5) bertujuan untuk memberikan pengakuan atas pencapaian personel dan kepeduliannya terhadap edukasi phishing.

    • Pemberian edukasi tentang phishing kepada keluarga personel sebagaimana dimaksud pada huruf b angka (6) bertujuan untuk meningkatkan kewaspadaan keluarga personel terhadap serangan phishing yang terjadi di masyarakat.

VI. Referensi

PCI Data Security Standard (PCI DSS) Information Supplement: Best Practices for Implementing a Security Awareness Program, October 2014.

Tentang Penulis

Saya adalah seorang yang senang belajar dan juga senang berbagi ilmu. Karena saya ingin menjadi sebaik-baik manusia, yaitu manusia yang bermanfaat bagi orang lain. Dengan bekerja saya berharap bisa memberikan kontribusi yang positif bagi Indonesia, sehingga negara Indonesia dapat mencapai cyber resilience.

PreviousMencegah Kebocoran Data Sensitif menggunakan solusi DLP (Data Loss/Leakage Prevention)NextPeran Threat Intelligence dalam Cyber Security

Last updated