Pengantar
Baik data keras maupun bukti anekdot menunjukkan bahwa penyebab utama perusahaan diretas adalah kesalahan manusia. Penelitian kolaboratif oleh Stanford University dan firma keamanan Tessian menunjukkan bahwa 88% pelanggaran data disebabkan oleh karyawan yang mengklik email peretas karena mereka pikir ini benar-benar berasal dari eksekutif puncak perusahaan atau sumber yang sah. Mempertimbangkan bahwa lusinan karyawan di sebuah perusahaan memiliki akses ke dokumen dan data penting yang mungkin harus mereka bagikan dengan subkontraktor untuk sebuah proyek, kemungkinan peretas dan insinyur sosial memasukkan diri mereka ke tengah dan melakukan penipuan meningkat secara eksponensial.
Di sebuah 2020 wawancara, Joseph Rigazio, seorang pemimpin dalam industri konstruksi dan teknik, berbagi pemikirannya tentang risiko keamanan siber yang dihadapi perusahaan konstruksi. Wawancara telah terbukti efektif dalam menekankan kebutuhan pembangun untuk diintegrasikan dengan yang diperbarui dengan baik PKI peralatan. Joseph menerima pelatihan di bidang Teknik Elektro, Ekonomi Bisnis, dan Manajemen Konstruksi, bekerja selama 21 tahun di Texas Instruments, dan saat ini mengepalai Talisen Construction Corporation. Ide-idenya ditranskripsikan di bawah ini:
“Satu area lain dari sudut pandang konstruksi, benar…phishing…penipuan…ransomware…mengunci Anda…masuk ke dalam dan mencuri – ada konten dan ada informasi kontak sehingga beberapa hal yang membuat saya terjaga di malam hari adalah mereka masuk, sekarang mereka mencari catatan perbankan dan mereka mencari melalui alur kerja rantai hutang dan piutang Anda, di mana informasi kabel itu, nomor EIN vendor kami, dll. Itu mengkhawatirkan. Itu di satu sisi, Anda tahu, mendapatkan uang. Bagaimana dengan gambar dan rencana profesional. Kami memiliki banyak konten, yaitu, kami berurusan dengan klien yang lebih sensitif yang memberikan informasi, katakanlah kartu perbankan. Kami tahu di mana brankas itu, kami tahu struktur dindingnya, kami tahu bagaimana masuk ke bawahnya. Mereka semua dalam gambar. Perusahaan konstruksi telah menjadi digital dalam 10 tahun terakhir sehingga ada banyak dokumentasi dalam file kami yang menunjukkan bagaimana bangunan itu dibangun.”
-Joseph Rigazio
CEO Perusahaan Konstruksi Talisen
Data menunjukkan bahwa kekhawatiran Rigazio telah membuahkan hasil dalam dekade terakhir dengan frekuensi yang mengkhawatirkan. Menurut perusahaan manajemen risiko Marsh McLennan, perusahaan rekayasa dalam industri konstruksi adalah biji mata para peretas karena “relatif sedikit kontraktor yang secara menyeluruh mengidentifikasi dan mengukur eksposur dunia maya mereka atau mengembangkan rencana untuk mengurangi dan/atau mentransfer risiko tertentu”.
A Survei komprehensif 2016-2017 oleh Kroll, sebuah perusahaan solusi digital risiko dan penilaian, menunjukkan bahwa 63% responden di industri rekayasa, konstruksi, dan infrastruktur pernah mengalami risiko keamanan dalam satu tahun terakhir. Dalam hal serangan cyber, survei menunjukkan bahwa selama setahun terakhir, lebih dari 75% responden mengalami berbagai bentuk pelanggaran cyber termasuk phishing, virus worm, dan penghapusan data dengan file pelanggan sebagai target utama.
Bagian berikutnya membahas kasus-kasus historis baru-baru ini yang menunjukkan bagaimana perusahaan rekayasa atau konstruksi telah dilanggar.
Kasus Historis Serangan Dunia Maya Terbaru pada Perusahaan Teknik
Pada tahun 2013, cetak biru untuk yang baru Gedung Organisasi Intelijen Keamanan Australia (ASIO) dicuri oleh geng peretas China APT3 yang mengunggah malware di laptop seorang karyawan ASIO. Di antara konten penting yang dicuri termasuk denah lantai, sistem komunikasi, dan sistem keamanan. Serangan siber menyebabkan keterlambatan dalam pembangunan gedung dan memaksa ASIO untuk mempertimbangkan untuk mendesain ulang gedung tersebut.
Pada bulan Maret 2016, penipuan spear phishing menargetkan seorang karyawan Turner Construction, salah satu perusahaan konstruksi terbesar di Amerika. Orang tersebut akhirnya mengirimkan nomor jaminan sosial dan alamat karyawan saat ini dan sebelumnya ke akun email peretas. Spear phisher membuat akun email palsu dari orang-orang di perusahaan yang memiliki posisi kunci seperti CEO, dan kemudian menipu karyawan agar mengirimkan data rahasia atau memulai transaksi keuangan. Data pribadi yang dikumpulkan oleh peretas dapat digunakan dalam transaksi penipuan lainnya seperti berpura-pura menjadi orang yang memiliki nomor jaminan sosial dan kemudian menipu karyawan perusahaan lain seperti bank untuk mentransfer dana ke rekening peretas.
Perusahaan Joseph Rigazio sendiri juga menjadi korban spear phishing. Dalam wawancara tahun 2020 yang sama, ia menceritakan bagaimana kepala akuntansi proyeknya ditipu ketika orang tersebut mengira peretas yang berkomunikasi dengannya melalui email adalah dia. Saat bertemu di kantor, karyawan Joseph menyebutkan bahwa dia menindaklanjuti transaksi yang Joseph jawab dengan “Apa yang kamu bicarakan?” Orang itu kemudian menjadi putih setelah menyadari bahwa dia telah ditipu dan penjahat dunia maya lolos dengan $ 10,000.
2021 ini, koran industri konstruksi melaporkan bahwa “penjahat dunia maya telah beralih dari meretas informasi pribadi. Sekarang intelijen perusahaan, infrastruktur, dan bahkan alat berat menjadi target.”
Mungkin contoh paling pasti dari risiko keamanan siber yang mengkhawatirkan yang dihadapi oleh perusahaan teknik adalah Mei 2021 serangan ransomware Colonial Pipeline, sistem pipa minyak yang membawa bensin dan solar dari Texas ke negara bagian Tenggara. Penjahat dunia maya, yang diyakini sebagai geng Darkside Eropa Timur, menargetkan komputer yang mengendalikan sistem pipa. Mereka juga mencuri hampir 100GB informasi dari Colonial Pipeline dan mengancam akan membocorkannya di internet jika perusahaan tidak membayar uang tebusan. Karena takut serangan berikutnya terjadi dan karena mereka kehilangan kapasitas untuk menagih pelanggan, Colonial Pipeline memutuskan untuk menutup operasi mereka dan membayar Hampir $5 juta ke Darkside. Serangan ransomware ini mempengaruhi pasokan bahan bakar di bandara dan perubahan jadwal penerbangan serta menyebabkan panic buying.
Kata terakhir
Risiko keamanan dunia maya yang terkait dengan pekerjaan rekayasa berbasis digital seharusnya tidak mendorong perusahaan untuk mundur ke perencanaan dan transaksi yang murni berbasis kertas.
Jadi, bagaimana cara membantu karyawan agar tidak disesatkan oleh peretas? Bagaimana kita mengatasi risiko pencurian data saat menggunakan internet? Melatih mereka oleh perusahaan keamanan siber tentang protokol keamanan dasar adalah salah satu metodenya. Tetapi untuk benar-benar mengatasi keterbatasan manusia dalam menjaga data berharga, perusahaan teknik harus berinvestasi dalam keamanan siber berbasis enkripsi yang akan mempersulit peretas untuk mencuri informasi bahkan dari pekerja yang paling tidak paham internet.
Jika Anda seorang insinyur atau seseorang yang memiliki perusahaan teknik, lihat artikel kami di sini yang membahas tentang manfaat PKI teknologi dalam melindungi data Anda.
