Edward Snowden

Manajemen-ti.com — Edward Snowden, bukanlah siapa-siapa sebelum berhasil mencuri data-data super rahasia milik National Security Agency (NSA). Ia menjadi semakin menjadi “seseorang” setelah ia membeberkannya ke media seperti The Guardian dan The Washington Post. Kejadian ini tentu membuat para CIO dan pengelola TI berbagai perusahaan tak habis pikir. Mengapa?

Karena kejadian ini terjadi pada sebuah organisasi seperti NSA yang tentu memiliki mekanisme proteksi yang luar biasa canggih demi mencegah seseorang bahkan hanya untuk melihat data-data rahasia yang mereka kelola. Sehingga tentunya para CIO dan pengelola TI di perusahaan amat pantas merasa khawatir mengingat sistem pengaman yang pasti tidak secanggih yang diterapkan NSA. Kalau sekelas NSA saja bisa bobol, bagaimana dengan perusahaan kami?

Jeff Rubin, seorang pakar sekuriti dari Beachhead, mengungkapkan bahwa terdapat beberapa pesan penting yang perlu diperhatikan oleh para CIO dan pengelola TI yang didapat dari kasus Snowden ini.

Pertama mengenai model karyawan “nakal” produk generasi milenial. Edward Snowden mewakili model baru dari karyawan, yaitu seorang anak muda yang mahir TI tapi rada-rada “nakal”. Orang seperti ini dengan dipersenjatai sebuah PC dapat diam-diam mengambil data-data sensitif milik perusahaan. Para CIO dan pengelola TI mesti menaruh perhatian terhadap ancaman ini sebelumnya semuanya menjadi terlambat. Paradigma sebelumnya yang hanya mengandalkan enkripsi untuk mengamankan data tidak lagi cukup di lingkungan perusahaan yang berisi orang-orang model seperti ini.

Anak muda berusia tak lebih dari 29 tahun bernama Snowden ini telah berhasil membobol data dari salah satu organisasi paling aman di planet ini. Umur Snowden ini melambangkan generasi milenial, para pekerja teknologi berumur 20-an yang memenuhi berbagai perusahaan saat ini. Pada 2015, menurut biro tenaga kerja AS, para milenial inilah segmen terbesar yang mengisi karyawan di berbagai perusahaan.

Menurut CompTIA, dua per tiga dari para milenial ini memiliki kemampuan TI di atas rata-rata. Snowden, misalnya, menyebut dirinya sebagai seorang “computer magician”. Dia tidak hanya bisa mendapatkan akses pada data-data sensitif, namun dia juga dapat berkomunikasi dengan media menggunakan email terenkripsi dengan kode nama Verax.

Bagi para CIO dan pengelola TI perusahaan, peringatan ini begitu jelas: salah seorang karyawan model seperti Snowden ini mungkin juga salah satu karyawan perusahaan Anda yang sewaktu-waktu dapat mencari jalan untuk mengelabui sistem keamanan yang Anda terapkan di perusahaan.

Kedua, soal Social Engineering dan “Jagoan IT”

Walaupun kita tidak meragukan keterampilan teknis dari Snowden, tapi sangat sulit bagi Snowden jika hanya mengandalkan keterampilan teknisnya saja untuk membobol sistem dan data super rahasia milik NSA. Snowden diyakini juga menerapkan teknik-teknik social engineering dalam menjalankan misi rahasianya itu. Diduga Snowden mempengaruhi sejumlah karyawan NSA sedemikian sehingga mendapatkan kepercayaan untuk mengakses data-data melalui komputer-komputer mereka.

Hal yang sama tentu dapat dilakukan pula oleh karyawan/kontraktor perusahaan Anda. Seseorang bisa saja menggunakan komputer milik salah seorang karyawan Anda dan mengakses data-data rahasia milik perusahaan. Apalagi jika melihat tren seperti BYOD, layanan mobile dan cloud storage seperti Dropbox yang kini sudah umum digunakan. Maka potensi perusahaan kehilangan data menjadi lebih tinggi dari sebelum-sebelumnya.

Ketiga, Enkripsi saja tidak cukup!

Pelajaran lain yang dapat diambil dari kasus NSA dan Snowden ini adalah bahwa diperlukan pengamanan yang berlapis-lapis. Menurut Rubin, banyak perusahaan menumpukan pengamanan datanya pada sistem enkripsi saja. Padahal begitu seorang karyawan “nakal” mendapatkan password-nya, maka enkripsi menjadi tiada guna.

Diperlukan mekanisme otentikasi yang berlapis dalam pengendalian akses data untuk menekan kemungkinan para karyawan nakal seperti Snowden dapat melihat data yang tidak dalam kewenangan seharusnya.

Dengan kemampuan orang-orang produk generasi milenial seperti Snowden ini yang selain “nakal” juga jagoan IT sehingga berhasil mencuri data bahkan dari organisasi sekelas NSA, ditambah maraknya penggunaan BYOD, maka para CIO dan pengelola TI perusahaan akan semakin sulit untuk benar-benar memiliki kontrol atas data perusahaan. Perusahaan bisa menjadi tidak berdaya. [manajemen-ti/cio]