Di era digital saat ini, email telah menjadi tulang punggung komunikasi bisnis, tetapi juga menghadirkan tantangan keamanan yang signifikan, terutama bagi bisnis kecil. Karena ancaman siber terus berkembang dan menjadi makin canggih, melindungi informasi sensitif dan menjaga kerahasiaan komunikasi melalui email menjadi makin penting.
Selama beberapa tahun terakhir, serangan siber melalui server email bisnis meningkat tajam. Hal ini tidak mengherankan, mengingat banyak perusahaan dalam beberapa tahun terakhir beralih ke model kerja jarak jauh. Namun, dengan adanya kerja jarak jauh yang kini telah menjadi permanen, yang mengejutkan sebagian besar spesialis keamanan siber adalah bahwa banyak organisasi (terutama bisnis kecil yang paling rentan terhadap jenis serangan ini) belum menerapkan praktik dasar keamanan siber untuk menjaga sistem mereka tetap aman dari Business Email Compromise atau BEC, dan bentuk serangan siber berbasis email lainnya yang lebih tradisional.
Business Email Compromise adalah jenis penipuan digital dan pemerasan serius yang berusaha memanfaatkan arus komunikasi email harian antara bisnis. Melalui proses rekayasa sosial yang rumit, penjahat siber menyamar sebagai karyawan atau rekan bisnis yang dipercaya dan meyakinkan korban di perusahaan yang sama untuk mentransfer informasi sensitif atau dana ke akun tersembunyi. Jenis serangan ini bervariasi dalam tingkat keparahannya tetapi biasanya sangat merugikan bisnis yang menjadi target. Itulah mengapa kami memutuskan untuk membuat panduan tentang praktik terbaik keamanan email, pedoman, protokol, dan kebijakan yang khusus disesuaikan untuk bisnis kecil (namun, praktik ini akan sama berlaku untuk organisasi dengan ukuran apa pun). Sudah saatnya memastikan email bisnis kecil Anda aman dan informasi sensitif apa pun terlindungi dari orang yang tidak diinginkan.
Praktik Terbaik untuk Keamanan Email dalam Bisnis Kecil
Praktik terbaik untuk keamanan email dalam bisnis kecil mirip dengan yang digunakan di organisasi besar; mereka melindungi dari tiga jenis serangan siber email utama: penipuan phishing, serangan spear phishing, dan faktur palsu. Mari kita mulai dengan langkah-langkah keamanan email yang penting:
Akun Email Bisnis untuk Keperluan Bisnis
Meskipun ini mungkin terlihat cukup sederhana dan jelas, namun hal ini penting untuk diingat. Mengingat pekerjaan adalah bagian penting dari kehidupan kita, terkadang ada godaan untuk menggunakan email bisnis untuk mendaftar atau login ke layanan yang tidak dapat diakses dengan akun pribadi. Akan tetapi, memakai email perusahaan untuk kegiatan online pribadi memudahkan penipu untuk membangun profil Anda, yang bisa berakhir pada serangan siber yang lebih bertarget. Selain itu, jika Anda menggunakan komputer pribadi atau koneksi Wi-Fi rumah, yang umumnya tidak seaman jaringan perusahaan atau perangkat khusus di tempat kerja, Anda memberi peluang lebih besar bagi peretas untuk mencuri kredensial bisnis Anda. Ini membawa kita ke praktik terbaik berikutnya.
Jangan Menggunakan Email Bisnis di Wi-Fi Publik
Meski Anda mengakses akun email bisnis menggunakan perangkat aman milik perusahaan, Wi-Fi publik adalah pintu masuk sempurna bagi peretas dan penjahat siber untuk menyusup ke perangkat Anda dan mencuri data sensitif. Bila tidak memungkinkan untuk menghindari penggunaan koneksi publik, kami sarankan menggunakan VPN agar terhubung ke server bisnis penting Anda dan meningkatkan keamanan endpoint secara keseluruhan. Virtual Private Network (VPN) bekerja dengan membentuk terowongan privat yang dienkripsi antara komputer jarak jauh pengguna dengan server khusus organisasi. Hasilnya, VPN akan melindungi semua data yang Anda kirimkan lewat jaringan yang tidak aman dengan enkripsi real-time. Untuk mempelajari lebih lanjut tentang VPN dan cara kerjanya, baca artikel kami, "Apa itu VPN?".
Kata Sandi dan Frasa Sandi yang Kuat
Untuk meretas akun email bisnis, langkah pertama adalah melakukan serangan brute-force pada akun dan mencoba menebak kata sandi atau frasa sandi. Itulah sebabnya kami menyarankan semua karyawan untuk menggunakan frasa sandi atau kata sandi yang “kuat”. Sebuah kata sandi dianggap “kuat” jika cukup panjang (12-14 karakter) dan mengandung campuran karakter khusus, angka, huruf besar, dan huruf kecil. Frasa sandi yang “kuat” memiliki aturan yang sama, tetapi panjangnya antara 15-20 karakter dan menggunakan huruf dari bahasa lain (jika memungkinkan).
Yang paling penting untuk diingat adalah bahwa kata sandi atau frasa sandi ini harus unik dan hanya digunakan untuk satu aplikasi. Ini berarti Anda akan membutuhkan banyak kata sandi atau frasa sandi ini, tergantung pada jumlah sistem yang Anda gunakan di tempat kerja. Karena itu, kami merekomendasikan penggunaan pengelola kata sandi atau brankas kata sandi, yang juga menyediakan pembuat kata sandi untuk membuat kata sandi yang kuat, untuk menyimpan semua kata sandi dan frasa unik Anda. Meskipun brankas dan pengelola kata sandi bisa diretas, kata sandi Anda tetap aman karena telah dienkripsi; mendekripsi enkripsi standar industri seperti AES 256-bit (Advanced Encryption Standard) hampir tidak mungkin. Jadi, bahkan jika peretas berhasil masuk ke dalam brankas itu sendiri, itu tidak berarti mereka dapat berbuat apa pun dengan data Anda yang terenkripsi.
Pelatihan Kesadaran Terhadap Penipuan Phishing dan Lampiran
Salah satu cara termudah untuk melindungi bisnis Anda adalah dengan berinvestasi dalam pelatihan keamanan siber yang sederhana untuk semua karyawan Anda. Jika ini tidak memungkinkan untuk bisnis Anda, kami merekomendasikan untuk mengedukasi tenaga kerja Anda mengenai bahaya penipuan phishing dan serangan lampiran email, yang juga dikenal sebagai lampiran berbahaya atau HTML smuggling. Poin-poin utama yang perlu dibahas adalah:
- Kesadaran terhadap penipuan phishing umum, seperti situs web palsu dan jendela login yang mencuri kredensial login pengguna serta meniru jendela pop-up umum, seperti jendela Login Microsoft Outlook.
- Pemahaman tentang vektor lampiran email yang paling umum yang dapat menyembunyikan malware, seperti .DOCX, .HTML, dan .EXE. Ini juga mencakup bentuk serangan siber email yang baru dan populer yang dikenal sebagai HTML smuggling.
- Ingatkan karyawan Anda untuk tidak mengklik tautan yang terlihat mencurigakan atau yang dikirim dari pengirim yang tidak dikenal. Tautan berbahaya adalah cara termudah bagi penipu untuk berhasil melakukan serangan siber terhadap karyawan dan bisnis Anda, biasanya melalui jenis situs web penipuan phishing.
Aktifkan Autentikasi Multifaktor
Salah satu praktik keamanan yang makin populer karena efektivitasnya adalah autentikasi multi-faktor. Kadang-kadang disebut MFA, autentikasi dua faktor, atau 2FA, autentikasi multi-faktor memberikan akun email bisnis Anda beberapa lapisan pemeriksaan keamanan sebelum seorang karyawan diberi akses ke pesan-pesan mereka. Contoh-contoh yang dapat digunakan adalah kata sandi tambahan, kode dari SMS yang aman, atau jawaban atas pertanyaan keamanan yang telah ditentukan.
Jangan lupa untuk Logout
Sekali lagi, ini mungkin terlihat sebagai hal yang paling jelas dilakukan saat menggunakan email kerja Anda, tetapi penting untuk diingat bahwa banyak serangan keamanan siber bermula dari karyawan yang tidak puas yang ingin merusak bisnis mantan atasan mereka. Mengambil alih akun seseorang dan menyamar sebagai karyawan lain adalah salah satu cara termudah untuk melakukan kejahatan siber dan menghindari deteksi. Jadi, untuk mencegah diri Anda atau karyawan Anda menjadi tersangka tanpa sadar, pastikan semua orang di bisnis Anda ingat untuk logout setelah setiap sesi dan tidak pernah berbagi detail login mereka satu sama lain.
Sistem Pemindaian dan Perlindungan Email
Dengan makin kompleksnya ancaman rekayasa sosial dan serangan siber yang terkait email, sistem pemindaian dan perlindungan email yang khusus adalah pertahanan terbaik terhadap lampiran email berbahaya yang canggih dan serangan skrip yang tersemat. Kami merekomendasikan solusi antivirus otomatis yang mencakup pembelajaran mesin dan analisis kode statis, yang mengevaluasi konten aktual dari sebuah email dan bukan hanya jenis file lampiran. Untuk solusi keamanan siber online yang canggih, kami merekomendasikan Kaspersky Security for Microsoft Office 365. Sistem pemenang penghargaan untuk bisnis dan pengguna pribadi, paket premium kami dilengkapi dengan bantuan jarak jauh dan dukungan 24/7.
Protokol dan Standar Keamanan Email
Salah satu cara terpenting untuk melindungi sistem email bisnis Anda adalah dengan menerapkan protokol keamanan email yang tepat. Umumnya dianggap sebagai garis pertahanan pertama melawan serangan siber terkait email, protokol email dirancang untuk menjaga keamanan komunikasi Anda saat melintasi layanan webmail. Singkatnya, server email mengirimkan pesan email antar klien email penerima dengan menggunakan protokol email. Protokol-protokol ini memberi tahu server tentang cara memproses dan mengirimkan pesan. Protokol keamanan memverifikasi dan mengautentikasi prosedur ini.
Terdapat berbagai protokol yang dapat digunakan untuk mengamankan email bisnis Anda:
- SPF – memungkinkan pemilik domain email untuk mengidentifikasi dan memverifikasi siapa yang diizinkan untuk menggunakan nama domain mereka saat mengirim email.
- DMARC – memungkinkan pemilik domain untuk menerima pemberitahuan dan mengambil tindakan ketika sebuah pesan gagal diautentikasi.
- SMTPS dan STARTTLS – mengamankan komunikasi email antara klien dan server melalui enkripsi.
- DKIM – menghubungkan pengguna dengan tanda tangan digital untuk tujuan autentikasi.
- S/MIME – menetapkan cara untuk mengenkripsi dan mengautentikasi data yang diformat dalam MIME.
- OpenPGP – berasal dari kerangka Pretty Good Privacy, berfungsi sebagai standar untuk enkripsi dan autentikasi email.
- Sertifikat Digital – menyediakan cara untuk memverifikasi detail pengirim melalui kepemilikan kunci publik.
- SSL/TLS – meskipun tidak terlibat langsung dalam keamanan email, ia mengenkripsi lalu lintas jaringan antara server (yang mencakup pesan webmail) karena digunakan untuk HTTPS.
Banyak penyedia klien email terkenal menggunakan SPF, DKIM, dan DMARC (yang dikonfigurasi melalui catatan DNS) untuk melindungi privasi pengguna mereka. Kami menyarankan untuk mengimplementasikan minimal ketiga protokol ini ke dalam sistem email bisnis Anda.
Kebijakan, Pedoman, dan Kepatuhan Keamanan Email
Kebijakan, pedoman, dan kepatuhan keamanan email menjelaskan regulasi terkait penggunaan akun email bisnis di tempat kerja. Setiap poin yang disebutkan sebelumnya harus menjadi bagian penting dari kebijakan keamanan email organisasi Anda. Selain itu, pedoman ini harus mencakup aturan mengenai:
- Akses pengguna dan penggunaan perangkat.
- Penanganan dan penyimpanan data.
- Regulasi seputar penerusan, penghapusan, dan penyimpanan email.
- Luas cakupan kebijakan, yang mencakup penggunaan jaringan dan sistem.
- Standar untuk perilaku etis dan tindakan yang pantas.
- Enkripsi kata sandi dan alat-alat keamanan lainnya yang diterapkan dalam klien email.
- Material pelatihan keamanan siber yang berkaitan dengan malware email dan metode untuk mengidentifikasi lampiran, tautan, atau pesan penipuan.
- Praktik untuk memantau email dan mencatat aktivitas karyawan yang dilakukan oleh bisnis Anda.
- Di mana dan bagaimana melaporkan malware, konten yang mengancam, atau konten ilegal yang diterima melalui email.
Singkatnya, setiap organisasi, dari bisnis kecil hingga perusahaan besar, harus memiliki Model Kepatuhan Keamanan (SCN) yang dengan jelas menguraikan dan mendefinisikan materi yang disebutkan di atas. Pedoman ini akanberfungsi sebagai kerangka hukum (yang dapat ditegakkan oleh pemerintah nasional) yang dapat memastikan privasi dan keamanan semua konten yang terdapat dalam email perusahaan. Ini sangat penting mengingat klien dan mitra semakin waspada terhadap bisnis yang melanggar komunikasi digital.
Di era digital saat ini, email telah menjadi kebutuhan penting bagi bisnis, baik kecil maupun besar, namun juga merupakan target utama bagi serangan siber. Seiring dengan meningkatnya kerja jarak jauh, risiko serangan siber yang terkait email semakin meningkat. Lindungi bisnis kecil Anda dengan mudah menggunakan Kaspersky’s Small Business Security yang dirancang khusus untuk memenuhi kebutuhan bisnis kecil Anda.
Produk yang direkomendasikan:
