Masalah yang memprihatinkan telah muncul untuk proses pembayaran industri dalam beberapa tahun terakhir, yang dimana ini dapat menimbulkan konsekuensi yang sangat serius bagi konsumen dan pemilik bisnis. Apakah Anda sudah memperpanjang sertifikat SSL/TLS Digicert berkualitas hari ini untuk menjaga kestabilan web security? Kalau boleh dikatakan, saat ini tidak sedikit pebisnis yang melakukan pelanggaran keamanan siber dan kartu sehingga menurunkan angka PCI Compliance diiringi dengan jumlah ancaman keamanan yang dihadapi pengguna dan terjadinya pelanggaran yang semakin meningkat dari hari ke hari.
Hanya 27.9% organisasi yang mematuhi PCI DSS – angka yang sangat mengkhawatirkan dalam menghadapi ancaman keamanan siber yang terus meningkat…
Krisis pandemic Covid-19 yang menggemparkan di seluruh dunia ini menjadi salah satu penyebab yang memperburuk keadaan. Kami telah melihat semakin banyak bisnis yang mengurangi aktivitas keamanan server fisik mereka atau menutup ‘pintu’ sepenuhnya saat mengetahui web traffic semakin berkurang ke lokasi perangkat mereka. Sehingga, banyak yang mengalihkan fokus mereka kepada operasi secara online. Beli setifikat SSL/TLS Digicert murah pun akan membuat mereka berpikir dua kali karena dengan SDM dan anggaran bisnis yang sangat minim bahkan untuk beberapa alasan yang jelas PCI DSS Compliance kini menjadi lebih sulit daripada yang sebelumnya bagi banyak pelaku bisnis dan dinilai sama sekali tidak memungkinkan.
Dampak ini telah merambat kepada konsumen juga, karena persentase koneksi yang tidak aman ke domain terkait Covid-19 meningkat secara drastis ketika pandemi mulai meningkat. Dalam beberapa bulan pertama, ada peningkatan besar-besaran aksi cybercrime yang mencoba menjalankan rekayasa sosial untuk memangsa dengan memanfaatkan dampak virus tersebut, membuat situs penipuan yang terkait dengan pemeriksaan kesehatan, badan amal, dan masih banyak lagi.
Sayangnya, penurunan PCI Compliance adalah tren yang sudah ada sebelum adanya virus Covid-19 terjadi. Berkat studi terbaru yang dilakukan oleh Verizon, kita dapat melihat bahwa beberapa tren industri yang mengkhawatirkan telah muncul dalam beberapa tahun terakhir. Sangat penting bagi para pelaku bisnis untuk mempelajari cara mengatasi kendala compliance mereka dengan baik dan benar, mau itu untuk keuntungan mereka sendiri melalui penghindaran denda yang lebih mahal dan kerusakan reputasi bisnis mereka atau untuk kepentingan konsumen yang berpotensi menempatkan data pribadi dan keuangan mereka dalam risiko dengan setiap transaksi.
Jadi, apa sebenarnya yang ditemukan oleh studi industri komprehensif Verizon? Apa tantangan yang dihadapi organisasi sehubungan dengan memenuhi standar PCI DSS? Dan apa yang dapat mereka lakukan untuk membuat proses mencapai PCI Compliance berjalan mulus?
Mari kita bahas.
Dasar-Dasar PCI DSS
Sebelum kita masuk ke dalam penelitian Verizon, hal pertama yang akan kita pelajari yaitu tinjauan singkat tentang apa sebenarnya PCI DSS itu dan apa artinya?
The Payment Card Industry Data Security Standards (PCI DSS) dikelola oleh dewan PCI Security Standards Mastercard, Discover, dan lain-lain.
Karena semua raksasa industri berada di PCI DSS, pada dasarnya setiap perusahaan yang menerima pembayaran kartu kredit harus mematuhi peraturan keamanan dalam PCI DSS. Perusahaan kartu kredit individu adalah perusahaan yang benar-benar memberlakukan PCI DSS, yang berarti bahwa jika Anda melanggar aturan mereka Anda akan bersiap menghadapi banyak denda dari setiap kreditur yang Anda terima, daripada hanya mendapatkan denda tunggal dari satu entitas yang menyeluruh.
Denda bisa mencapai kisaran ratusan ribu dollar, atau bahkan hingga jutaan untuk pelanggaran berat oleh perusahaan besar. Selain itu, ada efek tidak berwujud yang muncul akibat melanggar PCI Compliance, seperti kepercayaan pelanggan dan reputasi brand yang menjadi rusak meskupun Anda menggunakan sekelas sertifikat SSL/TLS Digicert EV berkualitas, karena kepercayaan bisa dirusak dalam sedetik meskipun telah dibangun seribu tahun lamanya.
Motivasi Ancaman dan Spesifik Serangan
Industri yang sering melanggar compliance atau kepatuhan adalah ritel, keuangan, dan perhotelan. Satu hal yang umum di semua industri yang disurvei adalah bahwa keuntungan finansial sejauh ini merupakan alasan terbesar untuk insiden keamanan siber. Verizon menemukan bahwa 99% serangan bermotif finansial, dengan data pembayaran dan kredensial pribadi “terus dihargai”. Mereka juga melihat bahwa aplikasi web, yang bertentangan dengan lokasi perangkat server fisik, adalah penyebab 90% pelanggaran ritel.
Namun, di sektor keuangan dan asuransi, angka itu jauh lebih rendah. Hanya 30% pelanggaran dilakukan melalui serangan aplikasi web. Laporan tersebut menemukan bahwa tujuan utama dari serangan ini adalah untuk mengakses data sensitif di cloud melalui kredensial yang dicuri. Peningkatan migrasi ke layanan online merupakan kunci faktornya. Dan para pelaku bisnis di industri ini harus tahu, bahwa membeli sertifikat SSL/TLS Digicert berkualitas mampu menambah nilai keamanan online pada web aplikasi mereka dengan teknologi enkripsi yang mutakhir.
Tren dalam industri perawatan kesehatan menyimpang dari tren keseluruhan, terbukti dengan fakta bahwa 31% pelanggaran adalah akibat langsung dari kesalahan dasar manusia. Pelanggaran eksternal, sebesar 51% dari total, hanya sedikit lebih umum daripada pelanggaran internal, yang mencapai 48%. Industri ini tetap menjadi industri dengan jumlah pelaku kejahatan internal tertinggi, karena tingkat akses yang dibutuhkan bagi karyawan untuk melakukan pekerjaan mereka.
Di semua industri, social engineering dan credential stuffing (melalui hal-hal seperti upaya phishing dan pelanggaran email bisnis) menyebabkan lebih dari 67% dari total pelanggaran. Dari jumlah tersebut, 37% disebabkan oleh kredensial yang dicuri atau penggunaan password yang lemah, 25% disebabkan oleh serangan phishing, dan 22% disebabkan oleh human error.
Tantangan PCI Compliance Hari Ini
Salah satu kesimpulan utama yang dapat ditarik dari laporan tersebut adalah kurangnya kekhawatiran terhadap keamanan siber jangka panjang dalam organisasi. Fokusnya cenderung pada tindakan perbaikan yang cepat sebagai bantuan brand belaka, dibandingkan menerapkan strategi jangka panjang. Pemikiran picik ini berdampak parah pada kemampuan bisnis untuk mempertahankan PCI DSS Compliance.
Ada beberapa faktor yang berperan sebagai akar penyebab dari pendekatan semacam ini, yang pertama adalah kurangnya pengetahuan. Anda mungkin pernah mendengar ungkapan “Anda tidak tahu apa yang tidak Anda ketahui” sebelumnya, dan sering kali kalimat itu benar ketika berurusan dengan topik keamanan siber. Keamanan perlu menjadi bagian dari budaya sehari-hari, dan ini membutuhkan waktu dan investasi sumber daya dari organisasi. Pelatihan harus dilakukan untuk semua staf yang relevan dengan peran khusus mereka, dan anggaran harus disediakan untuk memungkinkan otomatisasi pencegahan ancaman yang meningkat.
Laporan Verizon menunjukkan bahwa banyak bisnis menemui hambatan ketika mencoba meyakinkan manajemen senior tentang tindakan yang diperlukan untuk menjaga keamanan data. Beberapa pertimbangan berbeda mengarah pada jebakan manajemen keamanan data yang pada akhirnya menyebabkan organisasi gagal saat mencoba menerapkan budaya keamanan siber yang kuat. Diantaranya termasuk kepemimpinan yang kurang lengkap, kegagalan untuk mengamankan dukungan strategis, kurangnya sumber daya, dan desain jangka panjang strategis yang tidak memadai.
Laporan tersebut juga mengutip bidang masalah utama seperti “strategi yang kurang dalam pelaksanaan langkah-langkah keamanan, kemampuan yang rendah, kurangnya perbaikan berkelanjutan dalam sistem, pembatasan komunikasi dan budaya.” Anda dapat melihat di bawah ini bahwa sejumlah besar organisasi kurang dalam hal kepemimpinan, anggaran, dan budaya yang berfokus pada keamanan:
Mengambil Tindakan Agar Sesuai Dengan PCI
Laporan ini tentu saja merupakan peringatan bagi para pelaku bisnis, menyampaikan poin bahwa kepemimpinan yang memiliki pengetahuan yang cukup dan baik dalam hal keamanan siber dan terfokus, diperlukan untuk mengatasi kegagalan keamanan, mengelola keamanan pembayaran secara memadai, dan mematuhi kontrol keamanan PCI DSS. Menariknya, Verizon menemukan bahwa akar penyebab utama bukanlah teknologi, melainkan berasal dari kelemahan yang dapat diatasi dengan langkah-langkah seperti proses formal, model bisnis yang disesuaikan dengan keamanan, dan strategi yang baik dengan kerangka kerja yang direncanakan dengan cermat.
Agar semua itu terjadi, harus ada pemangku kepentingan (stakeholder) yang berinvestasi untuk mengawasi semuanya. Ini menghadirkan tantangan lain, karena kebanyakan perusahaan atau bisnis tidak memiliki satu orang pun yang bertanggung jawab atas keamanan, kepatuhan, dan penilaian risiko. Keamanan data jangka panjang membutuhkan upaya gabungan dari berbagai peran, jangan sampai rencana yang paling baik pun runtuh. Kepala Petugas Keamanan Informasi, Kepala Petugas Risiko, dan Kepala Petugas Kepatuhan semuanya harus bekerja secara harmonis untuk mencapai tujuan akhir bersama. CISO khususnya harus menerapkan standar dan teknologi keamanan yang tepat, selain memiliki pemahaman mendalam tentang lanskap ancaman.
Sangat penting bahwa strategi organisasi selaras dengan strategi keamanan untuk menjaga kepatuhan. Ini tidak hanya berarti kepatuhan PCI DSS, tetapi juga kepatuhan terhadap peraturan lain, seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dan aturan khusus industri atau lokasi lainnya yang yurisdiksinya berada di bawah organisasi. Keamanan tidak secara otomatis berarti kepatuhan atau compliance, dan hal yang sama berlaku sebaliknya. Seperti organisir terhadap kunci-kunci dari sertifikat SSL/TLS Digicert yang disimpan, apakah telah diperbarui secara berkala atau malah ditelantarkan dalam waktu yang lama sehingga menimbulkan eror pada sistem keamanan web yang berdampak pada kekecewaan pelanggan. Karena itu, keamanan harus diselaraskan dengan persyaratan PCI dan sistemasi organisasi untuk menjaga kepercayaan pelanggan (yang bisa jadi terlalu rumit dan sulit diperbaiki).
Solusi Teknologi Untuk PCI DSS Compliance
Sementara studi tersebut menemukan bahwa akar penyebab utama pelanggaran bukanlah berbasis teknologi, solusi yang tepat dapat membuat perbedaan dunia ketika dipasangkan dengan proses dan strategi yang cerdas. Laporan tersebut menemukan bahwa 70% pelanggaran berasal dari sistem on-premise, dibandingkan dengan hanya 24% yang berasal dari sistem cloud. Bisnis tidak perlu menanggung sendiri semua beban keamanan, dan penerapan cloud yang dikonfigurasi dengan baik bisa seaman, jika tidak lebih, daripada yang dilakukan di lokasi (physical). Angka-angka tersebut menunjukkan bahwa sebagian besar pelanggaran cloud yang terjadi adalah akibat langsung dari konfigurasi yang tidak tepat.
Memanfaatkan sistem pihak ketiga juga menyederhanakan proses audit. Jika data pelanggan disimpan di brankas luar situs yang dikelola oleh orang lain, penyedia layanan pembayaran hanya perlu berfungsi sebagai perantara saat mengirimkan data dari sana ke pedagang mereka sendiri. Yang sama halnya dengan Anda beli sertifikat SSL/TLS Digicert murah dari provider non CA, Anda hanya mendapatkan sertifikatnya tanpa perlu diaudit di setiap kuarter tahun. Dengan demikian, ruang lingkup operasi yang membutuhkan pemeriksaan berkurang.
PCI Compliance Terus Bergerak Maju
PCI Compliance telah menuju ke arah yang salah, dan COVID-19 hanya memperburuk keadaan. Faktanya, simulasi phishing yang dilakukan pada akhir Maret dengan 16.000 peserta menemukan bahwa hampir tiga kali lebih banyak orang yang mengklik tautan dan memasukkan kredensial mereka daripada dari pengujian serupa yang dijalankan pada akhir 2019. Strategi keamanan yang diperlukan oleh PCI DSS dapat membantu memberikan keamanan di waktu yang tidak pasti seperti ini.
Ketika perusahaan membiarkan keamanan siber terbuka, pelanggan mereka sering kali membayar tagihan. Data FTC menunjukkan konsumen AS melaporkan kehilangan $ 1,9 miliar karena penipuan pada tahun 2019, dan 271.000 orang secara khusus dilaporkan menjadi korban penipuan kartu kredit. (Dan itu belum termasuk banyak orang yang tidak repot-repot mengajukan laporan!)
Dengan semakin banyaknya bisnis yang berkonsentrasi pada kehadiran digital mereka, konsumen semakin didorong ke metode pembayaran digital. Kabar baiknya adalah bahwa setiap organisasi mengontrol nasib mereka sendiri dalam kaitannya dengan PCI DSS Compliance, tetapi harus bekerja lebih cerdas dan juga lebih keras untuk mencapai tujuan yang mereka inginkan. Seperti yang telah kita lihat, ini dimulai dengan strategi, kebijakan, dan proses organisasi, yang kemudian harus diterapkan dalam praktik dengan solusi teknologi yang tepat.
Bisnis perlu menjadikan keamanan sebagai fokus jangka panjang, sementara penyedia teknologi harus mendidik dan memberdayakan mereka, semua dengan tujuan bersama untuk menjaga keamanan pelanggan .