Berita utama terus berlimpah tentang pelanggaran data di Facebook.
Sama sekali berbeda dari peretasan situs di mana informasi kartu kredit baru saja dicuri di pengecer besar, perusahaan yang bersangkutan, Cambridge Analytica, memang memiliki hak untuk benar-benar menggunakan data ini.
Sayangnya mereka menggunakan informasi ini tanpa izin dan dengan cara yang menipu baik pengguna Facebook maupun Facebook itu sendiri.
CEO Facebook Mark Zuckerberg telah berjanji untuk membuat perubahan untuk mencegah jenis penyalahgunaan informasi ini terjadi di masa depan, tetapi tampaknya banyak dari penyesuaian itu akan dilakukan secara internal.
Pengguna individu dan bisnis masih perlu mengambil langkah mereka sendiri untuk memastikan informasi mereka tetap terlindungi dan seaman mungkin.
Bagi individu, proses untuk meningkatkan perlindungan online cukup sederhana. Ini dapat berkisar dari meninggalkan situs-situs seperti Facebook sama sekali, hingga menghindari apa yang disebut situs permainan dan kuis gratis di mana Anda diminta untuk memberikan akses ke informasi Anda dan informasi teman-teman Anda.
Pendekatan terpisah adalah menggunakan akun yang berbeda. Satu dapat digunakan untuk akses ke situs keuangan penting. Yang kedua dan lainnya dapat digunakan untuk halaman media sosial. Menggunakan berbagai akun dapat membuat lebih banyak pekerjaan, tetapi menambahkan lapisan tambahan untuk menjauhkan penyusup dari data kunci Anda.
Bisnis di sisi lain membutuhkan pendekatan yang lebih komprehensif. Sementara hampir semua menggunakan firewall, daftar kontrol akses, enkripsi akun, dan banyak lagi untuk mencegah peretasan, banyak perusahaan gagal mempertahankan kerangka kerja yang mengarah ke data.
Salah satu contohnya adalah perusahaan yang mempekerjakan akun pengguna dengan aturan yang memaksa perubahan kata sandi secara teratur, tetapi lemah dalam mengubah kredensial perangkat infrastruktur mereka untuk firewall, router, atau kata sandi sakelar. Faktanya, banyak dari ini, tidak pernah berubah.
Mereka yang menggunakan layanan data web juga harus mengubah kata sandi mereka. Nama pengguna dan kata sandi atau kunci API diperlukan untuk mengaksesnya yang dibuat saat aplikasi dibangun, tetapi sekali lagi jarang diubah. Seorang mantan anggota staf yang mengetahui kunci keamanan API untuk gerbang pemrosesan kartu kredit mereka, dapat mengakses data tersebut meskipun mereka tidak lagi bekerja di bisnis tersebut.
Hal-hal bisa menjadi lebih buruk. Banyak bisnis besar menggunakan perusahaan tambahan untuk membantu dalam pengembangan aplikasi. Dalam skenario ini, perangkat lunak disalin ke server perusahaan tambahan dan mungkin berisi kunci API yang sama atau kombinasi nama pengguna/kata sandi yang digunakan dalam aplikasi produksi. Karena sebagian besar jarang diubah, pekerja yang tidak puas di perusahaan pihak ketiga sekarang memiliki akses ke semua informasi yang mereka butuhkan untuk mengambil data.
Proses tambahan juga harus diambil untuk mencegah terjadinya pelanggaran data. Ini termasuk…
• Mengidentifikasi semua perangkat yang terlibat dalam akses publik terhadap data perusahaan termasuk firewall, router, sakelar, server, dll. Kembangkan daftar kontrol akses (ACL) terperinci untuk semua perangkat ini. Sekali lagi, ubah kata sandi yang sering digunakan untuk mengakses perangkat ini, dan ubah ketika ada anggota di ACL mana pun di jalur ini yang meninggalkan perusahaan.
• Mengidentifikasi semua kata sandi aplikasi yang disematkan yang mengakses data. Ini adalah kata sandi yang “dibangun” ke dalam aplikasi yang mengakses data. Ubah kata sandi ini sesering mungkin. Ubahlah jika ada orang yang mengerjakan salah satu paket perangkat lunak ini meninggalkan perusahaan.
• Saat menggunakan perusahaan pihak ketiga untuk membantu pengembangan aplikasi, buat kredensial pihak ketiga yang terpisah dan sering-seringlah mengubahnya.
• Jika menggunakan kunci API untuk mengakses layanan web, mintalah kunci baru saat orang yang terlibat dalam layanan web tersebut meninggalkan perusahaan.
• Antisipasi bahwa pelanggaran akan terjadi dan kembangkan rencana untuk mendeteksi dan menghentikannya. Bagaimana perusahaan melindungi dari hal ini? Ini agak rumit tetapi tidak di luar jangkauan. Sebagian besar sistem basis data memiliki audit yang terpasang di dalamnya, dan sayangnya, itu tidak digunakan dengan benar atau tidak digunakan sama sekali.
Contohnya adalah jika database memiliki tabel data yang berisi data pelanggan atau karyawan. Sebagai pengembang aplikasi, orang akan mengharapkan aplikasi untuk mengakses data ini, namun, jika kueri ad-hoc dilakukan yang menanyakan sebagian besar data ini, audit basis data yang dikonfigurasi dengan benar harus, minimal, memberikan peringatan bahwa ini sedang terjadi. .
• Memanfaatkan manajemen perubahan untuk mengontrol perubahan. Perangkat lunak Manajemen Perubahan harus diinstal agar lebih mudah dikelola dan dilacak. Kunci semua akun non-produksi hingga Permintaan Perubahan aktif.
• Jangan mengandalkan audit internal. Ketika sebuah perusahaan mengaudit dirinya sendiri, mereka biasanya meminimalkan potensi kekurangan. Yang terbaik adalah menggunakan pihak ketiga untuk mengaudit keamanan Anda dan mengaudit kebijakan Anda.
Banyak perusahaan menyediakan layanan audit tetapi seiring waktu penulis ini telah menemukan pendekatan forensik bekerja paling baik. Menganalisis semua aspek kerangka kerja, membangun kebijakan dan memantaunya adalah suatu keharusan. Ya, memang sulit untuk mengubah semua perangkat dan kata sandi yang disematkan, tetapi lebih mudah daripada menghadapi pengadilan opini publik ketika terjadi pelanggaran data.