Kenapa Data Perusahaan Masih Bisa Dicuri Meski Tidak Ada File yang Hilang?

Ketika mendengar istilah pencurian data, banyak orang membayangkan kondisi ketika file di komputer tiba-tiba menghilang, folder penting terhapus, atau database mengalami kerusakan. Karena itu, selama seluruh file masih tersedia dan sistem tetap berjalan normal, perusahaan sering merasa bahwa data mereka berada dalam kondisi aman. Padahal, pencurian data tidak selalu menyebabkan data asli hilang dari server atau komputer perusahaan.

Pelaku dapat menyalin data perusahaan tanpa menghapus file yang tersimpan pada sistem. Dokumen tetap dapat dibuka oleh karyawan, database tetap berjalan, dan aplikasi masih digunakan seperti biasa. Dari sisi operasional mungkin tidak ada gangguan yang terlihat, tetapi di tempat lain pelaku sudah memiliki salinan data tersebut dan dapat memanfaatkannya untuk berbagai tujuan.

Kondisi ini dikenal sebagai data exfiltration, yaitu proses ketika data dipindahkan secara tidak sah dari lingkungan perusahaan menuju lokasi lain. Data dapat dikirim ke server eksternal, layanan cloud, perangkat penyimpanan tertentu, atau infrastruktur yang dikendalikan oleh pelaku. Masalahnya, proses tersebut tidak selalu mudah diketahui sehingga pencurian data dapat berlangsung tanpa langsung menimbulkan tanda yang terlihat oleh pengguna.

Pencurian Data Tidak Selalu Membuat File Hilang

Dalam sistem komputer, sebuah file dapat disalin tanpa memengaruhi file aslinya. Bayangkan seseorang memiliki dokumen penting di laptop, kemudian orang lain menyalin dokumen tersebut ke perangkat penyimpanan lain. Setelah proses selesai, file asli masih berada di laptop dan pemiliknya tetap dapat membuka dokumen tersebut seperti biasa.

Konsep yang sama dapat terjadi dalam lingkungan perusahaan. Pelaku yang berhasil memperoleh akses ke server atau sistem tertentu tidak selalu perlu menghapus data karena mereka cukup mencari informasi yang dianggap berharga kemudian membuat salinannya. Karena tidak ada file yang hilang atau sistem yang berhenti beroperasi, pengguna mungkin tidak menyadari bahwa telah terjadi insiden keamanan.

Inilah salah satu alasan mengapa kebocoran data terkadang baru diketahui setelah berlangsung cukup lama. Perusahaan mungkin baru menyadari adanya masalah setelah menemukan aktivitas mencurigakan pada log, menerima laporan dari pihak lain, atau mengetahui bahwa informasi internal telah beredar di luar organisasi.

Apa Itu Data Exfiltration?

Data exfiltration adalah proses pemindahan data secara tidak sah dari sebuah sistem atau jaringan menuju lokasi yang tidak seharusnya. Data yang menjadi target dapat berupa informasi pelanggan, database transaksi, dokumen keuangan, source code, credential, informasi produk, hingga berbagai dokumen internal yang memiliki nilai bagi perusahaan.

Pelaku biasanya memilih data berdasarkan nilai informasi yang dimiliki. Database pelanggan dapat dimanfaatkan untuk melakukan penipuan, credential dapat digunakan untuk mengakses sistem lain, sementara informasi bisnis dapat dijual atau digunakan untuk menekan perusahaan. Dalam beberapa kasus, pelaku bahkan menggunakan data yang berhasil dicuri sebagai bagian dari strategi pemerasan.

Karena itu, perusahaan tidak hanya perlu memastikan data tetap tersedia, tetapi juga memastikan informasi tersebut tidak berpindah ke pihak yang tidak berwenang. Keamanan data bukan hanya tentang mencegah file terhapus, tetapi juga mengontrol siapa yang dapat mengakses, menyalin, dan memindahkan informasi.

Sistem Bisa Tetap Berjalan Normal Saat Data Dicuri

Salah satu tantangan terbesar dalam mendeteksi data exfiltration adalah sistem tidak selalu mengalami gangguan. Server tetap online, aplikasi masih dapat digunakan, website tetap dapat diakses, dan karyawan masih dapat membuka dokumen yang dibutuhkan untuk bekerja. Jika perusahaan hanya memantau uptime, penggunaan CPU, memori, dan kapasitas storage, mungkin tidak ada indikator yang terlihat sangat berbahaya.

Pelaku justru dapat berusaha menjaga agar aktivitasnya tidak menyebabkan gangguan yang mudah diketahui. Semakin sedikit perubahan yang dirasakan oleh pengguna, semakin kecil kemungkinan tim IT menerima laporan mengenai masalah pada sistem. Kondisi tersebut memberikan waktu lebih banyak bagi pelaku untuk mencari dan mengumpulkan data yang dianggap penting.

Karena itu, keamanan tidak dapat hanya mengandalkan laporan pengguna atau menunggu sistem mengalami error. Perusahaan perlu memiliki visibilitas terhadap aktivitas pengguna, pola komunikasi jaringan, dan pergerakan data agar perubahan yang tidak biasa dapat diketahui lebih cepat.

Bagaimana Pelaku Mendapatkan Akses ke Data?

Sebelum melakukan data exfiltration, pelaku biasanya perlu memperoleh akses terhadap sistem atau akun tertentu. Salah satu caranya adalah melalui pencurian credential. Jika username dan password pengguna berhasil diperoleh melalui phishing, malware, atau kebocoran credential, pelaku dapat mencoba menggunakan akun tersebut untuk mengakses layanan perusahaan.

Pelaku juga dapat memanfaatkan celah keamanan pada aplikasi atau server yang belum diperbarui. Dalam kondisi lain, kesalahan konfigurasi dapat membuat storage, database, atau layanan tertentu dapat diakses lebih luas dari yang seharusnya. Hak akses pengguna yang terlalu besar juga dapat meningkatkan dampak ketika sebuah akun berhasil diambil alih.

Setelah memperoleh akses, pelaku dapat mulai mempelajari lingkungan target. Mereka mungkin mencari lokasi data penting, memahami struktur folder, melihat aplikasi yang digunakan, atau mencoba mengetahui sistem lain yang dapat diakses menggunakan akun tersebut. Proses ini membuat satu akun yang mengalami kompromi berpotensi menjadi awal dari insiden yang lebih besar.

Pelaku Tidak Selalu Langsung Mengambil Data

Bayangan umum mengenai hacker sering menggambarkan serangan yang berlangsung sangat cepat. Pelaku masuk ke sistem kemudian langsung mengambil seluruh data yang tersedia. Dalam praktiknya, proses pencurian data dapat berlangsung secara lebih bertahap karena pelaku perlu memahami lingkungan target sebelum menentukan informasi yang ingin diambil.

Setelah memperoleh akses awal, pelaku dapat melakukan pengumpulan informasi mengenai sistem, akun, server, dan struktur jaringan perusahaan. Mereka mencoba mengetahui data apa yang tersedia dan sistem mana yang menyimpan informasi dengan nilai paling tinggi. Pelaku juga dapat mencoba meningkatkan hak akses atau berpindah ke sistem lain apabila akun pertama tidak memiliki akses yang cukup.

Semakin lama aktivitas tersebut tidak terdeteksi, semakin besar peluang pelaku menemukan data penting. Inilah mengapa kecepatan deteksi menjadi salah satu faktor penting dalam cyber security karena perusahaan perlu menemukan aktivitas mencurigakan sebelum pelaku memiliki waktu terlalu lama di dalam sistem.

Data Dapat Dikumpulkan Sebelum Dikirim

Mengirim ribuan file satu per satu tentu tidak efisien. Karena itu, pelaku dapat terlebih dahulu mengumpulkan data pada satu lokasi dengan mencari dokumen berdasarkan jenis file, nama tertentu, atau lokasi penyimpanan yang dianggap penting. Setelah data berhasil dikumpulkan, file tersebut dapat dikompresi menjadi satu atau beberapa arsip agar jumlah file yang perlu dipindahkan menjadi lebih sedikit dan proses transfer lebih mudah dilakukan.

Bagi tim keamanan, aktivitas pembuatan file arsip berukuran besar pada server tertentu dapat menjadi salah satu indikator yang perlu diperhatikan. Tentu tidak semua file ZIP atau arsip menunjukkan adanya pencurian data karena proses kompresi juga umum digunakan dalam aktivitas pekerjaan sehari-hari. Namun, jika sebuah akun yang biasanya hanya mengakses beberapa dokumen tiba-tiba membaca ribuan file dan membuat arsip berukuran sangat besar pada waktu yang tidak biasa, aktivitas tersebut perlu dianalisis lebih lanjut.

Konteks menjadi bagian penting dalam proses deteksi. Tim keamanan perlu memahami pola aktivitas normal pengguna dan sistem sehingga perubahan yang signifikan dapat lebih mudah diketahui. Satu aktivitas mungkin belum cukup untuk menyimpulkan adanya serangan, tetapi kombinasi beberapa indikator dapat memberikan gambaran mengenai risiko yang sedang terjadi.

Cloud Storage Dapat Menjadi Jalur Perpindahan Data

Layanan cloud storage memberikan banyak manfaat bagi perusahaan karena karyawan dapat menyimpan dan membagikan dokumen dengan lebih mudah. Namun, kemudahan tersebut juga dapat dimanfaatkan untuk memindahkan data ke luar lingkungan perusahaan apabila kontrol akses dan penggunaan layanan cloud tidak dikelola dengan baik.

Jika perusahaan tidak memiliki kebijakan mengenai layanan cloud yang boleh digunakan, data internal berpotensi diunggah ke storage eksternal atau akun pribadi. Masalahnya, trafik menuju layanan cloud merupakan aktivitas yang sangat umum sehingga proses membedakan aktivitas normal dan aktivitas mencurigakan menjadi lebih kompleks.

Administrator perlu memahami pola penggunaan layanan di dalam perusahaan. Jika sebuah server yang biasanya tidak pernah mengirimkan data ke layanan penyimpanan eksternal tiba-tiba melakukan transfer dalam jumlah besar, aktivitas tersebut perlu diperiksa. Monitoring terhadap tujuan komunikasi dan volume data dapat membantu memberikan konteks terhadap perubahan tersebut.

Email Juga Dapat Menjadi Jalur Kebocoran Data

Data exfiltration tidak selalu menggunakan teknik yang sangat kompleks. Dalam beberapa kondisi, informasi dapat keluar melalui email ketika seorang pengguna mengirimkan dokumen perusahaan ke alamat eksternal. Aktivitas tersebut dapat dilakukan secara sengaja maupun terjadi karena kesalahan pengguna.

Seorang karyawan dapat salah memilih alamat penerima ketika mengirim dokumen penting. Dalam kondisi lain, akun email yang telah mengalami kompromi dapat digunakan oleh pelaku untuk mencari dan meneruskan informasi tertentu. Karena akun tersebut merupakan akun resmi perusahaan, aktivitas awal mungkin terlihat seperti komunikasi pengguna biasa.

Perusahaan perlu memiliki kebijakan yang jelas mengenai pengiriman data sensitif melalui email. Edukasi pengguna, pengelolaan hak akses, dan kontrol terhadap informasi penting dapat membantu mengurangi risiko data dikirim kepada pihak yang tidak seharusnya.

Perangkat USB Masih Menjadi Risiko

Meskipun perusahaan semakin banyak menggunakan layanan cloud, perangkat penyimpanan fisik seperti USB flash drive masih digunakan dalam berbagai aktivitas. Perangkat berukuran kecil tersebut dapat menyimpan data dalam jumlah besar dan memindahkan file tanpa membutuhkan koneksi internet.

Jika komputer perusahaan mengizinkan penggunaan USB tanpa pembatasan, data dapat disalin ke perangkat eksternal. Perusahaan mungkin tidak langsung mengetahui bahwa ribuan dokumen telah dipindahkan karena file asli tetap berada pada komputer atau server.

Inilah alasan mengapa beberapa organisasi menerapkan kebijakan penggunaan removable media. Pembatasan tentu perlu disesuaikan dengan kebutuhan operasional karena tidak semua perusahaan harus memblokir seluruh perangkat USB. Hal yang lebih penting adalah memahami risiko dan menentukan pengguna mana yang memang membutuhkan akses terhadap media penyimpanan eksternal.

Trafik Keluar Juga Perlu Dipantau

Banyak administrator memberikan perhatian besar terhadap trafik masuk atau inbound traffic karena berbagai serangan memang berasal dari luar jaringan. Namun, trafik keluar atau outbound traffic juga memiliki peran penting dalam mendeteksi potensi pencurian data.

Bayangkan sebuah database server yang biasanya hanya berkomunikasi dengan aplikasi internal. Tiba-tiba server tersebut mengirimkan data dalam jumlah sangat besar ke sebuah alamat di internet yang sebelumnya tidak pernah digunakan. Perubahan pola komunikasi seperti ini dapat menjadi indikator yang perlu dianalisis oleh tim IT atau keamanan.

Monitoring outbound traffic membantu perusahaan memahami ke mana perangkat internal berkomunikasi dan berapa besar data yang dikirimkan. Dengan memiliki baseline mengenai pola trafik normal, administrator dapat lebih mudah menemukan perubahan signifikan yang berpotensi menunjukkan adanya aktivitas tidak biasa.

Trafik Terenkripsi Membuat Deteksi Lebih Menantang

Saat ini sebagian besar komunikasi internet menggunakan enkripsi untuk melindungi data ketika dikirim melalui jaringan. HTTPS, VPN, dan berbagai protokol aman memiliki peran penting dalam menjaga kerahasiaan informasi. Namun, dari sisi monitoring keamanan, trafik terenkripsi juga dapat memberikan tantangan tersendiri.

Tim keamanan tidak selalu dapat melihat isi data yang sedang dikirim hanya dengan memeriksa paket jaringan secara sederhana. Karena itu, proses deteksi tidak dapat hanya bergantung pada isi komunikasi. Perusahaan juga perlu memperhatikan metadata dan pola aktivitas seperti ukuran transfer, waktu komunikasi, perangkat pengirim, serta tujuan koneksi.

Jika sebuah perangkat yang biasanya hanya mengirimkan sedikit data tiba-tiba melakukan transfer dalam jumlah besar pada tengah malam, aktivitas tersebut dapat menjadi indikator untuk diperiksa. Meskipun isi trafik tidak langsung diketahui, pola komunikasi dapat memberikan informasi awal yang penting.

Tidak Semua Data Memiliki Tingkat Sensitivitas yang Sama

Perusahaan dapat memiliki ribuan bahkan jutaan file yang tersimpan di berbagai sistem. Tidak seluruh informasi tersebut memiliki tingkat risiko yang sama sehingga organisasi perlu mengetahui data mana yang benar-benar penting dan membutuhkan perlindungan lebih ketat.

Salah satu pendekatan yang dapat digunakan adalah data classification. Data dapat dikelompokkan berdasarkan tingkat sensitivitas, misalnya Public, Internal, Confidential, dan Restricted. Informasi yang memang ditujukan untuk publik tentu memiliki risiko berbeda dibanding database pelanggan, laporan keuangan, atau credential sistem.

Dengan klasifikasi data yang jelas, perusahaan dapat menentukan kontrol keamanan sesuai dengan tingkat sensitivitas informasi. Data penting dapat memiliki aturan akses, monitoring, dan proses distribusi yang lebih ketat dibanding informasi umum.

Prinsip Least Privilege Membantu Membatasi Dampak

Semakin banyak data yang dapat diakses oleh sebuah akun, semakin besar potensi dampak ketika akun tersebut mengalami kompromi. Karena itu, perusahaan perlu menerapkan prinsip Least Privilege, yaitu memberikan hak akses sesuai kebutuhan pekerjaan pengguna.

Sebagai contoh, tim marketing tidak selalu membutuhkan akses terhadap seluruh database keuangan perusahaan. Tim operasional juga mungkin tidak memerlukan akses ke dokumen HR. Dengan membatasi akses berdasarkan fungsi pekerjaan, satu akun yang berhasil diambil alih tidak otomatis memberikan akses ke seluruh informasi perusahaan.

Penerapan Least Privilege bukan berarti mempersulit pekerjaan pengguna. Tujuannya adalah memastikan setiap akun memiliki hak yang sesuai dengan kebutuhan sebenarnya sehingga risiko dapat dibatasi tanpa menghambat operasional.

Data Loss Prevention Membantu Mengontrol Pergerakan Data

Salah satu teknologi yang digunakan untuk membantu melindungi informasi perusahaan adalah Data Loss Prevention atau DLP. Teknologi ini dirancang untuk membantu organisasi mengidentifikasi dan mengontrol pergerakan data sensitif berdasarkan kebijakan yang telah ditentukan.

Sebagai contoh, perusahaan dapat membuat kebijakan agar dokumen tertentu tidak dapat dikirim ke alamat email eksternal. File sensitif dapat dibatasi agar tidak disalin ke perangkat USB, sementara data tertentu tidak diperbolehkan diunggah ke layanan cloud yang belum disetujui perusahaan.

Implementasi DLP tetap perlu dirancang dengan hati-hati. Aturan yang terlalu ketat dapat mengganggu pekerjaan pengguna, sedangkan aturan yang terlalu longgar mungkin tidak memberikan perlindungan yang cukup. Karena itu, perusahaan perlu memahami alur penggunaan data sebelum menentukan kebijakan yang akan diterapkan.

Log Menjadi Penting dalam Proses Investigasi

Ketika perusahaan mencurigai adanya pencurian data, salah satu pertanyaan pertama yang perlu dijawab adalah data apa yang telah diakses dan siapa yang mengaksesnya. Untuk menjawab pertanyaan tersebut, tim membutuhkan informasi dari log sistem.

Log dapat memberikan catatan mengenai waktu login, file yang diakses, perubahan hak akses, koneksi jaringan, aktivitas aplikasi, dan berbagai tindakan lain yang terjadi pada sistem. Informasi tersebut membantu tim keamanan menyusun kronologi insiden dan memahami aktivitas yang dilakukan oleh akun atau perangkat tertentu.

Masalah dapat muncul ketika log tidak dikumpulkan atau hanya disimpan dalam waktu sangat singkat. Jika insiden baru diketahui beberapa bulan kemudian, informasi penting mungkin sudah tidak tersedia. Karena itu, kebijakan pengumpulan dan penyimpanan log perlu disesuaikan dengan kebutuhan keamanan perusahaan.

Insider Threat Juga Perlu Dipertimbangkan

Tidak seluruh pencurian data berasal dari hacker di luar perusahaan. Pengguna internal juga dapat menjadi sumber risiko karena mereka telah memiliki akses yang sah terhadap berbagai sistem dan informasi perusahaan.

Dalam kondisi tertentu, akses tersebut dapat disalahgunakan. Seorang pengguna mungkin mengunduh banyak dokumen sebelum keluar dari perusahaan atau memindahkan informasi internal ke akun pribadi. Namun, insider threat tidak selalu dilakukan secara sengaja karena kesalahan pengguna juga dapat menyebabkan data keluar dari lingkungan perusahaan.

Karyawan dapat salah mengirim dokumen, menggunakan cloud storage pribadi, atau membagikan file kepada pihak yang tidak tepat. Karena itu, perlindungan data perlu menggabungkan security awareness, pengelolaan hak akses, monitoring, dan kontrol teknis agar risiko dari faktor manusia dapat dikurangi.

Kenapa Backup Tidak Menyelesaikan Masalah Data Exfiltration?

Backup sangat penting untuk melindungi perusahaan dari kehilangan data. Ketika file terhapus, server mengalami kerusakan, atau sistem terkena gangguan, backup dapat digunakan untuk melakukan proses recovery.

Namun, data exfiltration memiliki masalah yang berbeda karena data asli tidak selalu hilang. Perusahaan masih memiliki seluruh file, tetapi pihak yang tidak berwenang juga telah memperoleh salinannya. Melakukan restore dari backup tentu tidak dapat menarik kembali data yang sudah berada di tangan pelaku.

Karena itu, strategi backup dan strategi perlindungan terhadap kebocoran data memiliki tujuan yang berbeda. Perusahaan tetap membutuhkan backup untuk menjaga ketersediaan informasi, tetapi juga perlu memiliki kontrol keamanan yang membantu mencegah dan mendeteksi perpindahan data secara tidak sah.

Kenapa Topik Data Exfiltration Penting Dipelajari?

Perusahaan modern menghasilkan dan menyimpan data dalam jumlah yang semakin besar. Informasi tersebut dapat tersebar pada server, komputer karyawan, database, layanan cloud, dan berbagai aplikasi yang saling terhubung. Semakin kompleks lingkungan IT, semakin banyak pula jalur yang perlu diperhatikan dalam proses perlindungan data.

Network Engineer perlu memahami pola trafik dan komunikasi antar sistem, sementara System Administrator perlu mengetahui siapa yang memiliki akses terhadap server dan file. Cloud Engineer perlu mengelola permission serta aktivitas layanan cloud, sedangkan Cyber Security Professional perlu mampu menghubungkan berbagai indikator untuk mendeteksi potensi kebocoran data.

Data exfiltration menunjukkan bahwa keamanan tidak hanya tentang menjaga sistem tetap online. Perusahaan juga perlu memahami bagaimana data digunakan, siapa yang mengaksesnya, dan ke mana informasi tersebut bergerak.

Kesimpulan

Pencurian data tidak selalu menyebabkan file hilang dari komputer atau server perusahaan. Dalam data exfiltration, pelaku dapat membuat salinan data kemudian memindahkannya ke lokasi lain tanpa menghapus informasi asli. Akibatnya, sistem tetap berjalan normal dan karyawan masih dapat menggunakan seluruh file seperti biasa.

Data dapat keluar melalui berbagai jalur, mulai dari layanan cloud, email, perangkat USB, hingga komunikasi jaringan. Karena itu, perusahaan perlu memiliki visibilitas terhadap akses data dan pola komunikasi sistem. Penerapan data classification, Least Privilege, Data Loss Prevention, monitoring outbound traffic, pengelolaan log, dan security awareness dapat membantu mengurangi risiko kebocoran informasi.

Dalam keamanan informasi, memastikan file masih tersedia saja belum cukup. Perusahaan juga perlu memastikan bahwa data penting tidak disalin, dipindahkan, atau berada di tangan pihak yang tidak berwenang tanpa diketahui.

Ingin Belajar Networking dan Cyber Security Lebih Dalam?

Cek pilihan training lengkap di sini:
Training IDN

Info lengkap training dan pendaftaran bisa hubungi admin kami:
WhatsApp IDN

Alamat:
Jl. Pal Merah Utara II No.245, RT.9/RW.16, Palmerah, Kec. Palmerah, Kota Jakarta Barat, DKI Jakarta, Indonesia, Kode Pos 11480