Insider Threat

Insider threat adalah potensi bahaya yang muncul ketika seseorang yang memiliki akses internal ke sistem atau data perusahaan menyalahgunakan akses tersebut, baik secara sengaja maupun tidak. Individu-individu ini bisa berasal dari berbagai kalangan: karyawan tetap yang frustrasi, kontraktor lepas yang lalai, mitra bisnis yang ceroboh, atau bahkan mantan karyawan yang kredensial aksesnya belum dicabut .

Berbagai Jenis Insider Threat

Memahami berbagai jenis insider threat (Ancaman dari Dalam) bukan hanya sekadar pengetahuan teknis, tetapi kebutuhan mendesak untuk keselamatan organisasi. Data membuktikan bahwa biaya rata-rata pelanggaran data yang diprakarsai oleh orang dalam jahat mencapai USD 4,99 juta, menurut laporan IBM. Lebih mengkhawatirkan lagi, studi Ponemon Institute menunjukkan bahwa insiden yang disebabkan oleh ancaman orang dalam meningkat 47% dan waktu yang dibutuhkan untuk mengatasinya bisa lebih dari 90 hari, dengan kerugian mencapai USD 13,71 juta per tahun. Artinya, mengabaikan risiko ini sama saja dengan membiarkan organisasi berjalan dengan bom waktu di tangan.

Para ahli keamanan siber mengkategorikan ancaman orang dalam berdasarkan niat dan asal serangannya. Klasifikasi ini membantumu memahami akar masalah dan merancang strategi pencegahan yang tepat. Berikut adalah jenis-jenis Insider Threat:

1. Malicious Insider

Malicious insider adalah individu yang dengan sengaja dan sadar merugikan organisasi tempatnya bernaung. Motivasi mereka beragam, mulai dari keinginan balas dendam karena kecewa dengan perusahaan (tidak mendapat promosi atau bonus), tekanan finansial yang mendorongnya menjual data, hingga spionase industri atas nama pesaing atau negara lain .

Cara kerjanya bisa sangat halus karena mereka memahami sistem keamanan perusahaan. Seorang karyawan yang kecewa, misalnya, dapat mengunduh ribuan file data pelanggan sebelum mengundurkan diri atau memasukkan malware yang akan merusak sistem dari dalam. Contoh ekstrem lainnya adalah kolaborasi dengan pihak eksternal, seperti yang diungkap dalam laporan Check Point Research, di mana peretas menawarkan imbalan hingga USD 15.000 kepada orang dalam untuk memberikan kredensial akses atau menonaktifkan alat keamanan .

Kasus nyata yang menggambarkan bahayanya adalah gugatan terhadap mantan pengembang Headlands Technologies, Richard Ho. Ia dituduh menyalin kode sumber perdagangan proprietary perusahaan untuk membangun usaha saingannya sendiri. Kasus ini menunjukkan bahwa malicious insider sering kali adalah “lone wolf” yang bekerja sendiri, atau “collaborator” yang bekerja sama dengan pihak ketiga .

2. Negligent Insider

Tidak semua ancaman datang dari niat jahat. Faktanya, jenis ancaman yang satu ini justru paling umum dan sering diremehkan. Negligent insider adalah karyawan yang ceroboh atau lalai dalam mengikuti prosedur keamanan, sehingga tanpa sengaja membuka celah bagi terjadinya insiden. Mereka tidak bermaksud merugikan perusahaan, tetapi tindakan mereka menciptakan risiko yang sama besarnya.

Contoh dari kelalaian ini adalah:

• Terkena Phishing: Seorang karyawan mengklik tautan berbahaya dalam email yang tampak resmi, memberikan akses kepada peretas ke jaringan internal .
• Kesalahan Konfigurasi: Mengirim file berisi informasi sensitif ke penerima yang salah.
• Praktik Buruk: Menggunakan kata sandi lemah, menyimpan kredensial di tempat terbuka, atau mengakses data perusahaan melalui Wi-Fi publik tanpa VPN .
• Pelanggaran Kebijakan: Membawa data perusahaan ke perangkat pribadi yang tidak aman untuk bekerja dari rumah, meskipun hal itu dilarang.

Statistik menunjukkan betapa dominannya ancaman ini. Laporan Ponemon Institute tahun 2020 menyatakan bahwa 63% dari ancaman orang dalam disebabkan oleh kelalaian karyawan. Studi lain bahkan menyebut angka lebih tinggi, di mana 56% ancaman orang dalam adalah akibat dari kecerobohan atau kelalaian . Ini membuktikan bahwa “human error” adalah salah satu faktor keamanan siber terlemah.

3. Compromised Insider

Berbeda dengan dua jenis sebelumnya, compromised insider tidak melibatkan niat atau kelalaian langsung dari pemilik akun dalam melancarkan serangan. Pada tipe ini, akun atau kredensial milik karyawan yang sah berhasil diretas dan diambil alih oleh pihak eksternal. Dari sudut pandang sistem, semua aktivitas yang dilakukan peretas terlihat seolah-olah berasal dari pengguna yang sah dan tepercaya.

Bayangkan seorang peretas berhasil mencuri kata sandi seorang manajer melalui serangan phishing atau keylogger. Peretas tersebut kemudian masuk ke sistem perusahaan, berpura-pura menjadi manajer itu, dan mulai mengumpulkan informasi atau menyebarkan malware. Organisasi mungkin tidak akan curiga karena login berasal dari akun yang benar dan pada jam kerja yang wajar.

Serangan ini sering kali berawal dari kelalaian (seperti karyawan yang mudah tertipu), tetapi puncaknya adalah pengambilalihan akun. Contohnya adalah insiden di platform trading Robinhood tahun 2021, di mana seorang penipu menggunakan rekayasa sosial (vishing) untuk mendapatkan kredensial akses ke sistem dukungan pelanggan, yang mengakibatkan pencurian jutaan data pelanggan .

4. Third-Party Insider

Di era kolaborasi bisnis yang erat, akses tidak lagi hanya dimiliki oleh karyawan tetap. Vendor, kontraktor, mitra bisnis, dan penyedia layanan juga sering kali diberikan hak akses ke sistem internal untuk mendukung operasional. Kelompok inilah yang disebut sebagai third-party insider. Mereka bisa menjadi vektor serangan yang sangat berbahaya karena pengawasan terhadap mereka sering kali tidak seketat kepada karyawan tetap .

Seorang mitra bisnis dengan akses terbatas ke server perusahaan, misalnya, bisa saja menjadi malicious insider jika ia mencuri data rahasia untuk dijual ke kompetitor. Atau, ia bisa menjadi compromised insider jika perangkatnya sendiri lemah dan diretas, sehingga menjadi pintu masuk bagi peretas untuk menyusup ke jaringan kliennya. Kasus pencurian kode sumber Headlands juga menyoroti bagaimana akses yang diberikan kepada karyawan (yang dalam konteks ini adalah “orang dalam”) dapat menjadi bumerang jika tidak dikelola dengan kontrol akses yang ketat .

5. Insider Threat Lainnya

Beberapa literatur juga menyebutkan tipe ancaman lain yang merupakan variasi dari kategori di atas, atau perspektif berbeda dalam melihat ancaman:

• Infiltrator (Mole): Individu yang sengaja melamar pekerjaan atau menyusup ke dalam organisasi dengan tujuan utama untuk melakukan spionase atau sabotase sejak awal. Ini berbeda dengan karyawan yang awalnya baik lalu berubah menjadi jahat .
• Kolusi: Bentuk kerja sama antara satu atau lebih orang dalam (bisa malicious atau negligent) dengan aktor eksternal untuk mencapai tujuan bersama, seperti yang dijelaskan dalam skenario perekrutan orang dalam di forum gelap .
• Unintentional Insider: Istilah ini sering digunakan tumpang tindih dengan negligent insider, merujuk pada ancaman yang terjadi tanpa niat, bisa karena kurangnya pelatihan (ignorant) atau karena kecerobohan (negligent) .
• Disengaja vs. Tidak Disengaja: Klasifikasi paling dasar ini membagi insider threat berdasarkan ada tidaknya unsur kesengajaan.

Mengapa Ancaman Ini Begitu Berbahaya dan Sulit Dideteksi?

Kenapa perusahaan lebih ketakutan dengan ancaman dari dalam daripada serangan hacker biasa? Jawabannya sederhana: karena pelaku sudah memiliki kunci pintu depannya. Insider threat memanfaatkan jalur dan alat yang sah, sehingga sangat sulit dibedakan dari aktivitas kerja normal . Mereka tidak perlu meretas firewall karena mereka sudah berada di dalam benteng.

Data terbaru mengungkapkan fakta yang mengkhawatirkan. Sebuah laporan Insider Risk Report 2025 yang dipublikasikan oleh Cybersecurity Insiders menemukan bahwa 93% organisasi mengakui bahwa mendeteksi ancaman dari dalam sama sulitnya, atau bahkan lebih sulit, dibandingkan serangan dari luar. Yang lebih memprihatinkan, hanya 23% dari pemimpin keamanan yang merasa percaya diri mampu menghentikan ancaman ini sebelum menimbulkan kerusakan serius. Ini menunjukkan adanya kesenjangan besar antara kesadaran akan risiko dan kapabilitas untuk menanganinya.

Dampak finansialnya pun luar biasa. Laporan yang sama mengungkap bahwa 41% responden mengalami kerugian antara 1 juta hingga 10 juta dolar akibat insiden orang dalam yang paling serius. Kerugian ini tidak hanya biaya pemulihan teknis, tetapi juga denda regulasi, gugatan hukum, dan yang paling parah adalah rusaknya reputasi perusahaan di mata publik.

Cara Mencegah dan Menanggulangi Insider Threat

Menghadapi ancaman orang dalam membutuhkan pendekatan holistik yang menggabungkan teknologi, kebijakan, dan sumber daya manusia. Kamu tidak bisa hanya mengandalkan satu jenis pertahanan. Berikut adalah strategi komprehensif yang direkomendasikan oleh para ahli, termasuk panduan dari NASA dan FINRA :

1. Terapkan Prinsip Zero Trust dan Least Privilege

Filosofi Zero Trust “jangan pernah percaya, selalu verifikasi.” Ini berarti setiap akses ke sistem dan data, bahkan dari dalam, harus selalu diautentikasi dan diotorisasi. Terapkan hak akses minimum, di mana karyawan hanya diberikan akses ke informasi yang benar-benar mereka butuhkan untuk bekerja. Jika seorang staf magang tidak perlu mengakses data gaji direktur, jangan beri dia akses .

2. Perkuat Manajemen Identitas dan Akses (IAM)

Kelola siklus hidup identitas digital dengan ketat. Saat karyawan bergabung, beri akses sesuai peran. Saat mereka pindah posisi, segera sesuaikan hak aksesnya. Dan yang terpenting, saat mereka keluar—apapun alasannya—lakukan offboarding yang benar dengan segera menonaktifkan semua akun dan kredensial mereka tanpa penundaan. Laporan Ponemon menunjukkan bahwa manajemen identitas memberikan penghematan biaya terbesar, yaitu USD 6,1 juta per tahun, dalam program mitigasi risiko orang dalam .

3. Gunakan Teknologi Pemantauan Cerdas (UEBA)

Mengandalkan log biasa tidak akan cukup. Manfaatkan teknologi User and Entity Behavior Analytics (UEBA) yang didukung kecerdasan buatan. UEBA mempelajari pola perilaku normal pengguna, kemudian akan memberi peringatan jika mendeteksi anomali, seperti karyawan yang mengunduh data dalam jumlah besar atau mencoba login dari lokasi yang tidak biasa. Kecerdasan perilaku ini terbukti memberikan penghematan signifikan, mencapai USD 5,1 juta per tahun.

4. Audit Rutin dan Tinjauan Akses Berkala

Jangan pernah berasumsi bahwa semua baik-baik saja. Lakukan audit keamanan secara berkala untuk meninjau siapa memiliki akses ke apa. Pastikan tidak ada akun-akun “hantu” yang sudah tidak aktif namun masih memiliki hak istimewa. Proses ini membantu mengidentifikasi potensi ancaman sebelum membesar .

5. Bangun Budaya Keamanan Melalui Pelatihan Berkelanjutan

Teknologi secanggih apapun tidak akan berarti jika manusianya lemah. Investasikan waktu dan sumber daya untuk pelatihan kesadaran keamanan secara rutin dan menarik. Ajarkan karyawan cara mengenali email phishing, pentingnya menggunakan kata sandi kuat, dan prosedur yang benar dalam menangani data sensitif. Studi menunjukkan bahwa perusahaan dengan pelatihan karyawan yang baik dapat menghemat rata-rata USD 285.629 lebih rendah per pelanggaran data.

6. Siapkan Rencana Respons Insiden

Meski sudah berupaya maksimal, insiden tetap bisa terjadi. Miliki rencana respons insiden yang jelas dan teruji. Rencana ini harus mencakup langkah-langkah untuk mengisolasi sistem yang terdampak, menyelidiki akar masalah, memulihkan data, dan melaporkan insiden kepada pihak berwenang jika diperlukan . Kecepatan dan ketepatan respons sangat menentukan besar kecilnya kerugian akhir.

Ciri-Ciri Serangan Insider Threat

Meskipun sulit dideteksi, bukan berarti mustahil. Ada sinyal-sinyal tertentu yang bisa kamu pelajari dan waspadai. Kombinasi antara sinyal teknis dan perubahan perilaku sering kali menjadi petunjuk utama.

Dari sisi teknis, kamu perlu waspada jika ada aktivitas anomali seperti:

• Seorang karyawan tiba-tiba mengunduh data dalam jumlah besar, apalagi di luar jam kerja atau saat akan mengundurkan diri.
• Mencolokkan USB yang tidak dikenal atau mencoba menonaktifkan software keamanan di perangkat kerjanya .
• Pembuatan aturan email yang mencurigakan seperti membuat aturan auto-forwarding untuk mengirim semua email ke akun pribadi .

Sementara dari sisi perilaku, perhatikan perubahan seperti:

• Indikator pribadi misalnya masalah keuangan, ketidakpuasan kerja yang diutarakan secara terbuka, atau konflik dengan rekan kerja dan atasan.
• Enggan mengikuti prosedur keamanan atau mencoba menyembunyikan layar komputernya saat ada orang lain lewat.

Sayangnya, banyak organisasi masih mengabaikan sinyal-sinyal non-teknis ini. Laporan Insider Risk Report 2025 mencatat bahwa hanya 21% perusahaan yang secara ekstensif mengintegrasikan sinyal dari sumber daya manusia (HR) atau indikator psikososial ke dalam sistem deteksi mereka. Akibatnya, mereka hanya melihat sebagian kecil dari gambaran besar.

Studi Kasus Lainnya

Untuk memahami betapa nyata dan dahsyatnya ancaman ini, mari lihat beberapa contoh insider threat yang pernah menggemparkan dunia :

• Kasus Edward Snowden (2013): Sebagai kontraktor NSA, Snowden memiliki akses sah ke dokumen-dokumen rahasia pemerintah AS. Ia kemudian membocorkan ribuan dokumen tersebut ke publik, mengungkapkan program pengawasan massal yang kontroversial. Kasus ini menjadi simbol betapa satu orang dengan akses istimewa dapat mengguncang keamanan nasional sebuah negara adidaya.
• Insiden Morgan Stanley (2015): Seorang karyawan di perusahaan jasa keuangan raksasa ini mencuri data pribadi sekitar 350.000 nasabah. Data tersebut kemudian dijual kepada pihak ketiga, menyebabkan kerugian finansial dan reputasi yang sangat besar bagi perusahaan.
• Kasus Cisco (2018): Seorang insinyur yang kecewa setelah diberhentikan melakukan akses tidak sah ke infrastruktur cloud perusahaan dan menghapus 456 mesin virtual, menyebabkan kerusakan operasional yang parah. Insiden ini menggarisbawahi pentingnya proses offboarding yang ketat.

Sebagai penutup, menghadapi insider threat memang seperti bermain catur melawan lawan yang tidak terlihat. Namun, dengan kombinasi tepat antara teknologi canggih, kebijakan yang humanis, dan kewaspadaan kolektif, kamu bisa mengubah karyawan dari titik terlemah menjadi benteng terkuat. Karena pada akhirnya, keamanan siber yang sesungguhnya lahir dari kesadaran bahwa menjaga data perusahaan adalah tanggung jawab kita bersama, dimulai dari diri sendiri.

 Jangan ragu untuk membagikan artikel ini ke rekan-rekanmu yang juga peduli dengan keamanan data perusahaan. Karena berbagi pengetahuan adalah langkah pertama menuju ekosistem digital yang lebih aman! (ATTILA)

Baca juga:

• Perkembangan AI di Indonesia dan Cara Kamu Bisa Ikut Ambil Bagian
• 7 Tools Data Analyst Dari Pemula Hingga Expert
• Cara Setting Email Pemerintah di iOS/ Android, dan Laptop
• Cari Tahu Pekerjaan Data Analyst Seperti Apa?

Pertanyaan yang Sering Diajukan (FAQ)

1. Apa perbedaan utama antara insider yang lalai dan insider yang jahat?

Insider lalai (negligent) tidak memiliki niat untuk merugikan perusahaan; mereka melakukan kesalahan karena ketidaktahuan atau kecerobohan, seperti terjebak phishing. Sementara insider jahat (malicious) memiliki niat buruk dan sengaja menyalahgunakan aksesnya untuk mencuri data atau merusak sistem demi keuntungan pribadi atau balas dendam.

2. Teknologi apa yang paling efektif untuk mendeteksi ancaman dari dalam?

Tidak ada satu teknologi pun yang bisa menjawab semuanya. Kombinasi beberapa solusi seperti UEBA (User and Entity Behavior Analytics) untuk mendeteksi anomali perilaku, DLP (Data Loss Prevention) untuk mencegah kebocoran data, dan PAM (Privileged Access Management) untuk mengamankan akun-akun penting adalah pendekatan yang paling efektif.

3. Bagaimana cara menangani karyawan yang terdeteksi melakukan aktivitas berisiko?

Respons harus proporsional. Mulai dengan investigasi untuk memahami konteksnya. Bila terbukti lalai, berikan pembinaan dan pelatihan ulang. Jika ada indikasi niat jahat, libatkan tim HR dan legal untuk proses investigasi internal dan pengambilan tindakan disiplin yang sesuai.

4. Apa langkah pertama yang bisa saya lakukan untuk memulai program insider threat di perusahaan?

Mulailah dengan membentuk tim kecil lintas fungsi yang terdiri dari perwakilan keamanan, HR, dan legal. Kemudian, identifikasi “permata mahkota” atau data paling sensitif di perusahaanmu dan tentukan satu atau dua skenario risiko tertinggi untuk difokuskan, misalnya memantau akun karyawan yang baru saja mengundurkan diri.