Hanya dua dari 100 perusahaan terdaftar teratas di Timur Tengah yang melaporkan insiden keamanan siber pada tahun lalu, menurut pertahanan perusahaan pemindaian kerentanan Kartu Skor Keamanannamun sebagian besar insiden di wilayah tersebut tidak dilaporkan, katanya.
Kartu Skor Keamanan Temuan ini menyoroti rekor yang mengesankan di Timur Tengah dan Afrika Utara (MENA) bila dibandingkan dengan Eropa, di mana 18 dari 100 perusahaan teratas mengalami pelanggaran keamanan, dan di AS, di mana 21% perusahaan di indeks pasar saham S&P 500 terkena dampaknya. .
negara-negara Teluk khususnya miliki berinvestasi besar-besaran dalam keamanan siber untuk mencegah serangan-serangan yang merajalela di kawasan ini seiring dengan transformasinya dari pusat menjadi kendali negara petro-Negara-negara dengan perekonomian yang beragam lebih bergantung pada komunikasi informasi yang rentan. Namun para ahli mengatakan mereka masih tertinggal dari Uni Eropa dan AS dalam hal undang-undang yang diperlukan untuk menjamin pelaporan terbuka yang dianggap perlu untuk ketahanan.
RYAN Sherstobitoffwakil presiden penelitian di Kartu Skor Keamananmengatakan dia yakin sebagian besar pelanggaran keamanan yang dialami perusahaan besar MENA tahun lalu tidak dilaporkan.
“Menurut saya mungkin 80% tidak dilaporkan,” katanya. “Timur Tengah tidak diharuskan melaporkan pelanggaran dengan cara yang sama seperti Amerika Utara, atau bahkan beberapa lokasi di Eropa. Jadi, itu tidak akan pernah direkam.”
Ketika pelanggaran keamanan di MENA diketahui publik, hal itu biasanya terjadi karena peretas telah menyerang anak perusahaan asing yang peraturan dalam negerinya mengharuskan perusahaan tersebut melaporkan kejadian tersebut, kata Sherstobitoff. Selain itu, situasi geopolitik memicu lebih banyak serangan dibandingkan di tempat lain. Empat perlima dari 100 perusahaan teratas di MENA berada di negara-negara Teluk – biasanya bank milik negara, perusahaan energi, dan utilitas.
Kartu Skor Keamanan tidak menyatakan bahwa data tersebut tidak dapat diandalkan ketika, setelah dipublikasikan temuannya pada bulan November, itu diklaim itu 100 perusahaan teratas di MENA mengalahkan pesaingnya di Eropa dalam hal keamanan siber. Pihaknya mendistribusikan siaran pers yang membuat klaim tersebut secara pribadi, namun tidak mempublikasikannya dengan rilis lain di halaman media publiknya.
Mereka juga tidak mencantumkan nama-nama perusahaan dalam laporannya, meskipun mereka menyatakan bahwa mereka melakukan tindakan yang berisiko terhadap dunia maya seperti yang dilakukan lembaga pemeringkat kredit terhadap investor keuangan. Ini memindai 15 juta perusahaan untuk mencari kerentanan dan melacak laporan serangan peretasan, tetapi hanya perusahaan yang membayar yang dapat melihat peringkatnya. Ia menjual layanannya di wilayah tersebut.
Calon lembaga pemeringkat tersebut mencatat adanya korelasi antara perusahaan-perusahaan yang melaporkan tidak ada pelanggaran dan perusahaan-perusahaan yang mendapat nilai ‘A’, setelah menilai pemindaian terperinci dia melakukan kerentanan keamanan mereka, bersama dengan laporan insiden. Pelanggaran mengurangi peringkat perusahaan secara signifikan, namun hanya sebentar, menurut metodologinya.
Hal ini memberikan separuh dari 100 perusahaan teratas di MENA mendapat peringkat A – dua kali lebih tinggi dari Eropa, dan seperlima lebih tinggi dari S&P 500 AS. Kartu Skor Keamanan memberi peringkat 84 dari 100 sebagai A atau B. Kekuatan keamanan siber di MENA, yang secara luas dikaitkan dengan investasi besar-besaran, terbukti dalam indeks global ITUdengan perekonomian negara-negara Teluk termasuk yang paling aman di dunia.
kejadian MENA laporan yang tampak lebih dapat diandalkan melibatkan serangan tidak langsung, dengan 84 dari 100 perusahaan teratas mengakui bahwa mereka mengalami pelanggaran yang disebabkan oleh kesalahan pemasok mereka, menurut Kartu Skor Keamanan. Hampir setiap perusahaan terkemuka di Uni Eropa melaporkan hal yang sama. Seorang juru bicara mengatakan bahwa hal itu tidak menghasilkan pelanggaran pihak ketiga yang sebanding dengan perusahaan-perusahaan AS.
Ross Brewer, seorang pakar dengan pengalaman mendalam mengenai keamanan tingkat tinggi di kawasan, mengatakan pengeluaran besar-besaran di MENA untuk ketahanan siber tidak sebaik itu. pada kenyataannya sebagai di atas kertas. “Di masyarakat Barat, berita buruk menyebar dengan cepat. Di Timur Tengah, jika pemerintah terlibat dalam hal ini, berita buruk tidak akan menyebar sama sekali. Ketika Anda membangun masa depan utopis yang akan menarik wisatawan global, Anda ingin menampilkan citra terbaik,” ujarnya.
Perusahaan-perusahaan “di negara-negara megah ini” tidak melaporkan insiden tersebut karena budayanya mendorong penyelamatan muka yang bermartabat, kata Brewer. Kontrol ketat pemerintah terhadap semua komunikasi masuk dan keluar kawasan, dan secara internal, efektif dalam menangkap penyerang. Tapi investasi MENA di dunia maya pertahananmenurut Brewer, dilakukan secara tergesa-gesa, buruk, dan dilakukan sedikit demi sedikit oleh ekspatriat yang meninggalkan arsitektur keamanan yang retak dan rentan. Masyarakat takut untuk bersuara, katanya.
Bharat Raigangaripenasihat dewan konsultan keamanan Dubai 1CxO, sebuah perusahaan yang memiliki perusahaan besar di wilayah tersebut, mengatakan bahwa lembaga pemeringkat keamanan independen adalah hal yang dibutuhkan wilayah tersebut untuk mengatasi masalah keamanan yang tersirat dari pelanggaran pihak ketiga. Raigangari mengatakan sedang mencoba untuk menciptakannya, dengan dukungan dari Dewan keamanan siber UEA, “btapi itu lebih mudah diucapkan daripada dilakukan”.
Memang benar bahwa di MENA terdapat lebih sedikit insiden yang dilaporkan karena perusahaan tidak mau melaporkannya, katanya. Namun keamanan di kawasan ini, dan peraturannya, berkembang dengan cepat dan bisa mengejar ketertinggalan dari negara-negara Barat.
Para ahli di wilayah tersebut negara bertepuk tangan pihak berwenang atas kemajuan mereka dalam membangun dunia maya pertahanan dan memberlakukan peraturan perundang-undangan.
Yedhu Krishna Menon, kepala keamanan siber pihak ketiga di sebuah bank MENA, yang meminta atasannya untuk tetap anonim karena secara budaya tidak dapat diterima untuk mengungkapkan hal tersebut, mengatakan bahwa insiden yang dilaporkan rendah karena tingkat keamanan di wilayah tersebut. pertahanan sangat bagus.
Meskipun menyembunyikan pelanggaran keamanan untuk menyelamatkan muka tidak hanya terjadi di MENA, kekhawatiran yang lebih besar adalah “rusaknya reputasi, ketakutan akan publisitas negatif, stigma – ini adalah masalah global”, katanya.
“Mereka tidak melaporkan mayoritas karena mereka tidak ingin kehilangan bisnis,” tambahnya. Budaya MENA juga mengalami kemajuan. “Ini tidak seperti 10 tahun yang lalu.”
Para penyerang, yang bertujuan untuk menjatuhkan perekonomian dan mengeksploitasi kerentanan yang ditimbulkan oleh perekonomian yang sedang bertransformasi di kawasan ini, hanya mendorong negara-negara MENA untuk menerapkan kebijakan ini. peraturan untuk mendorong investasi di bidang keamanan. Dorongan regulasi sangat penting dan tidak seperti di tempat lain di dunia, kata Menon.
Munir bawahan, seorang partner di firma hukum Taylor Wessing di Dubaimengatakan bahwa merupakan praktik umum bagi perusahaan-perusahaan di wilayah tersebut untuk tidak melaporkan insiden. Hal-hal yang dilaporkan kepada pemerintah akan tetap dirahasiakan.
nama panggilan Loumakisdirektur pelaksana MENA di Obrelasebuah perusahaan Yunani yang bekerja sama dengan otoritas keamanan siber UEA, yakin bahwa angka insiden yang rendah di wilayah tersebut adalah benar.
Pemerintah “selalu ada di dalam ruangan” setiap kali dia menangani suatu insiden, namun dia mengetahui hanya ada satu perusahaan besar yang terkena dampak dalam dua tahun terakhir. Dia tidak menganggap penyelamatan muka berperan penting. “Tidak mudah untuk menyembunyikan informasi ini,” katanya, percaya bahwa kendali pemerintah atas perusahaan-perusahaan besar dan ekonomi oligarki telah memungkinkan negara-negara MENA untuk membasmi penyerang dengan lebih efektif.
Otoritas negara bagian MENA dihubungi oleh Mingguan Komputer tidak dapat dimintai komentar.