Mengapa Menjaga Keamanan Sistem Lama Tetap Terkini Sangat Penting
Sistem lama menampung informasi penting bagi perusahaan asuransi, tetapi juga dapat menimbulkan risiko keamanan. Semakin tua sistem lama, semakin sedikit kemampuan yang dimilikinya untuk mengikuti perkembangan teknologi baru, membuatnya rentan terhadap ancaman digital. Sistem lama yang lebih lama juga cenderung tidak memiliki pengembang atau dokumentasi asli yang tersedia untuk referensi.
Sistem lama adalah sistem yang tidak lagi didukung oleh pengembangnya atau yang tidak dapat memenuhi standar kepatuhan saat ini, kata Miriam Cihodariu, petugas komunikasi dan PR di Heimdal Security. Mereka dapat berupa sistem operasi atau platform yang dirancang untuk penggunaan internal, serta perangkat lunak yang dihadapi pelanggan.
Perusahaan asuransi tidak harus membuang sistem lama mereka sepenuhnya. Namun, perusahaan asuransi perlu memastikan bahwa mereka mematuhi peraturan yang berlaku dan untuk melindungi pelanggan dan perusahaan dari paparan dengan keamanan sistem lama khusus.
Mengapa Perusahaan Asuransi Perlu Mengatasi Keamanan Sistem Lama
Kejahatan dunia maya adalah bisnis besar. Peretasan dan tindakan serupa merugikan ekonomi global sebesar $3 triliun pada tahun 2015 dan diproyeksikan menelan biaya hingga $6 triliun per tahun pada tahun 2021, kata pendiri Cybersecurity Ventures Steve Morgan. Sebuah studi oleh profesor asosiasi Universitas Maryland Michel Cukier memperkirakan bahwa peretas menyerang sistem komputer di suatu tempat di dunia rata-rata setiap 39 detik.
Sistem lama, dengan pengaturannya yang sudah ketinggalan zaman atau tidak sesuai, menawarkan akses yang lebih mudah bagi mereka yang ingin mencuri data perusahaan asuransi atau menyebabkan kenakalan digital.
Mengapa organisasi menyukai sistem lama mereka?
Sistem lama umum digunakan dalam bisnis dan organisasi lain di seluruh dunia. Seringkali, organisasi terus menggunakan perangkat lunak yang kedaluwarsa karena perangkat lunak tersebut berfungsi sebagai pendukung kehidupan untuk sistem atau informasi penting.
Misalnya, ketika Microsoft mengumumkan tidak akan lagi mendukung Windows XP pada tahun 2014, Departemen Pertahanan AS menjangkau untuk mencari dukungan sementara Pentagon beralih ke Windows 10. Sekitar 30 persen komputer di seluruh dunia masih menjalankan Windows XP pada tahun 2014, termasuk sejumlah sistem militer AS yang penting, menurut jurnalis teknologi Jeremy Hsu.
Organisasi juga dapat memilih untuk terus menggunakan sistem lama untuk memaksimalkan nilai investasi mereka dalam perangkat lunak dan pemeliharaannya. “Saat berinvestasi dalam infrastruktur, organisasi melakukannya dengan harapan mendapatkan durasi tertentu dari produk. Siklus hidup ini menjadi bagian dari anggaran multi-tahun yang diamortisasi dan rencana bisnis yang enggan ditinggalkan oleh petugas keuangan kecuali benar-benar diperlukan,” kata Jaime Manteiga, peneliti keamanan informasi dan pendiri Venkon.us.
Akhirnya, sistem lama dapat dipertahankan karena mereka adalah perangkat lunak yang dibuat khusus yang melakukan persis apa yang dibutuhkan bisnis, tambah Manteiga. Mengganti sistem kustom ini bisa mahal dan sulit.
Fakta bahwa sistem warisan adalah umum, berharga, atau sangat diperlukan, bagaimanapun, tidak berarti itu bebas risiko. Seringkali, perusahaan asuransi menemukan diri mereka menggunakan sistem lama yang menimbulkan risiko keamanan yang signifikan, karena tidak ada pilihan yang lebih baik. Misalnya, platform utama mungkin tidak memiliki pengganti fungsional, atau perangkat lunak berfungsi tetapi tidak mematuhi undang-undang atau peraturan keamanan terbaru. Dalam kasus ini, perhatian pada keamanan sistem lama adalah suatu keharusan.
Mudah masuk.
Sangat mudah untuk melihat bagaimana keamanan yang ketinggalan zaman pada sistem lama dapat membahayakan informasi yang disimpan dalam sistem tersebut. Namun, sistem ini juga menimbulkan risiko bagi setiap sistem lain di jaringan perusahaan asuransi.
Misalnya, bayangkan sebuah perusahaan asuransi yang sistem informasinya mencakup server dengan sistem operasi berusia lima belas tahun yang berisi kerentanan yang diketahui. Kerentanan itu, jika tidak ditangani, menjadi pintu terbuka untuk akses yang tidak sah.
“Jika penyerang mendapatkan akses ke satu mesin yang belum ditambal ini (yang jauh lebih mudah daripada meretas server modern yang ditambal dengan baik), mereka dapat bergerak lebih dalam ke dalam jaringan,” jelas Lior Neudorfer, wakil presiden produk di pusat data dan perusahaan keamanan cloud Guardicore.
Contoh ini tidak sepenuhnya imajiner. Pada Mei 2019, Microsoft merilis tambalan untuk Windows XP dan Windows Server 2003. Sementara kedua sistem operasi mendekati ulang tahun ke-20 mereka, mereka masih dijalankan sebagai bagian dari sistem TI banyak organisasi, tulis Daniel Goldberg dan Ophir Harpaz di Guardicore.
Peretas sudah mencari node yang paling tidak aman di jaringan untuk mendapatkan akses. Dalam satu contoh terkenal, peretas menggunakan sensor tangki ikan pintar untuk mengakses jaringan di kasino Las Vegas, akhirnya melanggar database tentang informasi tentang pelanggan kasino – data yang dianggap aman oleh kasino.
“Seseorang menggunakan tangki ikan untuk masuk ke jaringan, dan begitu mereka berada di tangki ikan, mereka memindai dan menemukan kerentanan lain dan berpindah ke tempat lain di jaringan,” kata Justin Fier, direktur intelijen dan analisis siber di perusahaan AI siber Darktrace.
Seperti tangki ikan, sistem lama dapat mewakili bagian terlemah dari jaringan perusahaan asuransi, membuat seluruh infrastruktur TI rentan.
Tantangan Keamanan Data pada Sistem Lama
Sistem lama sering kali berada di pusat tantangan keamanan data. “Sistem TI lama sering menjadi inti dari insiden pelanggaran siber, dan karena penonaktifan biasanya bukan pilihan, profesional keamanan informasi perlu mengelola risiko,” kata Bobby Ford, wakil presiden dan kepala keamanan informasi global di Unilever.
Sistem lama menimbulkan sejumlah tantangan bagi tim TI. Misalnya, pembaruan perangkat lunak baru, termasuk patch keamanan, lebih sulit diterapkan ke sistem yang lebih lama. Sistem lama mungkin juga tidak memiliki dokumentasi yang memadai dari kontrol keamanan yang ada. Tanpa dokumentasi ini, tim TI merasa lebih sulit untuk menambahkan firewall, unit enkripsi, detektor malware, dan alat keamanan lainnya, tulis insinyur senior Susan Crozier Cox di Carnegie Mellon University Software Engineering Institute.
Selain itu, tim TI menghadapi tekanan yang meningkat saat mencoba menjaga keamanan sistem lama. Tim tidak hanya perlu tetap mengikuti risiko dan alat keamanan yang selalu berubah, mereka juga harus memastikan bahwa risiko dan alat tersebut dipahami dan diadaptasi dengan benar dalam konteks sistem lama — sistem yang sama di mana dokumentasi yang memadai mungkin tidak ada.
Semua tantangan ini dapat membuat sistem lama sulit untuk dipelihara dan diamankan. Pada saat yang sama, biaya finansial dan ketidaknyamanan untuk beralih ke sistem yang sama sekali baru bisa tampak sama menakutkannya.
Praktik Terbaik untuk Pembaruan Keamanan Sistem Lama
Sistem lama sering memainkan peran kunci dalam bisnis sehari-hari perusahaan asuransi P&C. Mengikuti praktik terbaik untuk memperbarui dan mempertahankan keamanan sistem lama dapat membantu perusahaan asuransi memastikan mereka dapat menggunakan data sistem lama mereka dengan aman.
Bekerja sebagai tim.
Keamanan sistem lama membutuhkan bantuan profesional keamanan TI yang berpengalaman, tetapi proyek tidak dapat diserahkan hanya di tangan mereka. Sebaliknya, profesional keamanan dan profesional bisnis harus bekerja sama.
“Peran profesional keamanan adalah untuk menilai kemungkinan dan dampak potensial dari serangan siber, sedangkan peran bisnis [professionals] adalah untuk mengidentifikasi sistem dan proses apa yang paling penting,” jelas Ford.
Perluas cakrawala keamanan Anda.
Banyak perusahaan asuransi berusaha membangun ekosistem bisnis, bermitra dengan perusahaan lain untuk menempatkan perusahaan asuransi tepat di tempat yang mereka butuhkan untuk membantu pelanggan di setiap tahap perjalanan hidup mereka.
Sejumlah teknologi mendukung penciptaan ekosistem, seperti penggunaan antarmuka pemrosesan aplikasi (API) untuk menghubungkan perangkat lunak dan sistem untuk meningkatkan transfer dan berbagi data. Namun, ketika sistem lama dimasukkan dalam ekosistem yang digerakkan oleh API, prosesnya menjadi lebih kompleks — terutama ketika pedoman untuk mengamankan teknologi lama kurang, tulis Shuvo G. Roy, kepala solusi perbankan dan pasar modal di Mphasis.
Sistem lama tidak perlu menghentikan perusahaan asuransi untuk membangun ekosistem yang layak. Namun, perusahaan asuransi dan mitra ekosistem mereka akan mendapat manfaat dari mempertimbangkan tantangan keamanan tambahan yang muncul ketika sistem lama memasuki persamaan.
Rangkul efisiensi.
Biaya untuk meningkatkan ke platform baru bisa tampak luar biasa. Namun, mereka bisa jauh lebih rendah daripada biaya untuk terus merawat di sepanjang sistem warisan yang sudah ketinggalan zaman.
Misalnya, laporan GAO memperkirakan bahwa sekitar 80 persen dari anggaran TI pemerintah federal senilai $90 miliar dihabiskan untuk mengoperasikan dan memelihara sistem yang lebih lama, termasuk sistem lama yang mungkin berusia lebih dari lima puluh tahun dalam beberapa kasus. Seiring waktu, sistem lama menghabiskan sebagian dari anggaran organisasi mana pun yang mungkin lebih baik dihabiskan untuk meningkatkan teknologi baru. Dihadapkan dengan biaya peningkatan, beberapa perusahaan beralih ke patch firmware untuk memodernisasi sistem lama. Sementara tambalan bisa efektif dalam beberapa kasus, praktik ini sering berakhir lebih mahal dari waktu ke waktu daripada peningkatan, kata David Dedinsky dan Ricardo Duque dari Vertiv.
“Sistem tidak dioptimalkan, yang mengarah pada tingkat pemanfaatan yang sangat rendah dan server zombie yang tidak efisien”, tulis mereka. Patch firmware dapat membantu sistem lama berjalan pincang, tetapi tidak mengatasi masalah mendasar yang membuat sistem lama menjadi pilihan yang buruk untuk investasi berkelanjutan.
Opsi seperti sistem menyeluruh dapat membantu perusahaan asuransi meningkatkan efisiensi dan terus melayani pelanggan saat mereka mengerjakan langkah-langkah keamanan dan peningkatan, kata Kumar Utpal, manajer penjualan regional untuk perbankan dan asuransi di In2IT. Ketika keamanan diprioritaskan, perusahaan asuransi dapat menemukan cara untuk menggunakan investasi mereka yang ada sambil juga bertahap dalam teknologi terkini.
Gambar oleh: everythingpossible/©123RF.com, Konstantin Pelikh/©123RF.com, Evgeniy Shkolenko/©123RF.com