Bagaimana orang dapat terus menggunakan autentikasi berbasis biometrik pada perangkat favorit mereka tanpa kekhawatiran akan data unik mereka dicuri dan disalahgunakan? Simak penjelasan Kaspersky untuk menjawab tantangan tersebut.
Saat ini, tubuh kita menjadi kunci autentikasi digital, menggantikan pin dan kata sandi. Dengan banyaknya layanan yang berubah menjadi digital dan otomatis, data biometrik kita yang unik menjadi elemen penting dalam membuka kunci layanan tersebut. Sidik jari atau wajah kita gunakan untuk membuka kunci ponsel, melakukan pembayaran bahkan mengakses rumah dan kantor.
Data biometrik kita bersifat unik, karena hanya ada satu orang di dunia dengan sidik jari, ciri-ciri wajah atau iris tertentu. Penggunaan yang demikian luas itu berarti juga tiap data biometrik tersebut disimpan di berbagai tempat dalam kondisi yang berbeda. Jika data biometrik terancam keamanannya, baik itu sidik jari, wajah atau iris, sekali ia hilang maka itu berarti hilang selamanya dan tidak dapat diatur ulang, tidak seperti kata sandi.
Sayangnya ini bukan masalah teoretis. Pada 2015 peretasan Office of Personalia Management (OPM) di AS menyebabkan 5,6 juta sidik jari bocor. Baru-baru ini, terdapat lebih dari 1 juta sidik jari ditemukan pada database yang digunakan oleh polisi Metropolitan Inggris, kontraktor pertahanan dan Bank dan dapat diakses publik. Itu hanya beberapa contoh pembuktian dari skema dan konsep yang telah dipelajari para peneliti mengenai kemungkinan pencurian atas sidik jari manusia dengan bantuan kamera digital dan alat lain yang tersedia secara luas .
Penelitian Kaspersky sendiri menyoroti bahwa data biometrik berisiko terancam keamannya. Tinjauan yang baru-baru ini dilakukan tentang ancaman siber terhadap sistem yang digunakan untuk memroses dan menyimpan data biometrik, menunjukkan bahwa berbagai ancaman berbahaya (termasuk Trojan akses jarak jauh, ransomware, Trojan perbankan, dll.) sering ditemukan melakukan upaya infeksi sistem TI.
Sebanyak 37% komputer, server dan workstation yang digunakan untuk mengumpulkan, memroses, dan menyimpan data biometrik (seperti sidik jari, geometri tangan, wajah, suara, dan templat iris), dengan produk Kaspersky terinstalasi, menghadapi setidaknya satu kali upaya infeksi malware pada Q3 2019.
Secara keseluruhan, sejumlah besar sampel malware konvensional telah diblokir, termasuk Trojan akses jarak jauh modern (5,4%), malware yang digunakan dalam serangan phishing (5,1%), ransomware (1,9%), dan Trojan Banking (1,5%). Temuan ini dan lainnya terdapat dalam laporan “Threats for biometric data processing and storage systems” yang telah disiapkan oleh Kaspersky ICS CERT.
Internet adalah sumber utama ancaman untuk sistem pemrosesan data biometrik. Ancaman dengan sumber ini telah diblokir sebanyak 14,4% dari seluruh sistem pemrosesan data biometrik. Pemblokiran pada kategori ini mencakup sumber di situs web phishing dan berbahaya, serta layanan surat elektronik (surel/e-mail) berbasis web.
Kemudian, perangkat yang dapat dilepas menyumbang sebanyak 8% sebagai media yang paling sering digunakan untuk mendistribusikan worm. Setelah menginfeksi komputer, worm biasanya akan mengunduh spyware dan akses jarak jauh Trojan serta ransomware.
Sumber ancaman berikutnya yang diblokir adalah surel yang sekaligus menempatkannya di peringkat ketiga (6,1%). Dalam kebanyakan kasus, ancaman datang biasanya berupa skenario e-mail phishing (pesan palsu pada pengiriman barang dan jasa, pembayaran faktur, dll.) yang berisikan tautan menuju situs web palsu atau dokumen kantor terlampir dengan kode berbahaya yang tertanam.
“Penelitian kami menunjukkan bahwa situasi yang ada dengan keamanan data biometrik sangat penting dan perlu diperhatikan oleh industri, regulator pemerintah, komunitas pakar keamanan dan informasi, serta masyarakat umum. Meskipun kami yakin pelanggan kami sudah memahami akan tindakan preventif untuk mencegahnya, kami perlu menekankan bahwa infeksi yang disebabkan oleh malware yang kami deteksi dan cegah dapat berdampak negatif pada integritas dan kerahasiaan sistem pemrosesan biometrik. Ini khususnya berlaku pada kasus untuk database di mana data biometrik disimpan, jika sistem itu tidak dilindungi,” kata Kirill Kruglov, pakar keamanan senior, Kaspersky ICS CERT.
Apakah itu berarti bahwa orang-orang harus berhenti menggunakan teknologi ini demi melindungi data biometrik unik mereka dari penyalahgunaan oleh orang lain? Tidak sedikit pun.