Sumber Gambar: wigglestick/iStock/Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
—
Intisari ZDNET
- CEO LastPass menyatakan bahwa insiden kebocoran data tahun 2022 telah mendorong perusahaan mencapai standar keamanan yang lebih tinggi.
- Standar keamanan perusahaan kini dinilai "melampaui ekspektasi normal sebuah program keamanan standar."
- LastPass juga menegaskan bahwa "keamanan adalah inti dari segala yang kami lakukan bagi konsumen."
—
Dalam sebuah wawancara dengan ZDNET, Karim Toubba, CEO LastPass, mengungkapkan bahwa insiden keamanan serius yang membayangi perusahaan sejak 2022 berfungsi sebagai "pemicu untuk mendorong banyak perubahan."
Apa Itu LastPass?
Berkantor pusat di Boston, Massachusetts, LastPass adalah penyedia solusi manajemen keamanan dan identitas yang dikenal dengan brankas pengelola kata sandinya. Didirikan pada 2008, perusahaan ini diakuisisi oleh GoTo (dulu LogMeIn) pada 2015, kemudian dipisahkan menjadi entitas independen pada 2024.
Insiden Keamanan 2022
Bagi perusahaan yang menyediakan solusi privasi dan keamanan, terlibat dalam kasus kebocoran data adalah skenario terburuk. Sayangnya bagi LastPass, hal ini benar-benar terjadi pada 2022.
Pada Agustus tahun itu, "pihak tidak berwenang" mengakses bagian lingkungan pengembangan LastPass melalui akun pengembang yang dikompromikan dan mencuri sebagian kode sumber serta data teknis.
Tidak berhenti di situ. Informasi yang dicuri selama serangan ini mengakibatkan kompromi lebih lanjut, termasuk pencurian informasi dasar akun pelanggan dan metadata terkait—seperti nama, alamat penagihan, surel, nomor telepon, dan alamat IP. Lebih lanjut, salinan cadangan data brankas pelanggan juga diakses. Meski terenkripsi, data itu tetap diakses oleh penyusup yang berhasil mencuri kata sandi master dari komputer pribadi seorang insinyur senior.
Insiden ini terjadi tahun 2022, dan Anda mungkin mengira ingatan akan memudar empat tahun kemudian. Namun, dampak dari pelanggaran data tersebut hanyalah yang terbaru dalam rangkaian masalah keamanan yang menghantui. Ketika manajer kata sandi dikaitkan dengan risiko, jalan untuk merebut kembali kepercayaan konsumen akan sangat panjang.
Dampak dan Perubahan
Kedatangan Toubba di LastPass pada 2022 diikuti oleh serangkaian perubahan menyeluruh di perusahaan. Dengan fondasi LastPass yang terguncang, Toubba menyatakan bahwa perusahaan telah "bekerja secara konsisten" untuk membangun ulang dari nol.
"Saya sering berkata pada pelanggan, lebih mudah menyebutkan apa yang tidak berubah dalam tiga hingga empat tahun terakhir daripada yang sudah berubah," ujar Toubba.
Perubahan berfokus pada tiga area: sumber daya manusia, proses, dan teknologi. Dana diinvestasikan ke dalam aplikasi itu sendiri, infrastruktur perusahaan, dan migrasi ke cloud. Kontrol keamanan diterapkan di setiap sistem.
Mengingat faktor manusia sangat sentral dalam insiden tersebut, CEO baru ini juga fokus menilai postur keamanan perangkat karyawan.
"Kami mengubah tumpukan teknologi semua karyawan secara signifikan, [seperti] kemampuan keamanan di perangkat mereka, lalu menerbitkan perangkat baru untuk semua karyawan berupa laptop yang benar-benar terkunci," komentar Toubba. "Saya pengguna Mac, dan sebagai contoh, saya bahkan tidak bisa mengakses App Store dengan Mac saya—saya hanya bisa menggunakan aplikasi yang disetujui perusahaan, yang telah difokuskan dan divalidasi."
Langkah autentikasi perangkat keras seperti kunci YubiKey diterapkan secara menyeluruh. LastPass juga merombak total program pelatihan karyawan, membentuk tim keamanan khusus, dan melibatkan pihak ketiga untuk audit keamanan berkelanjutan, termasuk pengujian penetrasi.
Masa Depan LastPass
LastPass telah melakukan sejumlah peningkatan terkini, dengan layanan baru untuk pasar konsumen dan bisnis. Ini termasuk kontrol autentikasi untuk memerangi SaaS bayangan dan penggunaan aplikasi AI yang tidak sah.
Menurut Toubba, LastPass akan terus menyeimbangkan pendekatan untuk kedua pasar tersebut. Meski manajemen kredensial bernilai, ada "nilai nyata dalam mendapatkan visibilitas yang lebih luas melampaui manajemen kredensial dan tantangan yang dihadapi [bisnis]."
Praktik keamanan yang ditingkatkan, perbaikan internal, dan peningkatan transparansi adalah perubahan ke arah yang benar. Namun, apakah itu cukup untuk mendapatkan kembali kepercayaan pelanggan?
Saya bertanya kepada Toubba mengapa pelanggan harus mempercayai LastPass sekarang. Inilah responsnya:
"Dalam bisnis dan kehidupan, ketika dihadapkan pada hal yang cukup berarti, Anda harus bertanya pada diri sendiri: apa yang akan saya lakukan? Apa tujuan saya? Apakah saya akan berusaha membelokkan fakta, atau menggunakan ini sebagai pemicu untuk berubah?"
"Kami memilih yang terakhir. Kami melakukan investasi multi-tahun senilai jutaan dolar, dan melampaui apa yang biasa diharapkan dari program keamanan standar. Kami bangga pada pekerjaan teladan yang tidak hanya menghasilkan keamanan yang lebih baik, tetapi juga membuat kami memimpin dalam industri dalam hal kepemimpinan, transparansi, dan berbagi informasi. […] Jadi, boleh dibilang, LastPass yang baru dan lebih baik adalah yang menempatkan keamanan sebagai inti dari segala yang kami lakukan untuk konsumen." Sumber: wigglestick/iStock/Getty Images Plus