Guest ColumnCybersecurity
Bookmark

Satu klik bisa meruntuhkan keamanan siber 

By Justin Fong

Perilaku manusia, bukan teknologi, tetap menjadi faktor penentu dalam ketahanan siber sektor publik.

Program keamanan siber sering kali berasumsi bahwa perilaku manusia bersifat rasional. Namun, neurosains menunjukkan bahwa kerentanan dapat muncul dari interaksi antara situasi, emosi, dan kepribadian. Foto: Canva.

Pemerintah di seluruh dunia telah berinvestasi besar dalam infrastruktur keamanan siber – mulai dari arsitektur zero-trust hingga deteksi ancaman berbasis kecerdasan artifisial (AI). 


Namun, phishing dan rekayasa sosial masih menjadi titik masuk paling umum dalam insiden kebocoran. 


Alasannya sederhana. Sebagian besar serangan tidak menargetkan sistem; mereka menargetkan pengambilan keputusan manusia.


  • Seseorang mengklik tautan 
  • Seseorang menanggapi email yang terasa mendesak 
  • Seseorang mempercayai sesuatu yang tampak sah 

Ini bukan kegagalan pelatihan atau kurangnya kehati-hatian. Ini adalah konsekuensi dari cara otak manusia mengambil keputusan di bawah tekanan.


Program keamanan siber sering kali berasumsi bahwa perilaku manusia bersifat rasional – bahwa pegawai akan membaca pesan dengan saksama, menilai risiko secara logis, dan mengikuti prosedur secara konsisten. 


Namun, neurosains menunjukkan hal sebaliknya. Otak kita bekerja melalui dua sistem yang saling berinteraksi:  

  • Sistem cepat dan otomatis, yang dioptimalkan untuk kecepatan dan respons  
  • Sistem lambat dan analitis, yang bertanggung jawab atas penalaran dan verifikasi 

Di bawah stres, tekanan waktu, atau beban kognitif yang tinggi, sistem cepat akan mendominasi. Serangan phishing berhasil karena mereka memicu sistem ini sebelum pemikiran analitis sempat bekerja. 

Apa yang terjadi saat email phishing masuk 


Ketika sebuah email muncul, otak tidak langsung bertanya, “Apakah ini sah?” 

Yang muncul justru pertanyaan berikut: 

  • “Apakah ini mendesak?” 
  • “Apakah ini dari orang yang penting?” 
  • “Apa konsekuensi yang akan terjadi jika saya mengabaikannya?” 

Karena itu, penyerang merancang pesan untuk mengeksploitasi penilaian instingtif tersebut. 


Hal ini selaras dengan riset perilaku yang tertuang dalam model kerentanan terhadap phishing, yang menunjukkan bahwa kerentanan muncul dari interaksi antara situasi, emosi, dan kepribadian. 


Berlangganan bulletin GovInsider di sini. 

Konteks membentuk perhatian  


Aparatur sektor publik bekerja dalam lingkungan dengan volume email tinggi, tenggat waktu ketat, banyak jalur pelaporan, serta norma hierarkis yang kuat.  


Menurut Justin Fong, ketahanan siber yang efektif membutuhkan kebiasaan yang selaras dengan cara kerja otak. Foto: Dokumentasi pribadi

Ilmu kognitif menunjukkan bahwa perhatian adalah sumber daya terbatas. Ketika beban kerja meningkat, otak akan memprioritaskan kecepatan dibanding ketelitian. 


Memanfaatkan kerentanan ini, email phishing sering kali dikirim pada waktu-waktu tertentu – selama siklus pelaporan, menjelang tenggat keuangan atau kepatuhan, serta sebelum hari libur atau penutupan sistem. 


Dalam konteks seperti ini, mengklik bukanlah tindakan irasional. Ia dapat diprediksi. 

Perasaan mendahului logika  


Emosi memainkan peran sentral dalam pengambilan keputusan.


Emosi bersifat refleks dan bekerja lebih cepat daripada penalaran sadar, mengarahkan perilaku sebelum logika sempat campur tangan.  


Karena itu, rekayasa sosial mengandalkan sejumlah pemicu emosi utama: 

  • Otoritas – seolah berasal dari pimpinan senior atau regulator  
  • Urgensi – menciptakan tekanan waktu  
  • Rasa ingin tahu – menawarkan akses ke informasi sensitif atau eksklusif 
  • Keakraban – merujuk pada interaksi sebelumnya atau konteks bersama 

Begitu emosi terpicu, otak mencari penyelesaian melalui tindakan. Inilah sebabnya mengapa bahkan pegawai yang berpengalaman dan terlatih tetap dapat melakukan kesalahan di bawah tekanan. 

Kekuatan bisa berubah menjadi kerentanan  


Sifat individu memengaruhi pemicu emosi mana yang paling efektif.


Pegawai yang teliti merasa terdorong untuk patuh secara benar, mereka yang suka membantu terdorong untuk menolong, dan mereka yang ingin tahu tertarik pada informasi baru.  


Ini adalah kekuatan dalam pelayanan publik, bukan kelemahan. Namun, penyerang secara sengaja mengeksploitasi sifat-sifat tersebut. 


Implikasinya jelas: meningkatkan ketahanan siber bukan soal “memperbaiki” manusia, melainkan merancang budaya dan sistem yang memperhitungkan variasi perilaku manusia. 

Mengapa pelatihan kesadaran saja tidak cukup  


Sebagian besar pelatihan keamanan siber berfokus pada pengenalan: mengenali tautan mencurigakan, pengirim yang tidak biasa, dan tanda-tanda teknis lainnya. 


Meski penting, pendekatan ini mengasumsikan bahwa otak analitis aktif pada saat keputusan dibuat. Kenyataannya, seperti telah dibahas, dalam kondisi tertekan hal itu sering kali tidak terjadi.  

Yang hilang adalah interupsi perilaku—mekanisme yang memperlambat pengambilan keputusan cukup lama agar analisis dapat berlangsung. 

Kontrol perilaku yang praktis: Spot, Pause, Verify 


Ketahanan siber yang efektif membutuhkan kebiasaan yang selaras dengan cara kerja otak. 

Kerangka Spot–Pause–Verify menyediakan mekanisme tersebut: 

  • Spot tanda-tanda tidak biasa (nada, waktu, permintaan) 
  • Pause sejenak agar rangsangan emosi mereda 
  • Verify melalui saluran independen 

Jeda singkat ini mengaktifkan kembali pemikiran analitis dan memutus tindakan impulsif. Ia berfungsi sebagai kontrol kognitif, bukan kontrol teknis.  

Kepemimpinan itu krusial  


Dalam pemerintahan, keamanan siber pada dasarnya berkaitan dengan kepercayaan—terhadap sistem, institusi, dan data publik. Para pemimpin membentuk kondisi di mana keputusan diambil . 

  • Seberapa besar urgensi dinormalisasi  
  • Apakah mempertanyakan permintaan dianggap wajar 
  • Apakah melaporkan kesalahan dilakukan dengan aman 

Budaya yang memprioritaskan kecepatan di atas verifikasi meningkatkan risiko. 


Budaya yang menghukum kesalahan justru menghambat pelaporan dini. 


Karena itu, ketahanan siber melampaui kontrol TI dan menyentuh tata kelola, kepemimpinan, dan desain organisasi. 


Setiap insiden siber berawal dari satu momen ketika keputusan dibuat di bawah tekanan.


Memahami sains di balik momen tersebut adalah kunci. 


Keamanan siber tidak gagal karena manusia lemah. Ia gagal ketika sistem mengabaikan cara manusia mengambil keputusan. 


Pemerintah yang memahami hal ini akan berada pada posisi yang lebih baik untuk melindungi bukan hanya sistem mereka, tetapi juga kepercayaan publik yang menjadi fondasinya. 



Penulis adalah mantan perwira keamanan militer dan pemimpin senior komunikasi dengan pengalaman lebih dari 30 tahun. Ia membantu organisasi memperkuat human firewall dengan mentransformasi karyawan dari mata rantai terlemah dalam keamanan siber menjadi garis pertahanan pertama. Sebelumnya, ia pernah bekerja di Angkatan Bersenjata Singapura, Kantor Perdana Menteri, dan A*STAR, memimpin tim respons krisis, memberikan nasihat kepada pemangku jabatan politik, serta membangun strategi komunikasi yang efektif di bawah tekanan. 


Caption 1: 

Program keamanan siber sering kali berasumsi bahwa perilaku manusia bersifat rasional—bahwa staf akan membaca pesan dengan saksama, mengevaluasi risiko secara logis, dan mengikuti prosedur secara konsisten. Namun, neurosains menunjukkan bahwa kerentanan dapat muncul dari interaksi antara situasi, emosi, dan kepribadian. Foto: Canva. 

Caption 2:  

Justin Fong: Ketahanan siber yang efektif membutuhkan kebiasaan yang selaras dengan cara kerja otak.