Tahun lalu, teman saya yang punya toko online kehilangan Rp 47 juta dalam semalam. Bukan karena barangnya dicuri — tapi karena akun marketplace-nya di-hack. Password-nya "toko2024" dan dia pakai password yang sama untuk email, marketplace, dan internet banking. Cerita seperti ini bukan langka. Menurut data BSSN (Badan Siber dan Sandi Negara), serangan siber di Indonesia meningkat lebih dari 100% dalam dua tahun terakhir, dan UMKM jadi target favorit karena biasanya paling tidak siap.

Kabar baiknya: melindungi bisnis Anda dari sebagian besar serangan siber tidak butuh budget besar atau keahlian IT tingkat tinggi. Yang dibutuhkan adalah kesadaran dan kebiasaan yang benar.

Kenapa UMKM Jadi Target Empuk?

Ada anggapan bahwa hacker hanya mengincar perusahaan besar. Kenyataannya justru sebaliknya:

  • UMKM jarang punya staff IT dedicated — tidak ada yang monitor keamanan 24/7
  • Budget keamanan nyaris nol — dianggap "belum perlu"
  • Data pelanggan tetap berharga — email, nomor HP, data pembayaran
  • Satu akun dipakai untuk semuanya — email bisnis, marketplace, banking, media sosial pakai password sama
  • Tidak ada backup plan — kalau kena ransomware, data hilang selamanya

Hacker tahu bahwa menyerang 100 UMKM yang tidak siap lebih mudah dan menguntungkan daripada menyerang 1 perusahaan besar yang punya tim keamanan.

10 Langkah Perlindungan Siber untuk UMKM

1. Gunakan Password Manager — Bukan Catatan di HP

Ini langkah paling fundamental dan paling sering diabaikan. Berhenti menggunakan password yang sama untuk semua akun. Password manager seperti Bitwarden (gratis), 1Password, atau LastPass akan:

  • Membuat password unik dan kuat untuk setiap akun
  • Menyimpan semua password secara terenkripsi
  • Auto-fill login di browser dan HP
  • Anda hanya perlu mengingat SATU master password

Investasi waktu: 1-2 jam untuk setup awal. Setelah itu, hidup jadi lebih mudah DAN lebih aman.

2. Aktifkan 2FA di Semua Akun Penting

Two-Factor Authentication (2FA) artinya selain password, Anda butuh verifikasi tambahan (biasanya kode dari HP) untuk login. Bahkan kalau password Anda bocor, hacker tetap tidak bisa masuk tanpa HP Anda.

Prioritas aktifkan 2FA:

  • Email bisnis (ini kunci segalanya — reset password semua akun lewat sini)
  • Internet banking dan e-wallet
  • Marketplace (Tokopedia, Shopee, dll)
  • Media sosial bisnis
  • Domain dan hosting website

Gunakan app authenticator (Google Authenticator, Authy) daripada SMS. SMS bisa di-intercept melalui SIM swap — teknik yang makin sering terjadi di Indonesia.

3. Backup Data Secara Rutin (3-2-1 Rule)

Ransomware mengenkripsi semua file Anda dan minta tebusan. Tanpa backup, Anda punya dua pilihan: bayar (tidak ada jaminan data kembali) atau kehilangan semuanya.

Ikuti aturan 3-2-1:

  • 3 salinan data
  • 2 media penyimpanan berbeda (misalnya hard drive + cloud)
  • 1 salinan di lokasi berbeda (cloud storage seperti Google Drive, Dropbox)

Untuk UMKM, solusi paling praktis: Google Workspace atau Microsoft 365 sudah include cloud storage + auto-sync. Tambahkan external hard drive yang di-backup mingguan sebagai cadangan.

4. Update Software — Jangan Pernah Klik "Remind Me Later"

Mayoritas serangan siber memanfaatkan celah keamanan di software yang sudah ada patch-nya tapi belum di-update oleh pengguna. Windows, browser, plugin WordPress, aplikasi HP — semua perlu di-update.

Tips praktis:

  • Aktifkan auto-update di Windows/Mac
  • Update WordPress dan plugin minimal mingguan
  • Update aplikasi HP secara berkala
  • Jangan pakai software bajakan — selain ilegal, sering disusupi malware

5. Edukasi Tim Anda tentang Phishing

Phishing adalah metode serangan nomor 1 di Indonesia. Hacker mengirim email atau WhatsApp yang terlihat resmi (dari "bank", "marketplace", "kurir") dengan link palsu untuk mencuri login Anda.

Ajari tim Anda mengenali tanda-tanda phishing:

  • URL yang mirip tapi tidak persis (tokopedia-login.com vs tokopedia.com)
  • Pesan yang menciptakan urgensi palsu ("Akun Anda akan diblokir dalam 24 jam!")
  • Diminta input password atau OTP di luar aplikasi resmi
  • Lampiran file dari pengirim tidak dikenal

Aturan emas: jangan pernah klik link dari pesan yang tidak diminta. Kalau ragu, buka aplikasi/website-nya langsung dari browser.

6. Amankan WiFi Kantor

WiFi kantor yang tidak aman = pintu terbuka untuk siapa saja dalam jangkauan. Langkah minimal:

  • Ganti password default router (admin/admin)
  • Gunakan enkripsi WPA3 atau minimal WPA2
  • Buat network terpisah untuk tamu/pengunjung
  • Sembunyikan SSID jika memungkinkan
  • Ganti password WiFi setiap 3-6 bulan

7. Batasi Akses Berdasarkan Kebutuhan

Tidak semua karyawan butuh akses ke semua data. Prinsip least privilege: berikan akses minimum yang diperlukan untuk melakukan pekerjaan mereka.

  • Admin marketplace hanya untuk yang handle orderan
  • Akses banking hanya untuk finance/owner
  • Social media hanya untuk marketing
  • Gunakan akun terpisah untuk setiap orang (jangan sharing login)

Ketika ada karyawan resign, langsung cabut semua akses dalam 24 jam. Ini sering dilupakan dan jadi celah keamanan besar.

8. Gunakan SSL di Website Bisnis

Kalau website bisnis Anda masih HTTP (bukan HTTPS), segera pasang SSL certificate. Selain melindungi data pengunjung, Google juga menurunkan ranking website tanpa SSL.

Kabar baiknya, sebagian besar hosting (termasuk Hostinger, Niagahoster) sudah menyediakan SSL gratis via Let's Encrypt. Tinggal aktifkan dari panel hosting.

9. Siapkan Rencana Darurat (Incident Response Plan)

Bukan soal "kalau" diserang, tapi "kapan". Siapkan rencana sederhana:

  • Siapa yang dihubungi kalau ada insiden? (vendor IT, hosting provider)
  • Langkah pertama: isolasi perangkat yang terinfeksi (cabut dari jaringan)
  • Ganti semua password dari perangkat yang bersih
  • Restore dari backup jika data terkompromi
  • Dokumentasi: catat apa yang terjadi untuk mencegah terulang

10. Pertimbangkan Cyber Insurance

Beberapa perusahaan asuransi di Indonesia sudah menawarkan produk cyber insurance untuk bisnis. Cakupannya biasanya meliputi kerugian finansial akibat serangan siber, biaya recovery, dan bahkan biaya notifikasi ke pelanggan jika terjadi data breach.

Ini bukan keharusan untuk UMKM kecil, tapi layak dipertimbangkan kalau bisnis Anda menyimpan data pelanggan dalam jumlah signifikan atau mengandalkan sistem digital sepenuhnya.

Mulai dari Mana?

Tidak perlu langsung mengerjakan semua 10 langkah sekaligus. Mulai dari yang paling kritikal:

  1. Minggu ini: Pasang password manager + aktifkan 2FA di email dan banking
  2. Minggu depan: Setup backup otomatis (Google Drive/Dropbox)
  3. Bulan ini: Update semua software + edukasi tim tentang phishing
  4. Bulan depan: Review akses karyawan + amankan WiFi

Empat langkah pertama saja sudah menutup sekitar 80% celah keamanan umum yang dimanfaatkan hacker.

Butuh Bantuan Setup Keamanan Bisnis?

Kalau Anda merasa overwhelmed atau tidak punya waktu untuk setup sendiri, Wardigi siap membantu. Kami bisa audit keamanan digital bisnis Anda, setup sistem backup, konfigurasi keamanan website, dan training tim Anda tentang best practice keamanan siber.

→ Konsultasi gratis via WhatsApp