[비즈한국] Meningkatnya insiden peretasan yang menimpa toko buku dan platform e-book domestik utama, termasuk insiden lumpuhnya Yes24053280, telah memicu kekhawatiran mengenai kemampuan keamanan industri tersebut. Bahkan saat insiden kebocoran e-book Aladin pada tahun 2023, kerentanan sistem keamanan dan perlunya perbaikan telah disorot.
Berbeda dengan masa lalu yang berpusat pada offline, ketergantungan digital industri ini telah meningkat pesat seiring dengan perluasan distribusi e-book dan penjualan online. Pada saat yang sama, seiring dengan ancaman siber yang semakin canggih, lingkungan cloud/server yang kompleks, serta titik buta keamanan dalam sistem internal, keamanan informasi muncul sebagai fondasi operasi teknis dan risiko inti manajemen perusahaan. Kami memeriksa status sistem keamanan informasi industri toko buku saat ini.

Baru-baru ini, Yes24 mengalami insiden di mana layanannya lumpuh selama lima hari akibat peretasan ransomware. Layanan online seperti akses situs web/aplikasi, pengunduhan e-book, dan pemesanan tiket terhenti, bahkan pencarian buku di toko offline dan beberapa pembayaran produk mengalami kendala, yang menyebabkan infrastruktur teknis dan kemampuan respons keamanan menjadi sorotan. Meskipun perusahaan telah memasuki fase pemulihan setelah mengumumkan paket kompensasi tahap 1 dan 2, termasuk pemberian voucher senilai 5.000 won kepada seluruh anggota, insiden ini menimbulkan pertanyaan mendasar mengenai sistem keamanan di industri terkait karena merupakan kecelakaan keamanan besar kedua dalam dua tahun setelah insiden kebocoran e-book berskala besar di Aladin.
Bizhankook mengajukan pertanyaan mengenai status perlindungan informasi kepada 4 perusahaan toko buku/platform e-book utama di Korea berdasarkan pendapatan, skala perusahaan, dan pangsa pasar. Meskipun semua perusahaan target, yaitu Kyobo Book Centre, Yes24, Aladin, dan Ridibooks, menyatakan bahwa mereka memperluas skala investasi perlindungan informasi untuk memperkuat kemampuan keamanan, terdapat perbedaan dalam komposisi organisasi perlindungan informasi dan metode operasional CISO (Chief Information Security Officer).
Hanya Kyobo Book Centre dan Yes24 yang Memiliki Organisasi Khusus Perlindungan Informasi
Di antara 4 perusahaan tersebut, hanya Kyobo Book Centre dan Yes24 yang memiliki organisasi perlindungan informasi sebagai departemen terpisah. Kyobo Book Centre telah membentuk dan mengoperasikan Departemen Keamanan Informasi setelah membentuk tim keamanan informasi pada tahun 2015. Yes24 menyatakan bahwa mereka memiliki departemen khusus perlindungan informasi yang terpisah dari tugas operasional sistem, namun komposisi organisasi yang tepat tidak dapat dikonfirmasi. Sebaliknya, diketahui bahwa Aladin dan Ridibooks tidak mengoperasikan departemen keamanan informasi secara terpisah.
Indikator utama untuk mengukur kemampuan keamanan informasi meliputi status personel khusus, skala investasi, penunjukan/pengoperasian CISO, dan sertifikasi terkait perlindungan informasi. Ini adalah indikator penting yang secara objektif menunjukkan kemampuan manajemen dan operasi keamanan informasi, serta merupakan poin yang disyaratkan bagi perusahaan yang diwajibkan oleh undang-undang untuk mengungkapkan perlindungan informasi.

Meskipun keempat perusahaan telah menunjuk CISO yang bertanggung jawab atas tugas perlindungan informasi perusahaan, status perangkapan jabatan berbeda-beda. Dalam kasus Ridibooks, CISO berada langsung di bawah CTO (Chief Technology Officer) untuk melaksanakan tugas keamanan. Meskipun terlihat tidak ada organisasi terpisah, pihak perusahaan menjelaskan bahwa mereka menjalankan sistem perlindungan informasi, termasuk penetapan dan pelaksanaan kebijakan keamanan internal, yang berpusat pada penanggung jawab keamanan yang tidak merangkap tugas lain. Pihak Ridibooks menyatakan, "Kami menempatkan personel profesional untuk menangani tugas terkait, dan juga bekerja sama dengan lembaga profesional eksternal jika diperlukan."
Mempertimbangkan secara komprehensif status organisasi keamanan informasi dan operasi CISO, Kyobo Book Centre tampak memiliki struktur yang paling sistematis dalam hal keamanan dan personel. CISO Kyobo Book Centre dijabat oleh kepala Departemen Keamanan Informasi, yang merupakan sistem di mana independensi dan profesionalisme kebijakan keamanan dapat dipastikan secara stabil.
Menurut portal pengungkapan perlindungan informasi KISA (Korea Internet & Security Agency), CISO Yes24 merangkap sebagai CPO (Chief Privacy Officer). Sebagai perusahaan publik yang memenuhi persyaratan pendapatan, Yes24 adalah satu-satunya dari 4 perusahaan yang memiliki kewajiban pengungkapan perlindungan informasi. Meskipun CISO dan CPO sering dianggap sebagai tugas serupa dan sering dioperasikan secara terintegrasi bahkan di perusahaan besar, kritik juga muncul bahwa ini adalah strategi yang berfokus pada efisiensi dengan efek samping seperti ketidakjelasan tanggung jawab.
Status perangkapan jabatan CISO adalah salah satu indikator praktis kemampuan keamanan perusahaan. Jika merangkap dengan tugas lain, biasanya dianggap bahwa sumber daya yang cukup tidak dapat diinvestasikan dalam tugas perlindungan informasi, yang dapat membatasi penetapan kebijakan keamanan, respons risiko, dan pengendalian. Inilah alasan mengapa perangkapan jabatan CISO dilarang di perusahaan telekomunikasi dengan skala tertentu (total aset 5 triliun won, dll.). Namun, Yes24 tidak termasuk dalam kategori larangan perangkapan jabatan.
Aladin menyatakan bahwa mereka melaksanakan tugas keamanan dalam bentuk pembagian antara tim pengembangan yang bertanggung jawab atas infrastruktur web dan organisasi audit. Tim pengembangan menangani aspek teknis, sementara organisasi audit melaksanakan tugas terkait kebijakan/peraturan keamanan dan kontrol internal. CISO dijabat oleh direktur internal (merangkap jabatan).

Dari keempat perusahaan tersebut, Kyobo Book Centre dan Ridibooks telah menerima sertifikasi Sistem Manajemen Perlindungan Informasi (ISMS-P), dan Yes24 juga telah menerima sertifikasi Sistem Manajemen Perlindungan Informasi dan Privasi (ISMS-P). Dalam kasus Aladin, berdasarkan status penerbitan sertifikat KISA, hanya sertifikat dengan masa berlaku hingga November 2023 yang terdeteksi, sehingga diketahui bahwa mereka belum memperoleh kembali sertifikasinya. ISMS adalah sistem sertifikasi yang mengintegrasikan persyaratan perlindungan informasi pribadi ke dalam sistem ISMS komprehensif yang ditetapkan, dikelola, dan dioperasikan oleh perusahaan atau organisasi untuk melindungi aset informasi secara aman.
Usulan Konsorsium Gagal... Kegagalan Koordinasi Meningkatkan Risiko Siber
Keempat perusahaan menekankan bahwa mereka sedang memperluas investasi perlindungan informasi. Di antara mereka, hanya Kyobo Book Centre dan Yes24 yang angka investasi perlindungan informasi tahunannya atau skala sebenarnya dapat dikonfirmasi. Menurut Kyobo Book Centre, rasio investasi perlindungan informasi terhadap total investasi teknologi informasi (IT) tahun ini adalah 6,7%, meningkat 1,7% (p) dari tahun sebelumnya (5,0%). Menurut pengungkapan perlindungan informasi Yes24, jumlah investasi di sektor perlindungan informasi tahun lalu adalah sekitar 1,269 miliar won, yang merupakan 9,2% dari total investasi IT. Tren investasi perlindungan informasi selama tiga tahun menunjukkan: 1,103 miliar won pada 2022 (9,2% dari investasi IT) dan 947 juta won pada 2023 (5,1%).
Seorang pejabat Aladin mengatakan, "Sulit untuk mengungkapkan jumlah atau proporsi investasi yang spesifik, tetapi selama 3 tahun terakhir, kami telah mencurahkan segala upaya untuk investasi keamanan dan mengalokasikan anggaran yang besar." Pejabat Ridibooks juga menyampaikan, "Seiring dengan meningkatnya pentingnya dan tanggung jawab keamanan informasi, kami terus memperluas skala investasi perlindungan informasi. Anggaran untuk penguatan sistem keamanan di semester kedua tahun ini juga telah ditetapkan."
Ada pendapat dari seorang pejabat industri yang mengatakan, "Sulit untuk mengungkapkan angka terkait karena tidak dibedakan dengan jelas apakah itu anggaran perlindungan informasi atau biaya infrastruktur IT umum." Fakta bahwa informasi tersebut diwajibkan secara hukum untuk diungkapkan bagi perusahaan yang wajib melakukan pengungkapan perlindungan informasi menunjukkan bahwa kedewasaan sistem respons keamanan informasi dalam industri penerbitan dan toko buku sangat bervariasi antar perusahaan dan belum terstandarisasi.
