Website atau sistem operasional perusahaan bisa saja terganggu karena masalah dari vendor teknologi yang digunakan. Inilah yang disebut risiko siber pihak ketiga: risiko yang berasal dari luar perusahaan, seperti mitra bisnis atau penyedia layanan yang menjadi bagian dari operasional sehari-hari.
Menurut studi dari SecurityScorecard, 29% kebocoran data disebabkan oleh serangan yang berasal dari pihak ketiga. Dari jumlah itu, 75% melibatkan produk atau layanan teknologi, sementara sisanya datang dari penyedia layanan non-teknologi. Ini menunjukkan betapa terhubungnya rantai pasokan digital kita, dan seberapa besar risiko yang mungkin timbul dari hubungan bisnis tersebut.
Fakta Risiko Pihak Ketiga
- 60% perusahaan bekerja sama dengan lebih dari 1.000 pihak ketiga.
- 71% perusahaan kini punya jaringan vendor yang lebih banyak dibanding tiga tahun lalu.
- 73% pernah mengalami gangguan serius akibat pihak ketiga, seperti kebocoran data atau pelanggaran etika.
- 73% menyatakan bahwa pihak ketiga kini punya akses lebih besar ke data penting perusahaan.
- 80% perusahaan telah memperluas daftar pertanyaan untuk pengecekan latar belakang vendor.
Apa yang Bisa Dilakukan untuk Mengurangi Risiko Ini?
Selain menjalankan praktik dasar keamanan siber, berikut beberapa langkah yang bisa diambil:
- Identifikasi Vendor Kritis
Tentukan siapa saja penyedia produk atau layanan penting. Jika bisa, cari tahu juga siapa saja pemasok mereka (vendor tingkat empat). - Gunakan Pengukuran Risiko
Hitung dan ukur potensi dampak serangan dari vendor. Ini akan membantu menyatukan pandangan para pemangku kepentingan tentang bagaimana cara mengelola risikonya. - Buat Rencana Respons Insiden
Siapkan rencana sebelum kejadian terjadi. Rencana ini harus mencakup kemungkinan serangan dari vendor, dan diuji lewat simulasi melibatkan berbagai bagian perusahaan, bukan hanya tim IT. - Tinjau Polis Asuransi Siber
Pastikan tahu apa yang dicakup oleh asuransi siber jika terjadi serangan terhadap vendor. - Pastikan Vendor Punya Asuransi Siber
Vendor juga sebaiknya punya perlindungan asuransi siber yang cukup. Ini menunjukkan bahwa mereka menjalankan standar keamanan minimal.
Contoh Nyata
Bayangkan sebuah perusahaan menggunakan layanan cloud untuk menjalankan operasional harian. Lalu, layanan cloud itu mengalami gangguan. Akibatnya? Website perusahaan tidak bisa diakses, pemrosesan pesanan terhenti, dan timbul biaya tambahan serta kehilangan pendapatan.
Inilah mengapa penting untuk mengenali dan memahami siapa saja yang terlibat dalam ekosistem vendor, serta menghitung potensi dampaknya terhadap keuangan perusahaan.
Artikel ini telah diterbitkan oleh Marsh, dengan judul Third-party Cyber Risks Impact All Organizations. Artikel selengkapnya dapat dibaca di sini.
