Keamanan siber sebuah perusahaan diibaratkan sebagai pahlawan super yang bisa melawan penjahat di Marvel Cinematic Universe. Namun, kebenarannya mungkin jauh dari itu. Alat, teknologi, proses, atau sumber daya manusia telah dimanfaatkan sebaik mungkin untuk melindungi jaringan organisasi, tetapi keamanan yang tidak dapat ditembus masih belum dapat tercapai. Akar permasalahannya? Pihak ketiga.
Saat perusahaan memanfaatkan layanan pihak ketiga, ekosistem digital mereka berkembang dan terkait erat. Koneksi-koneksi baru ini memberikan celah lebih banyak bagi penyerang untuk meretas organisasi. Metode populer yang terus digunakan adalah melalui malware, yang memanfaatkan pihak ketiga sebagai pintu masuk ke jaringan perusahaan. Mari kita telaah beberapa contoh nyata dari risiko ini:
- Pada Juni 2019, LabCorp dan Quest Diagnostics mengalami pelanggaran data dari pihak ketiga, mengakibatkan terbukanya 7,7 juta dan 11,9 juta catatan masing-masing. Peretas berhasil memanfaatkan sistem American Medical Collection Agency, pihak ketiga yang digunakan oleh kedua perusahaan tersebut.
- Pada Juni 2017, perusahaan perangkat lunak perpajakan Ukraina, MEDoc, mengalami retas. Server mereka menyebarkan pembaruan perangkat lunak berbahaya kepada klien, menciptakan wabah NotPetya. Hampir semua perusahaan dengan kantor di Ukraina terpengaruh oleh pembaruan jahat ini karena banyak yang bergantung pada MEDoc untuk keperluan akuntansi pajak.
- Pada 2013, pengecer Target mengalami retas ketika vendor HVAC-nya, Fazio Mechanical Services, memiliki kredensial karyawan yang diretas. Penyerang menggunakan akun ini untuk mengakses layanan web Target yang diperuntukkan bagi vendor.
Sayangnya, sumber daya dari pihak ketiga merupakan infrastruktur yang dapat dimanfaatkan dan umumnya berada di luar kendali tim keamanan organisasi. Sebab pemasok dan vendor pihak ketiga beroperasi di luar cakupan keamanan siber internal, sulit untuk mengetahui apakah materi atau sistem yang terhubung dengan jaringan perusahaan sudah terpengaruh.
Mengatasi risiko dari pihak ketiga saat ini memerlukan lebih banyak visibilitas dan koordinasi daripada sebelumnya. Berikut adalah langkah-langkah untuk mengurangi dan melindungi jaringan:
- Berpikir seperti penyerang dan antisipasi motivasi serta tindakan mereka. Identifikasi data dan properti berharga yang mungkin menjadi sasaran.
- Dapatkan visibilitas yang lebih dalam ke dalam jaringan di seluruh rantai pasokan digital dan fisik.
- Perbaiki infeksi dan terus pantau ekosistem digital untuk rentang kerentanan dan gangguan baru.
Intinya, mengatasi tantangan ini mungkin memerlukan cara pandang baru terhadap keamanan. Sementara itu, pihak ketiga tetap menjadi tempat subur untuk meluncurkan serangan dan menyebarkan malware. Meningkatkan visibilitas risiko pihak ketiga melalui layanan keamanan terkelola dapat membantu perusahaan menjadi lebih tangguh dan menghemat biaya.
Artikel ini telah diterbitkan oleh Booz Allen, dengan judul Why Third Party Risk Matters in Cybersecurity. Artikel selengkapnya dapat dibaca di sini.