Dunia dibangun berdasarkan rantai pasokan. Jaringan penghubung yang memfasilitasi perdagangan dan kesejahteraan global. Namun jaringan perusahaan yang saling tumpang tindih dan saling terkait ini semakin kompleks dan tidak jelas, menjadi pangkal musabab hadirnya risiko rantai pasokan.
Sebagian besar melibatkan penyediaan perangkat lunak dan layanan digital, atau setidaknya bergantung pada interaksi online. Hal ini menempatkan mereka pada risiko gangguan dan kompromi.
UKM khususnya mungkin tidak secara proaktif mencari, atau memiliki sumber daya, untuk mengelola keamanan dalam rantai pasokan mereka. Namun memercayai mitra dan pemasok Anda secara membabi buta terhadap postur keamanan siber mereka bukanlah hal yang berkelanjutan dalam kondisi saat ini. Sudah waktunya untuk serius dalam mengelola risiko rantai pasokan.
|
Baca juga: Manusia Titik Terlemah Sistem Keamanan |
Risiko Rantai Pasokan
Risiko siber pada rantai pasokan dapat terjadi dalam berbagai bentuk, mulai dari ransomware dan pencurian data hingga penolakan layanan (DDoS) dan penipuan.
Hal ini mungkin berdampak pada pemasok tradisional seperti perusahaan jasa profesional (misalnya pengacara, akuntan), atau vendor perangkat lunak bisnis.
Pelaku juga dapat menyerang penyedia layanan terkelola (MSP), karena dengan menyusupi satu perusahaan dengan cara ini, mereka dapat memperoleh akses ke sejumlah besar bisnis klien hilir. Penelitian tahun lalu mengungkapkan bahwa 90% MSP mengalami serangan siber dalam 18 bulan sebelumnya.
Berikut adalah beberapa jenis utama serangan siber pada rantai pasokan dan cara terjadinya:
Perangkat lunak berpemilik yang disusupi.
Penjahat dunia maya semakin berani. Dalam beberapa kasus, mereka berhasil menemukan cara untuk menyusupi pengembang perangkat lunak, dan memasukkan malware ke dalam kode yang kemudian dikirimkan ke pelanggan hilir.
Inilah yang terjadi dalam kampanye ransomware Kaseya. Dalam kasus yang lebih baru, perangkat lunak transfer file populer MOVEit telah disusupi oleh kerentanan zero-day dan data yang dicuri dari ratusan pengguna korporat.
Sehingga berdampak pada jutaan pelanggan mereka. Sementara itu, kompromi terhadap perangkat lunak komunikasi 3CX tercatat dalam sejarah sebagai insiden pertama yang didokumentasikan secara publik mengenai satu serangan rantai pasokan yang mengarah ke serangan lainnya.
Serangan terhadap rantai pasokan open source.
Sebagian besar pengembang menggunakan komponen sumber terbuka untuk mempercepat waktu pemasaran proyek perangkat lunak mereka. Namun pelaku ancaman mengetahui hal ini, dan mulai memasukkan malware ke dalam komponen dan membuatnya tersedia di repositori populer. Sebuah laporan menyatakan bahwa terjadi peningkatan serangan serupa sebesar 633% dari tahun ke tahun.
Pelaku ancaman juga cepat mengeksploitasi kerentanan dalam kode sumber terbuka yang mungkin lambat ditambal oleh beberapa pengguna. Inilah yang terjadi ketika bug kritis ditemukan pada alat yang ada di mana-mana yang dikenal sebagai Log4j.
|
Baca juga: Mengapa Data Berharga |
Meniru identitas pemasok untuk melakukan penipuan.
Serangan canggih yang dikenal sebagai kompromi email bisnis (BEC) terkadang melibatkan penipu yang menyamar sebagai pemasok untuk mengelabui klien agar mengirimkan uang kepada mereka.
Penyerang biasanya akan membajak akun email milik salah satu pihak, memantau aliran email hingga waktu yang tepat untuk turun tangan dan mengirimkan faktur palsu dengan rincian bank yang diubah.
Pencurian kredensial.
Penyerang mencuri login pemasok dalam upaya untuk melanggar pemasok atau klien mereka (yang jaringannya mungkin dapat mereka akses).
Inilah yang terjadi dalam pelanggaran Target besar-besaran pada tahun 2013 ketika peretas mencuri kredensial salah satu pemasok HVAC pengecer.
Pencurian data.
Banyak pemasok menyimpan data sensitif klien mereka, terutama perusahaan seperti firma hukum yang mengetahui rahasia rahasia perusahaan.
Mereka mewakili target yang menarik bagi pelaku ancaman yang mencari informasi yang dapat mereka monetisasi melalui pemerasan atau cara lain.
Menilai dan Mitigasi Risiko Pemasok
Apa pun jenis risiko rantai pasoknya, hasil akhirnya bisa saja sama: kerugian finansial dan reputasi serta risiko tuntutan hukum, gangguan operasional, hilangnya penjualan, dan pelanggan yang marah.
Namun risiko-risiko ini dapat dikelola dengan mengikuti beberapa praktik terbaik industri. Berikut delapan idenya:
1 Lakukan uji tuntas terhadap pemasok baru mana pun.
Hal ini berarti memeriksa kesesuaian program keamanan mereka dengan harapan Anda, dan bahwa mereka memiliki langkah-langkah dasar untuk perlindungan, deteksi, dan respons terhadap ancaman.
Bagi pemasok perangkat lunak, hal ini juga harus mencakup apakah mereka memiliki program manajemen kerentanan dan bagaimana reputasi mereka mengenai kualitas produk mereka.
2. Kelola risiko sumber terbuka.
Ini mungkin berarti menggunakan alat analisis komposisi perangkat lunak (SCA) untuk mendapatkan visibilitas ke dalam komponen perangkat lunak.
Di samping pemindaian terus-menerus untuk menemukan kerentanan dan malware, dan segera melakukan patching terhadap bug apa pun. Pastikan juga tim pengembang memahami pentingnya keamanan berdasarkan desain saat mengembangkan produk.
|
Baca juga: Malware Susupi WhatsApp Dimodifikasi |
3. Melakukan tinjauan risiko terhadap semua pemasok.
Hal ini dimulai dengan memahami siapa pemasok Anda dan kemudian memeriksa apakah mereka memiliki langkah-langkah keamanan dasar.
Hal ini harus meluas ke rantai pasokan mereka sendiri. Audit sesering mungkin dan periksa akreditasi dengan standar dan peraturan industri jika diperlukan.
4. Simpan daftar semua pemasok Anda.
Yang disetujui dan perbarui secara berkala sesuai dengan hasil audit Anda. Audit rutin dan pembaruan daftar pemasok akan memungkinkan organisasi melakukan penilaian risiko secara menyeluruh, mengidentifikasi potensi kerentanan, dan memastikan bahwa pemasok mematuhi standar keamanan siber.
5. Menetapkan kebijakan formal untuk pemasok.
Hal ini harus menguraikan persyaratan Anda untuk memitigasi risiko pemasok, termasuk SLA apa pun yang harus dipenuhi.
Oleh karena itu, dokumen ini berfungsi sebagai dokumen dasar yang menguraikan ekspektasi, standar, dan prosedur yang harus dipatuhi oleh pemasok untuk memastikan keamanan rantai pasokan secara keseluruhan.
6. Kelola risiko akses pemasok.
Menerapkan prinsip hak istimewa paling rendah di antara pemasok, jika mereka memerlukan akses ke jaringan perusahaan.
Hal ini dapat diterapkan sebagai bagian dari pendekatan Zero Trust, di mana semua pengguna dan perangkat tidak dapat dipercaya hingga diverifikasi, dengan autentikasi berkelanjutan dan pemantauan jaringan menambahkan lapisan mitigasi risiko tambahan.
7. Kembangkan rencana respons insiden.
Jika terjadi skenario terburuk, pastikan Anda memiliki rencana yang matang untuk diikuti guna membendung ancaman sebelum ancaman tersebut berdampak pada organisasi. Hal ini mencakup cara menjalin hubungan dengan tim yang bekerja untuk pemasok Anda.
9. Pertimbangkan untuk menerapkan standar industri.
ISO 27001 dan ISO 28000 memiliki banyak cara berguna untuk mencapai beberapa langkah yang tercantum di atas guna meminimalkan risiko pemasok.
Di AS tahun lalu, terdapat 40% lebih banyak serangan rantai pasokan dibandingkan serangan berbasis malware, menurut sebuah laporan.
Hal ini mengakibatkan pelanggaran yang berdampak pada lebih dari 10 juta orang. Saatnya mengambil kembali kendali melalui manajemen risiko pemasok yang lebih efektif.
Sumber berita: