Pemantauan Berkelanjutan: Mengisi Celah Keamanan dalam Manajemen Risiko Pemasok

Rantai pasokan adalah perekat yang menghubungkan ekonomi global. Mereka juga merupakan sumber signifikan risiko bisnis terkait cyber. Serangan pada pemasok meningkat 431% antara 2021 dan 2024, dan diperkirakan akan terus meningkat. Itu adalah kabar buruk bagi perusahaan yang melakukan bisnis dengan mereka. IBM memperkirakan bahwa kompromi vendor pihak ketiga terkait dengan biaya pelanggaran data tertinggi dari jenis insiden apa pun: $4,9m per pelanggaran.

Tantangan bagi pemimpin risiko dan cyber adalah bahwa mekanisme manajemen risiko yang ada tidak sempurna. Mereka dapat lambat, memakan sumber daya, dan penuh dengan blind spot. Manajemen risiko pemasok yang sebenarnya berasal dari pengawasan dan kontrol berkelanjutan.

Pertumbuhan Rantai Pasokan yang Tidak Terhentikan

Rantai pasokan yang kompleks dan terfragmentasi adalah harga yang kita bayar untuk perdagangan global. Selama lebih dari satu dekade, mereka telah tumbuh untuk mendukung permintaan konsumen akan lebih banyak pilihan dan biaya yang lebih rendah, didorong oleh ledakan dalam berbelanja online. Pada saat yang sama, rantai pasokan digital juga telah mengalami pertumbuhan yang luar biasa, berkat proliferasi perangkat lunak sebagai layanan (SaaS), penyedia layanan terkelola (MSP), dan tuntutan bisnis untuk cara kerja yang lebih inovatif dan efisien.

Hasilnya? Kekaburan di mana seharusnya ada wawasan, dan meningkatnya tingkat risiko bisnis yang dapat membahayakan keuntungan dan loyalitas pelanggan yang telah diperoleh dengan susah payah. Menurut satu perkiraan, bahkan rata-rata SMB memiliki 800 pemasok. Ketika pemasok pemasok dihitung, angka-angka segera mencapai ribuan bisnis.

Bisnis yang Berisiko

Ini adalah kabar buruk bagi CISO dan tim mereka, yang harus menemukan cara untuk mengelola risiko keamanan siber yang tidak terhindarkan yang datang dari rantai pasokan yang luas. Kompromi vendor dan rantai pasokan menyumbang 15% pelanggaran data tahun lalu, menurut IBM. Verizon mengklaim bahwa angka tersebut sebenarnya telah meningkat dua kali lipat selama setahun terakhir untuk mencapai 30%. Apa pun angka sebenarnya, jelas dari insiden dunia nyata jenis kerusakan yang dapat mereka sebabkan.

Pihak ketiga seperti perusahaan outsourcing dan firma jasa profesional mungkin menyimpan kredensial akses yang sangat sensitif dan data lain yang dimiliki oleh organisasi klien mereka. Ini bisa berupa informasi pribadi yang sangat terregulasi (PII) tentang pelanggan dan karyawan. Atau IP, rahasia dagang, atau data keuangan non-publik. Semua ini merupakan daya tarik besar bagi ekstorsionis digital, yang mungkin mencuri dan/atau mengenkripsi data untuk memaksa pembayaran. Pelanggaran pihak ketiga menyumbang lebih dari dua per lima (41%) serangan ransomware di 2024, menurut satu studi.

Ketika pemasok berkembang biak, sehingga pula risiko penipuan perusahaan, seperti melalui penipuan email bisnis (BEC). Aktor ancaman mungkin mengirim email phishing kepada anggota tim keuangan, atau bahkan eksekutif senior, meminta pembayaran untuk faktur yang tidak ada. Mereka membuat serangan mereka lebih pasti berhasil dengan meretas akun email klien/pemasok, sehingga mereka dapat memantau komunikasi dan memahami apa yang terlihat seperti faktur. Kerugian BEC yang dilaporkan ke FBI mencapai hampir $2,8 miliar tahun lalu, menjadikannya jenis kejahatan siber dengan pendapatan tertinggi kedua.

Lalu ada pemasok pemasok. Satu laporan 2023 mengklaim bahwa setengah dari organisasi yang dipelajari memiliki hubungan tidak langsung dengan setidaknya 200 pihak keempat yang mengalami pelanggaran dalam dua tahun terakhir. Semakin kecil pemasok, semakin sedikit sumber daya yang mereka miliki untuk menghabiskan pada praktik keamanan siber terbaik.

AI adalah Hadiah bagi Peretas

Teknologi AI semakin banyak digunakan oleh pelaku kejahatan siber untuk meningkatkan tingkat keberhasilan mereka. Bahkan, ahli pemerintah Inggris memperingatkan tahun ini bahwa teknologi tersebut “hampir pasti akan terus membuat elemen-elemen operasi intrusi siber lebih efektif dan efisien.”

Kita dapat melihat ini dalam cara AI generatif memungkinkan pembuatan kampanye phishing dalam bahasa lokal yang alami dan tanpa cela. Dalam cara itu dapat membantu aktor ancaman untuk menyelidiki kelemahan sistem dan memilih target mereka. Dan dalam cara itu mungkin bahkan membantu dalam pembuatan malware dan eksploit. Itulah mengapa AI akan menyebabkan “peningkatan frekuensi dan intensitas ancaman siber” selama dua tahun ke depan, menurut laporan.

Bergantung pada jenis dan luasnya insiden keamanan, dampak bagi klien pemasok yang dilanggar berkisar dari kerusakan finansial dan reputasi hingga risiko regulasi dan gangguan operasional. Semakin lama suatu insiden tidak terdeteksi, semakin lama waktu yang dimiliki aktor ancaman di dalam jaringan dan, pada akhirnya, semakin besar biaya untuk membersihkan dan pulih dari insiden tersebut. Sayangnya, kompromi rantai pasokan membutuhkan waktu terlama untuk diselesaikan, menurut IBM.

Sebuah contoh kasus adalah pengungkapan baru-baru ini tentang pelanggaran ransomware besar-besaran di Conduent, penyedia BPO dengan pendapatan miliaran dolar. Lebih dari 11 juta orang Amerika mungkin telah memiliki Nomor Keamanan Sosial, rincian asuransi kesehatan, dan informasi medis mereka terbuka, menurut laporan. Dan meskipun mereka baru saja diberitahu pada November 2025, lingkungan perusahaan dipercaya telah dikompromikan sejauh Oktober 2024.

Mengapa Pemantauan Berkelanjutan Penting

Untungnya, AI juga dapat membantu pihak yang baik untuk mengatasi tantangan umum dengan manajemen risiko siber pemasok. Terlalu banyak organisasi bergelut dengan proses manual yang lambat dan kuesioner yang panjang yang menyebabkan keterlambatan dan menciptakan blind spot visibilitas. Dokumentasi pemasok yang tidak konsisten membuatnya sulit untuk membandingkan skor risiko di seluruh ekosistem dan memahami apa yang paling penting bagi bisnis.

Sebaliknya, dengan pendekatan yang berbasis data dan AI, organisasi dapat membuat otomatisasi melakukan pekerjaan berat, baik pada pemasok maupun setelahnya. Yang terakhir penting karena risiko tidak berhenti sekali pemasok telah disetujui. Risiko terus berkembang, potensial setiap jam atau setiap hari, dengan setiap kerentanan perangkat lunak baru, pelanggaran data, atau akun yang salah konfigurasi. Pemasok mungkin berinvestasi pada infrastruktur baru, meningkatkan permukaan serangan siber mereka. Mereka mungkin menambahkan pemasok baru, mengubah eksposur risiko. Dan mereka mungkin menjadi target kampanye ancaman aktor yang baru.

Semua ini menuntut pendekatan yang lebih proaktif untuk manajemen risiko pihak ketiga, yang melampaui mengumpulkan dan memproses survei dan dokumentasi pemasok. Ini harus fokus pada mengidentifikasi risiko secara real-time, sehingga organisasi dapat mengambil tindakan cepat sebelum kerusakan terjadi.

Memulai dengan AI

Mencapai wawasan 360 derajat yang berkelanjutan ke dalam risiko siber pemasok akan memerlukan banyak data – dan algoritma cerdas untuk menandai pola yang mencurigakan. Semakin banyak data berkualitas, semakin baik visibilitasnya. Ini bisa termasuk umpan intelijen ancaman yang menyapu forum web gelap untuk tanda-tanda awal pelanggaran. Atau pemantauan kerentanan yang menyoroti pembaruan keamanan yang hilang di perusahaan pemasok. Ini mungkin juga melacak bukti kompromi email di antara departemen keuangan pemasok, yang mungkin menunjukkan serangan BEC yang akan datang. Atau pola transaksi yang mencurigakan yang melibatkan pemasok tersebut.

AI dapat dimanfaatkan untuk mengidentifikasi risiko kritis secara real-time, untuk mengambil tindakan segera. Dan untuk secara otomatis menetapkan skor risiko yang terus diperbarui untuk setiap pemasok, dengan bobot sesuai dengan kebijakan, postur, dan kritisitas klien.

AI agenik juga dapat menjadi sekutu yang kuat, bekerja secara otonom untuk mengonsumsi dan menganalisis dokumentasi pemasok yang kompleks seperti laporan SOC 2 dan kebijakan keamanan internal, dan memetakan kontrol ke kerangka yang mapan seperti NIST CSF atau ISO 27001. Ini dapat menyediakan visibilitas kepatuhan dalam hitungan menit, bukan jam, membebaskan waktu bagi tim keamanan dan risiko untuk bekerja pada tugas yang lebih berharga. Di organisasi yang matang, agen AI mungkin juga bekerja secara mandiri untuk menyelesaikan dan memperbaiki masalah rutin – atau setidaknya untuk mengarahkannya ke anggota tim yang tepat untuk perhatian segera.

Menggabungkan Semua

Kunci adalah untuk memastikan sistem apa pun untuk manajemen risiko siber pemasok yang terintegrasi, sehingga data risiko tidak berakhir di silo dan tidak dapat digunakan. Idealnya, platform yang sama akan memungkinkan jenis manajemen risiko pemasok lainnya, di seluruh area seperti kepatuhan, keberlanjutan, keuangan, dan operasi. Ini harus menyediakan jenis informasi yang dapat digunakan untuk membuat keputusan bisnis yang lebih baik.

Di atas semua, ingatlah bahwa risiko siber pada dasarnya adalah risiko bisnis. Risiko siber tidak pernah dapat dihilangkan. Namun, risiko siber dapat dikelola dengan lebih efektif.