Kerentanan keamanan siber dalam rantai pasok teknologi sering kali menjadi berita utama, menjadikannya prioritas utama bagi setiap bisnis. Di era digital saat ini, hampir setiap perusahaan adalah perusahaan teknologi, dengan digitalisasi, otomatisasi, dan solusi data terintegrasi dalam berbagai operasional. Namun, kemajuan ini juga membawa risiko. Salah satu risiko paling krusial adalah tanggung jawab atas teknologi sering kali tidak sepenuhnya berada di tangan perusahaan itu sendiri, melainkan tersebar di berbagai pemasok pihak ketiga (third-party), penyedia layanan, dan subkontraktor.
Dengan mengalihdayakan layanan IT, perusahaan dapat membuka peluang efisiensi dan inovasi. Sisi negatifnya, mereka juga bisa kesulitan memastikan bisnis mereka tetap aman dan tangguh (resilient). Rantai pasok teknologi modern tidak lagi menyerupai rantai lurus. Sebaliknya, mereka lebih mirip jaring laba-laba tiga dimensi, di mana setiap helai terhubung dan bergantung pada yang lain, dan beberapa di antaranya berada jauh dari pandangan langsung perusahaan. Oleh karena itu, manajemen risiko teknologi semakin tidak hanya berfokus pada hubungan pemasok langsung, tetapi juga pada pihak ketiga yang jauh dan kadang-kadang tidak jelas, atau yang disebut nth parties, yang sering kali berada beberapa lapis di bawah visibilitas langsung perusahaan.
Jaringan Teknologi Modern: Lebih dari Sekadar Rantai Pasok
Insiden siber yang melibatkan pemasok pihak ketiga dan nth-party adalah sumber risiko yang signifikan. Dalam beberapa kasus, insiden ini bahkan menyebabkan hilangnya data ratusan juta orang. Faktanya, selama dua tahun terakhir, hampir sepertiga serangan siber terkait dengan rantai pasok teknologi, dan berbagai insiden telah menyoroti efek berantai yang dapat ditimbulkan oleh satu pemasok yang terkompromi terhadap organisasi dan sektor lainnya.
Meskipun perusahaan terkadang menghabiskan jutaan rupiah untuk kontrol, pengawasan rantai pasok sering kali masih sangat mendasar. Pengawasan tersebut hanya terdiri dari respons yang tidak tervalidasi dalam kuesioner risiko atau klausul sederhana dalam kontrak. Alternatifnya, perusahaan terlalu fokus pada risiko siber pemasok sehingga mereka lambat dalam mengimplementasikan solusi yang berguna dengan ROI tinggi secara tepat waktu. Dengan meningkatnya insiden ransomware, pelanggaran data (data breaches), dan serangan rantai pasok (masing-masing naik 83%, 135%, dan 236% selama dua tahun terakhir), perusahaan sangat perlu meningkatkan kapabilitas mereka.
Keterbatasan Pendekatan Tradisional terhadap Risiko Nth-Party
Program manajemen risiko nth-party tradisional sering kali gagal dalam memitigasi risiko yang muncul. Perusahaan bisa melewatkan kerentanan sesederhana email phishing dan melihat dampaknya menyebar ke seluruh operasional mereka. Selain itu, seiring bertambahnya inventaris pemasok, pergeseran kepemilikan dan hubungan yang tumpang tindih sering kali mengaburkan ketergantungan. Akibatnya, program manajemen risiko dapat dengan cepat kewalahan.
Berikut adalah beberapa tantangan paling umum:
- Jumlah Pemasok yang Tinggi: Organisasi berinteraksi dengan banyak pemasok dan penyedia layanan. Akibatnya, mereka kesulitan mengevaluasi dan memantau setiap pemasok dalam ekosistem secara komprehensif, meninggalkan celah signifikan dalam pengawasan.
- Kurangnya Inspeksi Mendalam: Program tradisional sering kali mengandalkan penilaian berkala dan daftar periksa statis, yang dicirikan oleh kepatuhan berbasis kuesioner dan sertifikasi keamanan. Mereka tidak mendalami efektivitas operasional atau cakupan kontrol di lingkungan penyedia layanan. Ini bisa memberikan rasa aman yang palsu jika tidak divalidasi.
- Kendala Biaya dan Sumber Daya: Penilaian risiko komprehensif dan pemantauan berkelanjutan terhadap hubungan pihak ketiga memerlukan sumber daya finansial dan manusia. Banyak organisasi menghadapi keterbatasan anggaran dan staf, yang dapat menghambat kemampuan mereka untuk memeriksa setiap pemasok secara menyeluruh.
- Risiko yang Saling Terhubung: Pelanggaran atau gangguan pada satu pemasok dapat menimbulkan efek riak di seluruh jaringan. Seringkali, program mungkin tidak secara memadai memperhitungkan risiko yang saling terhubung ini.
- Blind Spots di Luar Tier Satu: Sebagian besar perusahaan memetakan pemasok tier satu tetapi kurang memiliki visibilitas ke dalam ketergantungan pihak keempat dan kelima, di mana layanan kritis sering kali berada.
- Lanskap Ancaman yang Dinamis dan Berkembang: Kerangka kerja tradisional mungkin tidak dirancang untuk beradaptasi dengan cepat, membuat organisasi terpapar pada ancaman baru.
- Kecepatan Perubahan: Proses saat ini dirancang untuk menilai pemasok pada titik waktu tertentu, seperti selama kontrak layanan. Namun, dengan teknologi yang sering mengalami pembaruan berkelanjutan tanpa siklus kontrak formal, proses pengawasan gagal mengimbangi.
Kurangnya Otomatisasi dan Peringatan Real-Time: Perusahaan sering kekurangan solusi otomatis dan dashboard untuk memantau risiko kompleks seperti integrasi data baru ke dalam alur kerja yang ada. Peringatan real-time* juga sering kali tidak ada.
- Terlalu Banyak Audit: Seringkali, unit bisnis individu melakukan audit secara terpisah, meskipun dilayani oleh pemasok yang sama, menciptakan beban biaya dan operasional yang tidak perlu.
- Tidak Ada Standar Minimum: Perusahaan gagal menetapkan standar pemasok minimum yang dikontrak untuk mendukung ketahanan pemasok.
- Risiko Konsentrasi: Ada sejumlah kecil pemasok yang mengoperasikan infrastruktur dan jaringan dasar yang menjalankan sebagian besar sistem perusahaan besar. Gangguan atau serangan pada salah satunya dapat menyebabkan konsekuensi bencana bagi bisnis tanpa rencana darurat atau penyedia alternatif.
Fokus pada yang Kritis: Pendekatan Berbasis Proses Bisnis
Untuk mengatasi kekurangan dalam pengawasan rantai pasok IT, perusahaan terkemuka mengambil pendekatan alternatif. Alih-alih mencoba mengawasi setiap pihak dalam rantai pasok mereka, mereka memprioritaskan hubungan yang paling penting secara strategis. Dengan demikian, alih-alih fokus tradisional pada pemasok yang “kritis siber” (cyber critical), mereka berfokus pada hubungan yang “kritis bisnis” (business critical) yang memungkinkan proses paling penting mereka berjalan.
Jumlah dari elemen-elemen ini membentuk apa yang dikenal sebagai “perusahaan minimum yang layak” (minimum viable company): kumpulan terkecil dari orang, proses, teknologi, dan pemasok yang diperlukan untuk menjalankan fungsi inti perusahaan bahkan ketika tautan nth-party di hulu gagal. Pendekatan strategis terhadap manajemen risiko nth-party ini didorong oleh regulasi seperti European Union’s Digital Operational Resilience Act (DORA) dan aturan ketahanan operasional lainnya di berbagai negara, yang menekankan pentingnya memastikan pendekatan manajemen risiko pemasok mencerminkan profil risiko unik perusahaan dan kekritisan proses bisnis yang bersangkutan.
Membangun Ketahanan dengan Visibilitas yang Lebih Baik
Pendekatan berbasis proses bisnis ini membutuhkan visibilitas yang jauh lebih baik ke dalam ketergantungan nth-party dibandingkan pendekatan tradisional. Ini bukan hanya tentang mengetahui siapa pemasok langsung Anda, tetapi juga siapa pemasok dari pemasok Anda, terutama yang mendukung fungsi bisnis yang sangat penting. Misalnya, dalam sektor manufaktur di Surabaya, deteksi cacat produk adalah proses bisnis kritis. Solusi monitoring alat berat dan deteksi cacat produk berbasis AI/IoT mungkin bergantung pada sensor dari satu pemasok, platform cloud dari pemasok lain, dan layanan pemeliharaan dari pihak ketiga. Gangguan pada salah satu dari nth parties ini dapat menghentikan seluruh lini produksi.
Visibilitas ini memungkinkan perusahaan untuk:
Mengidentifikasi titik-titik kegagalan tunggal (single points of failure*) dalam rantai pasok IT mereka.
Menilai dampak potensial dari gangguan nth-party* pada proses bisnis kritis.
- Mengembangkan rencana mitigasi dan kontingensi yang efektif, termasuk mencari penyedia alternatif atau menyiapkan prosedur manual.
Menetapkan standar keamanan dan ketahanan minimum yang jelas untuk pemasok nth-party* yang kritis dan memastikannya dipatuhi.
Solusi teknologi canggih, seperti analitik video AI untuk memantau operasional atau sistem kendaraan dan parkir cerdas yang mengandalkan LPR, menjadi bagian dari “perusahaan minimum yang layak” ini. Memastikan solusi ini tangguh dan aman, bahkan jika komponen pendukungnya (server, jaringan, software libraries) mengalami masalah, adalah kunci ketahanan bisnis.
Bagaimana ARSA Technology Dapat Membantu?
ARSA Technology, sebagai perusahaan teknologi lokal yang berpengalaman sejak 2018 di Indonesia, memahami kompleksitas operasional bisnis di berbagai sektor, mulai dari manufaktur di Jawa Timur hingga fasilitas kesehatan di Jakarta. Solusi kami, seperti analitik video AI real-time dan teknologi kesehatan mandiri, seringkali menjadi bagian integral dari proses bisnis kritis klien kami.
Kami tidak hanya menyediakan teknologi, tetapi juga kemitraan yang berfokus pada ketahanan. Dengan solusi berbasis edge computing melalui ARSA AI Box Series, sebagian besar pemrosesan data dilakukan secara lokal, mengurangi ketergantungan pada infrastruktur cloud yang kompleks dan berpotensi mengurangi eksposur terhadap risiko nth-party yang jauh. Kami membantu klien mengidentifikasi bagaimana solusi kami terintegrasi dengan infrastruktur mereka dan mengelola risiko terkait untuk memastikan operasional tetap berjalan lancar.
Kesimpulan
Di tengah lanskap ancaman siber yang terus berkembang, mengelola risiko IT dari pemasok nth-party bukan lagi pilihan, melainkan keharusan. Pendekatan tradisional yang hanya berfokus pada pemasok langsung dan kepatuhan dasar tidak lagi memadai. Perusahaan di Indonesia perlu mengadopsi pendekatan berbasis proses bisnis kritis, mengidentifikasi “perusahaan minimum yang layak” mereka, dan mendapatkan visibilitas mendalam ke dalam seluruh rantai pasok teknologi yang mendukungnya.
Dengan fokus pada ketahanan operasional dan kolaborasi strategis dengan mitra teknologi terpercaya seperti ARSA Technology, bisnis dapat membangun fondasi digital yang lebih kuat dan tangguh, siap menghadapi tantangan di era digital.
Konsultasikan kebutuhan AI Anda dengan tim ARSA Technology. Hubungi kami untuk diskusi gratis.
