Dalam era digital saat ini, banyak perusahaan sangat bergantung pada layanan vendor IT atau penyedia pihak ketiga untuk mendukung operasional bisnis. Di satu sisi, hal ini meningkatkan efisiensi dan fleksibilitas, namun di sisi lain menambah risiko keamanan. Vendor pihak ketiga yang tidak menerapkan standar keamanan siber secara memadai dapat menjadi celah bagi penyerang untuk masuk ke sistem perusahaan. Banyak serangan siber menargetkan kerentanan pada vendor atau mitra pihak ketiga, sehingga manajemen risiko vendor menjadi komponen penting dalam strategi keamanan organisasi. Oleh karena itu, penting untuk memahami tanda-tanda yang mengindikasikan vendor IT Anda tidak memenuhi standar keamanan siber yang diharapkan.

Apa Itu Standar Keamanan Siber untuk Vendor

Standar keamanan siber untuk vendor mencakup kebijakan, prosedur, dan kontrol teknis yang harus dipatuhi oleh penyedia layanan guna melindungi data dan sistem klien. Sebagai standar internasional yang populer, ISO/IEC 27001:2013 (ISO 27001) menyediakan kerangka kerja untuk mengelola keamanan informasi dalam organisasi, termasuk dalam hubungan dengan vendor pihak ketiga. Dengan sertifikasi ISO 27001, vendor menunjukkan bahwa mereka telah menerapkan Information Security Management System (ISMS) yang matang untuk menjaga data klien dan sistem TI mereka.

Selain ISO, terdapat standar lain yang relevan untuk vendor, seperti SOC 2 (umum di AS) atau PCI-DSS (untuk sistem pembayaran). Dalam praktiknya, perusahaan sering memeriksa sertifikat atau bukti kepatuhan vendor terhadap standar-standar tersebut. Vendor yang tidak sesuai ISO 27001, misalnya, dapat menimbulkan pertanyaan serius mengenai kekuatan sistem keamanannya. Sebagai tambahan, vendor sebaiknya menyediakan laporan audit dan sertifikasi pihak ketiga (SOC, ISO, PCI-DSS, dll.) sebagai bukti komitmen mereka terhadap keamanan data.

Standar keamanan siber vendor mencakup kebijakan, prosedur, dan kontrol teknis seperti yang ditetapkan dalam ISO 27001. Vendor bersertifikat ISO 27001 menunjukkan penerapan Sistem Manajemen Keamanan Informasi (ISMS) yang matang untuk melindungi data klien dan sistem TI mereka. Kepatuhan terhadap ISO 27001 diakui luas sebagai bukti bahwa organisasi telah menerapkan praktik keamanan informasi yang kuat.

10 Tanda Vendor Tidak Memenuhi Standar Keamanan Siber

Untuk membantu organisasi mengidentifikasi apakah vendor IT berpotensi menimbulkan ancaman, berikut kami rangkum sepuluh tanda umum vendor tidak aman:

1. Tidak Memiliki Sertifikasi atau Bukti Kepatuhan: Vendor yang andal biasanya bersertifikat ISO 27001, SOC 2, atau standar keamanan sejenis. Jika vendor tidak dapat menunjukkan sertifikat keamanan data apa pun, hal ini bisa menjadi tanda mereka tidak mengikuti standar keamanan data minimal. Ketidaksesuaian dengan standar internasional ISO 27001, misalnya, menunjukkan adanya kelemahan pada sistem manajemen keamanan informasi mereka.
2. Kurangnya Transparansi Keamanan: Vendor yang menghindar menjawab pertanyaan atau laporan audit keamanan vendor IT merupakan red flag. Jika vendor tidak memberikan jawaban jelas dalam audit keamanan, mereka bisa jadi menyembunyikan celah besar dalam program keamanan mereka. Kurangnya pelaporan insiden atau informasi tentang praktik keamanan adalah pertanda vendor kurang serius menangani risiko siber.
3. Tidak Melakukan Pengujian Keamanan Berkala: Vendor yang baik akan rutin melakukan uji penetrasi (penetration test) dan pemindaian kerentanan (vulnerability scanning) terhadap sistem mereka. Sebaliknya, vendor yang tidak melakukan pengujian keamanan rentan memiliki kelemahan tak terdeteksi. Praktisi keamanan menyarankan agar vendor melakukan pengujian seperti uji kerentanan dan penetrasi secara berkala, terutama jika vendor termasuk kategori berisiko sedang hingga tinggi. Ketiadaan pengujian semacam ini berarti potensi risiko terlewatkan.
4. Kebijakan Keamanan Tidak Jelas atau Tidak Lengkap: Vendor harus memiliki kebijakan terdokumentasi seperti klasifikasi data, retensi data, dan protokol pemusnahan data. Jika dokumen kebijakan tersebut tidak ada atau minim, vendor beroperasi dengan panduan keamanan yang lemah. Praktisi keamanan menekankan bahwa kekurangan kebijakan keamanan adalah tanda bahaya besar. Tanpa pedoman yang jelas, meningkat kemungkinan terjadinya celah dalam pengelolaan data dan penyalahgunaan hak akses.
5. Sistem Tidak Terpatch dan Firewall Terbuka: Vendor yang tidak secara rutin meng-update sistem operasi dan aplikasinya meninggalkan sistem dalam kondisi rentan. Begitu pula jika firewall mereka disetel secara longgar atau bahkan tidak ada. Tanpa firewall yang terkonfigurasi baik dan sistem yang sering diperbarui, vendor rentan dieksploitasi oleh penyerang. Ini mencakup kekurangan manajemen patch yang tepat serta jaringan yang tidak tersegmentasi dengan baik.
6. Kredensial Lemah dan Akun Bersama: Penggunaan kata sandi sederhana, akun bersama, atau kurangnya autentikasi dua faktor menunjukkan pengendalian akses yang buruk. Vendor yang memperbolehkan beberapa pengguna masuk dengan satu kredensial login mudah dikompromikan. Teknik kredensial lemah seperti ini merupakan pintu masuk yang bisa dimanfaatkan penyerang untuk menerobos sistem.
7. Pernah Terkena Insiden Keamanan Sebelumnya: Rekam jejak vendor sangat penting. Jika vendor pernah mengalami kebocoran data atau peretasan di masa lalu, itu adalah sinyal bahaya. Vendor yang pernah mengalami peretasan lebih besar kemungkinannya diretas lagi, terutama jika pelajaran dari insiden sebelumnya tidak diambil. Penyerang sering meninggalkan backdoor dari serangan sebelumnya yang dapat dieksploitasi ulang jika tidak ditutup.
8. Tidak Memiliki Kebijakan Pelatihan dan Akses: Vendor harus memastikan setiap karyawannya memahami prosedur keamanan. Vendor yang tidak melakukan pemeriksaan latar belakang atau pelatihan keamanan berkala kepada karyawan mereka membiarkan kelemahan dari faktor manusia. Praktik terbaik mengharuskan vendor melakukan screening karyawan, perjanjian kerahasiaan, dan pelatihan keamanan secara rutin. Absenninya pelatihan dan kebijakan SDM yang ketat dapat menjadi tanda vendor tidak memenuhi standar keamanan.
9. Tidak Menyertakan Klausul Keamanan dalam Kontrak: Jika kesepakatan kerja sama (kontrak atau SLA) dengan vendor tidak mencakup klausul keamanan yang ketat, ini pertanda vendor mengabaikan tanggung jawab keamanan. Kontrak idealnya mencakup persyaratan enkripsi data, pelaporan insiden dalam waktu tertentu, audit keamanan berkala, dan sanksi atas ketidakpatuhan. Ketiadaan klausul seperti ini berarti vendor tidak terikat secara legal untuk memenuhi standar keamanan data perusahaan.
10. Tidak Menerapkan Asuransi Keamanan Siber: Vendor sebaiknya menyediakan asuransi siber yang melindungi potensi kerugian akibat insiden keamanan. Jika vendor menolak memiliki asuransi keamanan siber, ini bisa menjadi pertanda kurangnya tanggung jawab mereka terhadap risiko pihak ketiga. Asuransi keamanan siber merupakan praktik baik untuk mengalihkan sebagian risiko kerugian akibat pelanggaran data.

Risiko yang Ditimbulkan oleh Vendor Tidak Aman

Vendor pihak ketiga yang tidak aman dapat menimbulkan risiko keamanan serius bagi perusahaan klien. Kontak dengan vendor tersebut menambah titik lemah dalam infrastruktur TI dan membuka peluang serangan. Berikut beberapa jenis risiko yang dapat muncul akibat vendor tidak aman:

• Kebocoran Data: Vendor yang tidak aman dapat menjadi pintu masuk pencurian data sensitif. Manajemen risiko pihak ketiga (TPRM) menegaskan bahwa insiden vendor dapat menyebabkan kebocoran data besar dan pelanggaran keamanan. Misalnya, peretas yang mengeksploitasi kelemahan vendor dapat mencuri informasi rahasia perusahaan.
• Gangguan Operasional: Ketergantungan pada vendor berarti jika vendor mengalami insiden atau downtime, operasional perusahaan ikut terhenti. TPRM menunjukkan vendor rentan menimbulkan gangguan operasional besar saat gagal memenuhi komitmen keamanan mereka. Dampak seperti layanan terputus atau sistem tak dapat diakses bisa terjadi.
• Akses Tidak Sah ke Jaringan: Koneksi yang tidak aman ke vendor dapat membuka jalur bagi penyerang masuk ke infrastruktur internal. Sebagai catatan, insecure vendor connections berpotensi memberikan akses tidak sah ke jaringan organisasi. Artinya, kelemahan sistem vendor dapat digunakan sebagai pijakan untuk melancarkan serangan lebih dalam.
• Kerugian Finansial dan Hukum: Pelanggaran data akibat vendor dapat menimbulkan biaya besar untuk perbaikan, serta denda dan hukuman hukum. Jika vendor memproses data pelanggan, pelanggaran tersebut bisa membuat perusahaan klien melanggar aturan perlindungan data (misalnya UU PDP). Akibatnya, perusahaan dapat terkena sanksi dan kerugian finansial.
• Kerusakan Reputasi: Kebocoran data akibat vendor merusak citra perusahaan di mata pelanggan dan pemangku kepentingan. Kepercayaan publik terhadap keamanan perusahaan akan turun drastis jika terjadi insiden semacam ini.
• Risiko Rantai Pasokan (Supply Chain): Insiden keamanan vendor tidak hanya merugikan satu organisasi, tetapi dapat menimbulkan efek domino pada ekosistem supply chain. Serangan supply chain dapat melibatkan banyak entitas lain yang terhubung dengan vendor tersebut.

Secara keseluruhan, vendor yang tidak mematuhi standar keamanan sangat meningkatkan paparan perusahaan terhadap semua jenis ancaman di atas. Pendekatan manajemen risiko pihak ketiga (TPRM) menegaskan bahwa proses audit dan pemantauan yang menyeluruh dapat mengurangi risiko kebocoran data, security breach, dan gangguan operasional. Sebaliknya, vendor yang tidak memenuhi standar ini akan menjadi titik lemah dalam strategi keamanan organisasi.

Cara Melakukan Evaluasi Keamanan Vendor

Mengelola risiko vendor harus dimulai dari proses evaluasi yang sistematis. Berikut langkah-langkah yang direkomendasikan:

• Audit dan Penilaian Keamanan Berkala: Lakukan audit keamanan vendor secara rutin. Sebelum kerja sama dan secara berkala selama kemitraan, evaluasi postur keamanan mereka melalui penilaian risiko pihak ketiga. Pastikan vendor memiliki praktik keamanan memadai. Misalnya, verifikasi sertifikat ISO/SOC dan tinjau hasil pen-test atau laporan kerentanan mereka.
• Checklist Keamanan Vendor: Buat checklist keamanan vendor yang mencakup hal-hal penting seperti patch management, enkripsi data, kontrol akses (termasuk MFA), manajemen log, dan pemulihan bencana. Checklist ini membantu memastikan setiap aspek keamanan diperiksa secara sistematis.
• Due Diligence Kebijakan dan Prosedur: Pelajari kebijakan keamanan informasi vendor, termasuk prosedur tanggap insiden dan proteksi data. Sebelum memilih vendor, lakukan due diligence mendalam terhadap kebijakan dan perlindungan data mereka. Berhati-hatilah jika vendor enggan menunjukkan dokumen-dokumen ini.
• Kontrak dan Klausul Keamanan: Selalu sertakan klausul keamanan siber dalam perjanjian kerja. Termasuk persyaratan enkripsi data, pelaporan insiden dalam waktu tertentu, audit keamanan, dan sanksi jika ketentuan dilanggar. Misalnya, tuliskan hak perusahaan untuk melakukan audit keamanan vendor atau menetapkan denda atas pelanggaran.
• Pemantauan Berkelanjutan: Jangan hanya mengandalkan pemeriksaan awal. Selalu lakukan pemantauan keamanan pihak ketiga secara berkelanjutan. Gunakan alat manajemen risiko pihak ketiga (TPRM) untuk memantau postur keamanan vendor dari waktu ke waktu. Ini termasuk memantau pembaruan sistem mereka, perubahan kepemilikan, dan peringatan keamanan baru.
• Uji Keamanan Mandiri: Jika memungkinkan, minta akses untuk melakukan audit keamanan sendiri atau melalui pihak ketiga. Penetration test independen atau audit keamanan pihak ketiga dapat memberi gambaran lebih jelas. Pastikan vendor transparan dalam membagikan temuan dan perbaikan.
• Perjanjian Asuransi: Pertimbangkan kewajiban asuransi siber dalam kontrak vendor. Vendor yang baik sering diminta menyediakan asuransi keamanan siber untuk menanggung potensi kerugian. Sertakan juga Service Level Agreement (SLA) yang mencakup jaminan tingkat keamanan dan konsekuensi atas pelanggaran.

Dengan mengevaluasi vendor melalui langkah-langkah di atas, perusahaan dapat mengidentifikasi dan menutup celah keamanan sebelum penyerang memanfaatkannya. Pendekatan ini sesuai prinsip TPRM, yaitu menilai dan memantau keamanan pihak ketiga secara menyeluruh.

Studi Kasus

Kasus Kaseya (Juli 2021): Pada Juli 2021, penyedia layanan TI Kaseya diserang oleh kelompok ransomware REvil. Peretas mengeksploitasi kerentanan dalam perangkat lunak pembaruan Kaseya dan menyebarkan ransomware melalui pembaruan resmi tersebut. Akibatnya, lebih dari 1.500 bisnis di seluruh dunia menjadi korban infeksi sibermate.com. Insiden ini menunjukkan bagaimana celah keamanan pada satu vendor (software manajemen TI) bisa berdampak luas ke ratusan organisasi.

Kasus SolarWinds (Desember 2020): Insiden SolarWinds pada akhir 2020 adalah salah satu serangan rantai pasokan terbesar. Peretas menyisipkan backdoor pada pembaruan resmi SolarWinds Orion (alat pemantauan jaringan). Sekitar 18.000 entitas, termasuk lembaga pemerintah AS dan perusahaan besar, terinfeksi karena pembaruan tersebut sibermate.com. Kejadian ini menekankan pentingnya memeriksa setiap pembaruan perangkat lunak vendor dan melakukan segmentasi jaringan untuk mencegah penyebaran serangan.

Kedua studi kasus di atas mempertegas bahwa vendor pihak ketiga yang diabaikan keamanannya dapat menjadi pintu masuk serangan skala besar. Dengan memahami contoh nyata tersebut, perusahaan diharapkan lebih berhati-hati dan proaktif dalam evaluasi keamanan setiap vendor.

Kesimpulan dan Rekomendasi

Vendor IT yang tidak memenuhi standar keamanan siber menimbulkan beragam risiko signifikan bagi perusahaan. Oleh karena itu, perusahaan harus proaktif dalam mengelola risiko ini. Sebagai kesimpulan, perhatikan beberapa langkah rekomendasi berikut:

• Perketat Proses Seleksi Vendor: Hanya pilih vendor yang memenuhi persyaratan keamanan, dengan memprioritaskan sertifikasi seperti ISO 27001. Hindari vendor yang menolak menjawab audit keamanan atau tidak dapat membuktikan kepatuhan standar.
• Audit dan Monitor Secara Rutin: Lakukan evaluasi keamanan vendor IT secara berkala. Minta laporan audit terbaru dan lakukan penilaian mandiri jika perlu. Perbarui checklist keamanan vendor secara teratur untuk mengakomodasi ancaman dan regulasi baru.
• Perkuat Kontrak dan SLA: Tinjau kontrak kerja sama untuk memastikan klausul keamanan siber sudah lengkap. Cantumkan kewajiban enkripsi data, pelaporan insiden tepat waktu, audit tahunan, dan sanksi atas pelanggaran. Hal ini memberi insentif legal agar vendor patuh.
• Manajemen Risiko Pihak Ketiga (TPRM): Implementasikan kerangka TPRM yang mencakup penilaian risiko vendor menyeluruh. Gunakan alat dan layanan TPRM untuk memberikan peringatan dini jika ada perubahan profil risiko vendor. Sertakan pelatihan internal yang mengedepankan kepatuhan vendor.
• Penanganan Insiden: Siapkan rencana respons jika terjadi insiden yang melibatkan vendor. Pastikan ada mekanisme cepat untuk memutus akses vendor jika terdeteksi pelanggaran, serta prosedur mitigasi dampak.
• Kolaborasi dan Kepatuhan: Jalin komunikasi terbuka dengan vendor mengenai kebijakan keamanan. Undang vendor untuk diskusi keamanan berkala dan berbagi praktik terbaik. Pilih vendor yang juga mematuhi peraturan perlindungan data (misalnya, UU Perlindungan Data Pribadi) untuk meminimalkan risiko hukum.

Dengan menerapkan langkah-langkah tersebut, perusahaan dapat meminimalkan paparan terhadap risiko vendor pihak ketiga dan menjaga kepercayaan atas keamanan data. Selalu ingat bahwa vendor yang aman bukan hanya melindungi sistem mereka sendiri, tetapi juga menjadi bagian dari pertahanan menyeluruh perusahaan Anda.