Merdeka.com - Laporan Kaspersky IT Security Economics mengungkap, kian parahnya insiden keamanan siber yang mempengaruhi bisnis melalui supplier atau pihak ketiga, tempat mereka berbagi data. Disebut dalam laporan tersebut, rata-rata kerugian finansial dari peristiwa yang menarget perusahaan mencapai USD 1,4 juta (setara Rp 19,8 miliar) pada 2021.

Hal ini menjadikan serangan siber terhadap supplier data pihak ketiga jadi jenis insiden paling merugikan secara materi. Sekadar informasi dalam bisnis, biasanya data didistribusikan di beberapa pihak ketiga, termasuk penyedia layanan, mitra, pemasok, dan anak perusahaan.

Melihat hal ini, Kaspersky menyebut organisasi perlu mempertimbangkan tak hanya risiko keamanan siber yang mempengaruhi sistem IT internal tetapi juga risiko yang berpotensi datang dari pihak luar mereka.

Survei memperlihatkan, sepertiga (32 persen) organisasi besar mengalami serangan siber melibatkan data yang dibagikan dengan pemasok. Jumlah ini tidak berubah signifikan sejak laporan 2020 diterbitkan (33 persen).

Serangan lain yang menunjukkan kerugian finansial lebih rendah termasuk kerugian fisik perangkat milik perusahaan (USD 1,3 juta/ Rp 18,4 miliar), cryptomining (merugikan USD 1,3 juta/ Rp 18,4 miliar), dan penggunaan sumber daya IT yang tidak tepat oleh karyawan (merugikan USD 1,3 juta/ Rp 18,4 miliar).

Menurut laporan yang sama, kerugian finansial rata-rata dari tiap serangan menurun. Bahkan ada penurunan 15 persen dibandingkan tahun lalu, yakni USD 971 ribu pada 2021 dan USD 1,09 juta pada 2020.

Alasan yang membuat penurunan kerugian finansial adalah kemungkinan adanya investasi dalam tindakan pencegahan terhadap serangan. Alasan lain yang mungkin ada karena perusahaan cenderung tidak melaporkan pelanggaran data. Executive VP Corporate Business Kaspersky Evgeniya Naumova mengungkap, pesan dari serangan siber adalah

"Penting bagi organisasi untuk mengetahui risiko pelanggaran data yang melibatkan data bersama dengan pemasok, ketika mengevaluasi kebutuhan keamanan untuk bisnis," jelas dia.

Audit Pihak Ketiga

Menurutnya, perusahaan harus melakukan penilaian terhadap pemasok berdasarkan jenis pekerjaan dan kompleksitas yang diterima.

"Perusahaan juga harus memastikan mereka hanya berbagi data dengan pihak ketiga yang andal dan memperketat persyaratan keamanan pada pemasok," katanya.

Evgeniya juga mengatakan, transfer data adalah hal sensitif. Oleh karenanya, perlu ada proses dokumentasi dan sertifikasi dari pemasok untuk membuktikan bahwa mereka bekerja sesuai standar keamanan.

"Kami menyarankan perusahaan melakukan audit kepatuhan awal terhadap pemasok, sebelum menandatangani kontrak apa pun," ujarnya.

Sumber: Liputan6.comReporter: Agustin Setyo Wardani