Laporan baru dari SecurityScorecard mengungkap tren yang mengejutkan di antara perusahaan energi teratas dunia, dengan 90% mengalami pelanggaran data melalui pihak ketiga selama setahun terakhir. Statistik ini sangat mengkhawatirkan mengingat fungsi penting yang dilayani perusahaan-perusahaan ini dalam kehidupan sehari-hari.
Ketergantungan mereka yang meningkat pada sistem digital memfasilitasi peningkatan serangan terhadap jaringan infrastruktur. Kondisi ini menjelaskan perlunya perusahaan-perusahaan energi ini untuk mengadopsi pendekatan proaktif untuk mengamankan jaringan dan informasi pelanggan mereka.
Sektor energi menghadapi tantangan yang signifikan pada tahun 2023, ditandai dengan peningkatan signifikan dalam pelanggaran data pihak ketiga. Insiden ini lebih dari sekadar membocorkan informasi sensitif—tetapi juga memunculkan keraguan terhadap protokol keamanan industri. Pelanggaran bervariasi, tetapi mengakibatkan kerugian finansial, merusak reputasi, dan mengikis kepercayaan pelanggan.
Beberapa temuan utama dalam laporan ini termasuk:
Lonjakan pelanggaran ini mendorong sektor ini untuk memperkuat langkah-langkah keamanannya, yang berpotensi mengarah pada pertahanan yang lebih kuat terhadap insiden di masa depan.
Ketika berfokus pada ekspansi, perusahaan energi sering melibatkan beberapa vendor pihak ketiga untuk layanan khusus. Mitra eksternal ini, mulai dari perangkat lunak hingga penyedia logistik, menggunakan konfigurasi keamanan unik mereka.
Meskipun menawarkan beberapa manfaat, kolaborasi ini juga membuka celah keamanan baru. Sistem vendor yang disusupi dapat menjadi pintu gerbang bagi penjahat cyber untuk menembus jaringan data mitra.
Faktor kunci lain dalam meningkatnya insiden pelanggaran cyber adalah dorongan sektor energi menuju digitalisasi. Integrasi teknologi seperti perangkat IoT, komputasi cloud, dan machine learning menawarkan banyak keuntungan tetapi juga memperluas permukaan serangan.
Karena banyak perusahaan energi memprioritaskan pertumbuhan, mempertahankan pemahaman menyeluruh tentang keamanan rantai pasokan mereka sering kali kurang mendapat perhatian. Kekurangan dalam pengawasan ini dapat menyebabkan titik lemah tidak terdeteksi, menimbulkan tantangan dalam mengatasi kerentanan secara preemtif. Area yang diabaikan ini dapat menjadi target utama bagi penyerang siber yang ingin mengeksploitasi celah keamanan tersebut.
Entitas infrastruktur penting harus waspada terhadap pelanggaran pihak ketiga, karena insiden ini tidak hanya menimbulkan risiko pada stabilitas keuangan tetapi juga pada efektivitas operasional dan citra publik mereka.
Dampak ekonomi dari pelanggaran data sangat besar. Biaya dapat berupa pengeluaran langsung untuk mendeteksi dan memperbaiki pelanggaran, hingga hukuman berdasarkan peraturan dan kemungkinan tindakan hukum dari mereka yang terkena dampak. Laporan terbaru dari IBM tentang biaya pelanggaran data pada tahun 2023 mengungkapkan bahwa rata-rata kerugian finansial akibat insiden semacam ini tahun lalu mencapai 4,45 juta USD, yang menandai peningkatan sebesar 15% dalam tiga tahun terakhir.
Pelanggaran yang berasal dari pihak ketiga dapat sangat mengganggu proses operasional. Hal ini dapat menyebabkan periode tidak aktif dan penurunan produktivitas. Dalam kasus ekstrem, organisasi mungkin merasa perlu untuk sepenuhnya menangguhkan operasi mereka untuk mengelola situasi. Penghentian aktivitas ini sangat penting bagi organisasi yang bertanggung jawab atas layanan penting seperti listrik, air, dan transportasi, karena dapat menyebabkan efek sosial yang meluas.
Terlepas dari implikasi keuangan dan operasional dari pelanggaran pihak ketiga, ada juga risiko terhadap reputasi perusahaan. Kepercayaan sangat penting, dan ketika hilang, bisa sangat sulit untuk dibangun kembali. Hal ini dapat menimbulkan keraguan pada kemampuan organisasi untuk melindungi informasi sensitif, yang akan memengaruhi pertumbuhan bisnisnya di masa depan.
Dengan meningkatnya kekhawatiran atas pelanggaran pihak ketiga, perusahaan sektor energi tidak duduk diam dan menerapkan langkah-langkah keamanan yang lebih baik untuk melindungi diri terhadap ancaman ini. Di bawah ini adalah beberapa taktik utama yang mereka gunakan.
Evaluasi vendor menyeluruh harus dilakukan untuk mengurangi risiko pihak ketiga. Langkah ini sangat penting untuk memastikan bahwa protokol dan praktik keamanan mitra sesuai dengan standar perusahaan. Langkah ini mencakup penilaian praktik keamanan mereka, seperti kebijakan perlindungan data, rencana respons insiden, kepatuhan terhadap peraturan, dan status keuangan.
Komponen penting dari manajemen risiko pihak ketiga melibatkan audit berkelanjutan dan pemantauan sistem dan jaringan vendor eksternal. Pengawasan berkelanjutan ini membantu perusahaan deteksi perubahan dalam profil risiko vendor dan mengidentifikasi potensi ancaman dengan lebih cepat. Memanfaatkan alat pemantauan real-time untuk peringatan langsung tentang aktivitas yang tidak biasa dan audit rutin memastikan bahwa vendor secara konsisten memenuhi standar keamanan yang ditetapkan.
Dalam bisnis reguler dengan pihak ketiga, berbagi data dengan aman adalah sebuah hal penting. Perusahaan mengadopsi protokol transfer data yang aman seperti enkripsi data, sistem transfer file yang aman, dan manajemen akses yang ketat.
Segmentasi jaringan adalah strategi penting lainnya untuk mengurangi risiko pihak ketiga. Strategi ini melibatkan pemisahan jaringan menjadi segmen yang berbeda, masing-masing dilindungi oleh langkah-langkah keamanan tertentu, melokalisasi dan membatasi dampak dari setiap pelanggaran potensial.
Peningkatan serangan baru-baru ini terhadap vendor pihak ketiga menyoroti pentingnya terus memperbarui dan meningkatkan strategi manajemen risiko pihak ketiga. Dengan melakukan ulasan dan meningkatkan strategi ini secara teratur, perusahaan dapat selalu siap menghadapi ancaman potensial dan memastikan keamanan data pelanggan mereka.