Rantaian pasokan perangkat lunak selalu rentan—JP Morgan hanya mengatakannya dengan lantang

Ketika Chief Information Security Officer JP Morgan Patrick Opet membunyikan lonceng alarm minggu ini di perusahaan Amerika dengan surat terbuka kepada industri untuk memprioritaskan keamanan dalam rantai pasokan perangkat lunak, hanya sedikit orang yang mendengar sesuatu yang belum pernah mereka dengar sebelumnya. Apa yang begitu mencolok tentang berita itu adalah bahwa itu berasal dari bank AS terbesar (berdasarkan aset) dan bank terbesar di dunia (berdasarkan kapitalisasi pasar) —dan lembaga keuangan umumnya tidak dikenal karena pernyataan mereka yang berani dan penuh tenggorokan.

Selain itu, surat Opet menyoroti risiko khusus untuk sektor yang lebih diatur dan sensitif seperti keuangan, di mana biaya kegagalan dapat mencapai triliunan dolar. Laporan Biaya Pelanggaran Data IBM® 2024 menemukan bahwa rata-rata biaya global untuk satu pelanggaran di industri keuangan adalah 6,08 juta USD, nomor dua setelah biaya pelanggaran layanan kesehatan yang mencapai 9,77 juta USD.

“Kemudahan tidak bisa lagi melampaui kontrol”, kata Opet dalam posting LinkedIn- nya, dan meminta penyedia perangkat lunak pihak ketiga, pemimpin keamanan, dan komunitas teknologi yang lebih luas untuk melihat lebih dekat “titik kegagalan tunggal” yang dapat menyebabkan “konsekuensi yang berpotensi bencana di seluruh sistem”.

“Kenyamanan“ ini dapat terlihat seperti sistem data dan proses yang terintegrasi dengan lancar yang diperbarui tanpa jeda atau interaksi manual, yang tidak dapat disangkal lagi merupakan tujuan bisnis. Namun, seperti yang diperingatkan oleh Nataraj Nagaratnam, CTO IBM® untuk Keamanan dan Infrastruktur AI, “Karena agen AI mempopulerkan penggunaan AI yang lebih otonom, misalnya, lebih penting dari sebelumnya untuk memastikan langkah-langkah keamanan tingkat perusahaan sesuai dengan risiko yang datang dengan inovasi ini.”

Nagaratnam berbicara kepada IBM® Think dari lantai acara RSA di San Francisco, di mana ia bergabung dengan 40.000 profesional keamanan di salah satu acara keamanan siber terbesar tahun ini. Surat Opet adalah topik du jour, menimbulkan perdebatan — dan pengakuan bahwa ini adalah seruan untuk senjata untuk menciptakan standar di seluruh industri dan cara mengukur kepatuhan terhadapnya.

Pada masa-masa awal ini, para juri masih belum memutuskan standar dan ukuran apa yang seharusnya digunakan. Namun taruhannya tidak bisa lebih tinggi lagi. Salah satu contoh: serangan ransomware pada vendor perangkat lunak CDK Global, yang menyediakan layanan perangkat lunak untuk industri otomotif, merugikan dealer mobil lebih dari USD 1 miliar secara kolektif, menurut perkiraan dari Anderson Economic Group, sebuah perusahaan konsultan East Lansing, MI. Seperti yang dikatakan Opet, “Mengejar pangsa pasar dengan mengorbankan keamanan mengekspos seluruh ekosistem pelanggan pada risiko yang signifikan dan akan mengakibatkan situasi yang tidak berkelanjutan untuk sistem ekonomi.”

Apa yang bisa segera kita ambil dari ini? Para pakar IBM® mendengar tiga ajakan untuk bertindak dari surat Opet dan perdebatan di sekitarnya:

1. Aman sejak dari desain: Keamanan tidak boleh menjadi pertimbangan tambahan. “Penyedia harus segera memprioritaskan ulang keamanan, menempatkannya sama dengan atau lebih tinggi dari peluncuran produk baru”, tulis Opet. Mark Hughes, Global Managing Partner IBM untuk Layanan Keamanan Siber, menyatakan sentimen itu dalam laporan keamanan siber baru-baru ini: “Bisnis perlu beralih dari pola pikir pencegahan ad-hoc dan fokus pada langkah-langkah proaktif seperti memodernisasi manajemen autentikasi, menutup celah autentikasi multi-faktor, dan melakukan perburuan ancaman real-time untuk mengungkap ancaman tersembunyi sebelum mereka mengekspos data sensitif”. Dalam posting LinkedIn sebagai tanggapan atas surat Opet, Hughes mendesak perusahaan untuk mengatasi kesenjangan dalam teknologi dan tata kelola data “sebelum mereka menjadi titik masuk risiko”.
2. Kontrol standar: SaaS dan vendor pihak ketiga lainnya harus mengadopsi dan mewarisi kontrol standar, kata Dinesh Nagarajan dari IBM®, Mitra di IBM® Consulting untuk Data & AI, Aman dari Quantum, dan aplikasi Keamanan. Tetapi tidak cukup untuk menghasilkan cara standar untuk mengukur vendor perangkat lunak, tambahnya, penting untuk memantau “apakah mereka mematuhi mandat atau kontrol yang diperlukan.” IBM telah membantu mengembangkan kontrol di seluruh industri untuk cloud, serta bekerja dengan badan-badan industri seperti Cloud Security Alliance untuk mengembangkan kontrol cloud untuk lembaga keuangan khususnya. Berdasarkan pekerjaan itu, IBM® memperluas pendekatan ini untuk penggunaan gen AI oleh lembaga keuangan, yang ditulis bersama dengan sepuluh bank dari beberapa benua.
3. Tata kelola di seluruh rantai pasokan: Penyedia dan perusahaan SaaS harus mengambil pendekatan holistik untuk secara proaktif mengatur dan mengelola keamanan mereka dan terus memantau kepatuhan mereka, kata Nagaratnam. Salah satu cara untuk melakukannya adalah bagi organisasi untuk mengembangkan dan menjalankan pedoman keamanan siber mereka sendiri—berusaha mengidentifikasi eksposur, menilai risiko, dan mengurangi dampak insiden. Pedoman respon insiden ini juga perlu memperhitungkan siapa yang bertanggung jawab atas tindakan tertentu, seperti pihak mana yang bertanggung jawab (dan berpotensi bertanggung jawab) untuk mengamankan solusi AI generatif yang ditawarkan oleh pihak ketiga. Ketergantungan pada komponen pihak ketiga membutuhkan pengawasan dan kontrol yang ketat, dan pemahaman tentang tanggung jawab bersama sehingga vendor bertanggung jawab untuk mengamankan seluruh tumpukan perangkat lunak, bukan hanya bagian mereka.

Alat industri baru juga muncul hampir setiap minggu untuk membantu perusahaan dengan tata kelola dan kepatuhan. Baru kemarin, misalnya, Credo AI, platform tata kelola AI, dan IBM® berkolaborasi untuk meluncurkan watsonx.governance Compliance Accelerator, yang membantu pemilik contoh penggunaan AI dan petugas kepatuhan mematuhi berbagai peraturan dengan cara yang lebih cepat dan lebih otomatis.

Membuat pemimpin bisnis individu bertanggung jawab atas teknologi yang mereka gunakan akan sangat membantu meningkatkan keamanan, kata Nagarajan dari IBM®. “Ketika Anda membuat para pemimpin bisnis bertanggung jawab atas teknologi yang mereka gunakan, bagaimana itu dikelola, untuk tujuan apa, bagaimana itu dijaga keamanan, itu secara otomatis akan meningkatkan keamanan.”