📑 Daftar Isi

Ilustrasi konsep keamanan rantai pasok perangkat lunak dengan ikon peringatan di latar belakang digital

3 Pilar Keamanan Software Supply Chain: Visibilitas, Kewaspadaan, Validasi

Penulis:Nur Hamzah
Terbit:
Diperbarui:
⏱️6 menit membaca
Bagikan:
  • 51% peserta survei menempatkan kerentanan perangkat lunak pada produk pemasok sebagai ancaman siber paling disruptif kedua setelah pelanggaran data (64%) dan malware/ransomware (52%).
  • Rantai pasok perangkat lunak meliputi cloud, mikroservis, API, SaaS, pihak ketiga, dan agen AI yang memperluas permukaan serangan.
  • Tiga pilar utama: Visibilitas (mengetahui aset dan pemasok), Kewaspadaan (keamanan integrasi AI), dan Validasi (mengadopsi kerangka kerja keterampilan dan kode praktik).
  • Organisasi harus meneliti mitra, memantau aktivitas tidak biasa, dan memiliki inventaris aset yang lengkap.
  • Keracunan data (data poisoning) pada model AI adalah ancaman baru yang perlu diwaspadai.
  • Kode Praktik Keamanan Perangkat Lunak Inggris dan kerangka kerja keterampilan dapat membantu organisasi memperkuat keamanan rantai pasok.

Telset.id – Ancaman keamanan rantai pasok perangkat lunak (software supply chain) semakin menjadi perhatian serius di tengah meningkatnya ketergantungan perusahaan pada ekosistem digital. Sebuah laporan terbaru mengungkapkan bahwa 51% peserta survei menempatkan kerentanan perangkat lunak pada produk pemasok sebagai ancaman siber paling disruptif kedua setelah pelanggaran data (64%) dan malware/ransomware (52%).

Permukaan serangan yang terus berubah, meliputi layanan cloud, mikroservis, API, platform SaaS, layanan pihak ketiga, dan kini agen AI, telah meluas jauh melampaui perimeter yang pernah dipahami sebelum transformasi digital berlangsung. Jon France, Information Security professional dan CISO di ISC2, menekankan bahwa meskipun perangkat lunak adalah alat yang hebat, ia juga membawa risiko karena sering dibangun dengan kerangka kerja dan pustaka yang tidak diketahui atau tidak didukung dengan baik.

Setidaknya, perusahaan rata-rata menggunakan 106 aplikasi SaaS dalam lingkungan TI mereka, menjadikan keamanan rantai pasok perangkat lunak sebagai masalah serius. Kecepatan adopsi teknologi kadang menjadi musuh dari manajemen risiko, karena banyak organisasi belum memvalidasi secara memadai apakah teknologi pihak ketiga tersebut cukup terlindungi dari ancaman siber. Untuk mengatasi tantangan ini, ada tiga pilar utama yang perlu diperhatikan: visibilitas, kewaspadaan, dan validasi.

1. Visibilitas: Menentukan Apa yang Ada di Rantai Pasokan Multi-Lapis Anda

Karena rantai pasok perangkat lunak adalah bagian dari ekosistem digital yang luas dan saling terhubung, organisasi kemungkinan besar tidak memiliki visibilitas penuh terhadap apa dan siapa yang membentuk penyedia pihak ketiga mereka. Insiden terkini telah menandakan betapa rapuhnya rantai pasok. Menjamin kelangsungan bisnis mengharuskan organisasi untuk meneliti mitra sebelum memberikan kepercayaan yang begitu besar.

Upaya itu dimulai dengan mengetahui siapa yang ada di ekosistem digital Anda sebelum mulai mengelola risiko. Memahami risiko di seluruh rantai pasok secara konseptual mudah, tetapi secara praktik sulit. Meskipun menguraikan parameter dan persyaratan keamanan dalam kontrak pemasok adalah titik awal yang baik, itu tidak cukup karena kontrak umumnya adalah aktivitas satu waktu dan harus dipasangkan dengan pemantauan.

Anda harus dapat melihat dan mengukur aset perangkat lunak agar dapat mengelolanya dengan lebih baik. Pada akhirnya, Anda tidak dapat melindungi apa yang tidak dapat Anda lihat, dan banyak bisnis masih belum memiliki inventaris aset yang lengkap dan akurat, yang berarti eksposur kerentanan mereka tidak lengkap. Jika Anda tidak tahu sistem, aplikasi, perangkat, dan pustaka apa yang ada di lingkungan Anda, manajemen kerentanan hanyalah dugaan dan tebakan.

Sangat penting untuk memahami apa yang dilakukan pemasok Anda di hulu dan siapa yang Anda pasok di hilir, karena keputusan mereka kini menjadi bagian dari profil risiko organisasi Anda sendiri. Perangkat lunak sering kali menjadi titik buta terbesar dalam manajemen aset, sebagian besar karena kurangnya transparansi dalam pembangunan dan dependensi perangkat lunak, shadow IT, shadow AI, dan titik akhir yang tidak dikelola.

Eksposur organisasi terkait langsung dengan postur keamanan setiap pemasok yang mereka andalkan. Penyerang mengetahui hal ini, semakin menargetkan mitra hulu atau hilir. Anda dapat mengamankan lingkungan Anda sendiri dengan sempurna dan tetap rentan melalui kelalaian orang lain. Oleh karena itu, alat yang dapat membuat profil, mengukur, dan menilai risiko di seluruh rantai pasok sangat penting, begitu pula alat yang memantau aktivitas yang tidak biasa.

A pink triangle with a red exclamation mark inside on a blue digital landscape

2. Kewaspadaan: Prioritaskan Keamanan Integrasi AI di Seluruh Rantai Pasok Perangkat Lunak

Ancaman bisa mengintai di mana saja di seluruh rantai pasok Anda. Namun, ada pemain baru: AI. Rantai pasok perangkat lunak telah meluas hingga mencakup risiko unik ekosistem AI, seperti ketergantungan pada model fundamental eksternal dan agen yang sangat terhubung. Eskalasi integrasi alat AI ini membuat rantai pasok perangkat lunak yang memiliki banyak aspek menjadi semakin memprihatinkan.

Para profesional keamanan siber yang berpartisipasi dalam Cybersecurity Workforce Study terbaru mengungkapkan adanya insiden keamanan terkait AI yang mengkhawatirkan yang dialami organisasi mereka pada tahun sebelumnya: keracunan data (data poisoning) yang disebutkan oleh 11% responden. Keracunan data terjadi ketika aktor jahat sengaja memasukkan data yang rusak, menyesatkan, atau berbahaya ke dalam dataset pelatihan model pembelajaran mesin. Bahkan sejumlah kecil data beracun dapat mengubah perilaku model, yang mengakibatkan kesalahan klasifikasi, akurasi yang menurun, atau hasil yang berbahaya.

Tiba-tiba, ChatBot yang tampaknya membantu yang tertanam di CRM, CMS, atau perangkat lunak perusahaan lainnya mungkin tidak begitu ramah. Organisasi pada dasarnya tidak memiliki kendali atas perangkat lunak yang digunakan pemasok, sehingga lebih sulit untuk memastikan kerentanan diidentifikasi sebelum penerapan secara luas, serta didukung dan ditambal setelah diterapkan. Namun, mereka memiliki kendali untuk meneliti pemasok.

Orang-orang di tim keamanan Anda dan proses yang mereka ikuti menjadi lebih penting dari sebelumnya. Teknologi mempercepat kedua sisi pertempuran, sehingga keunggulan nyata Anda berasal dari memiliki praktisi terampil yang memahami bagaimana AI mengubah profil risiko, permukaan serangan, dan dapat menerapkan kontrol yang tepat untuk mengompensasinya. Para profesional keamanan siber yang berspesialisasi dalam keamanan rantai pasok perangkat lunak dapat mengukur risiko keracunan model, prompt injection, dan inversi model, serta menilai bias inheren dari model open-source yang telah dilatih sebelumnya, melindungi integritas perangkat lunak dan layanan dari kerentanan hulu.

Pendekatan holistik semacam itu memastikan bahwa setiap komponen, mulai dari pustaka pihak ketiga hingga data pelatihan itu sendiri, memenuhi standar keamanan dan etika organisasi. Selain itu, meninjau dan mengevaluasi perjanjian vendor adalah tugas penting bagi tim keamanan siber dan pemangku kepentingan. Anggap tindakan disiplin ini sebagai uji stres yang diperlukan untuk mengidentifikasi dan mengatasi kelemahan serta kebutuhan yang berubah. Kontrak yang baik dengan hasil dan ekspektasi yang jelas adalah bagian dari strategi pertahanan keamanan siber di samping sumber daya manusia, teknologi pertahanan, dan pemantauan berkelanjutan terhadap sistem dan layanan.

Malware attack virus alert , malicious software infection , cyber security awareness training to protect business

3. Validasi: Adopsi Kerangka Kerja Keterampilan dan Kode Praktik untuk Keamanan Rantai Pasok Perangkat Lunak

Tidak ada organisasi yang harus berdiri sendiri menghadapi ancaman keamanan rantai pasok perangkat lunak yang meningkat. Manfaatkan panduan yang ada seperti Kode Praktik Keamanan Perangkat Lunak (Software Security Code of Practice) Inggris untuk diikuti saat Anda berusaha memperketat keamanan perangkat lunak di organisasi Anda. Kode ini tidak hanya mendukung vendor perangkat lunak saat mereka mengadopsi praktik pengembangan siklus hidup perangkat lunak yang aman, tetapi juga mendukung pelanggan perangkat lunak dalam mengurangi kemungkinan dan dampak serangan rantai pasok perangkat lunak.

Selain mengikuti kode dan kerangka kerja panduan lainnya, organisasi dapat melihat kerangka kerja keterampilan dan sertifikasi netral vendor untuk memvalidasi bahwa profesional keamanan siber mereka menunjukkan keterampilan tertentu yang diperlukan untuk membangun dan memperkuat keamanan dan ketahanan rantai pasok. Pengembangan keterampilan dalam disiplin tata kelola, risiko, dan kepatuhan (GRC), pengembangan perangkat lunak yang aman, dan keterampilan AI memungkinkan profesional keamanan siber dan risiko membuat keputusan yang tepat mengenai keamanan dan manajemen risiko rantai pasok perangkat lunak.

Dari Kompleksitas Menuju Keamanan yang Lebih Baik

Rantai pasok itu kompleks, lebih panjang dari yang Anda kira, dan multidimensi. Organisasi harus memberikan fokus yang jauh lebih besar pada uji ketahanan pemasok perangkat lunak dan terus mengevaluasi eksposur. Pendekatan ini melampaui sekadar berhati-hati tentang perangkat lunak apa yang sampai ke pengadaan. Lapisan yang berpotensi lebih merusak untuk ditangani dalam rantai pasok makro melibatkan perangkat lunak tertanam dan alat AI terintegrasi yang digunakan pemasok lain.

Pertanyaannya bukanlah apakah rantai pasok digital Anda akan menghadapi gangguan. Pertanyaannya adalah apakah Anda memiliki visibilitas, kewaspadaan, dan validasi untuk beroperasi saat hal itu terjadi. Itulah ketahanan: bintang utara keamanan rantai pasok perangkat lunak. Tanpa keraguan, transparansi harus mengalir melalui rantai pasok alih-alih hanya berada di dalam organisasi.

Untuk informasi lebih lanjut mengenai keamanan AI, simak artikel tentang Larangan Keras AI dan Robot Sony Ace.

Artikel ini diproduksi sebagai bagian dari TechRadar Pro Perspectives, saluran kami untuk menampilkan pemikiran terbaik dan tercerdas di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc.

Ikuti Telset.id di Google NewsFollow

Komentar

Belum ada komentar.