Bayangkan sistem keamanan internal perusahaan Anda sudah kokoh dan karyawan terlatih, namun data pelanggan tetap bocor akibat serangan siber pada vendor pihak ketiga yang Anda percayai. Skenario buruk ini kian menjadi kenyataan menakutkan bagi banyak organisasi di era digital.
Di Indonesia, celah keamanan ini bukan lagi sekadar masalah teknis, melainkan ancaman hukum yang sangat serius. Berdasarkan UU Pelindungan Data Pribadi (UU PDP), tanggung jawab mutlak atas kebocoran data tetap berada di pundak perusahaan Anda sebagai pengendali data, tidak peduli dari mana titik masuk peretas berasal.
Lantas, bagaimana memastikan mitra bisnis tidak berubah menjadi senjata makan tuan? Mari bedah mengapa pihak ketiga kini menjadi target empuk peretas dan langkah nyata mengatasinya.
Mengapa Vendor Kini Jadi Incaran Utama?
Laporan Verizon DBIR 2026 mencatat lonjakan tajam pada pola serangan ini. Keterlibatan pihak ketiga dalam kebocoran data kini menyentuh 48% dari total insiden sepanjang 2025. Angka ini melonjak sekitar 60% dibanding tahun sebelumnya. Singkat kata, vendor telah berubah dari sekadar “risiko tambahan” menjadi jalur masuk favorit peretas.
Pola ini kian berbahaya karena dampak kerusakannya yang masif. Riset dari IBM menunjukkan bahwa insiden lewat pihak ketiga butuh waktu jauh lebih lama untuk terdeteksi. Biaya penanganannya pun jauh lebih mahal daripada insiden internal. Masalahnya klasik yakni organisasi telanjur percaya pada akses vendor dan abai mengawasinya setelah proses onboarding selesai.
Baca juga : Koalisi 7 Negara Keluarkan Pedoman Keamanan Siber 6G, Apa Poin Pentingnya?
Belajar dari Runtuhnya Para Raksasa
Beberapa insiden besar dunia justru membuktikan bahwa lapisan pertahanan tercanggih sekalipun bisa runtuh lewat pintu vendor:
- SolarWinds (2020)
Peretas menyusupkan backdoor ke dalam update software Orion yang digunakan ribuan organisasi, termasuk lembaga pemerintah. Sekitar 18.000 pelanggan mengunduh versi yang sudah disusupi, tanpa menyadarinya selama berbulan-bulan.
- MOVEit / Cl0p (2023)
Sebuah celah zero-day pada platform transfer file MOVEit dieksploitasi geng ransomware Cl0p. Jumlah organisasi terdampak bervariasi tergantung sumber dari ratusan hingga lebih dari 2.700 organisasi di seluruh dunia mulai dari maskapai penerbangan, lembaga pemerintah, hingga penyedia layanan payroll yang datanya terhubung ke banyak perusahaan klien.
- Kaseya (2021)
Platform manajemen IT yang dipakai banyak Managed Service Provider (MSP) disusupi ransomware, berdampak ke sekitar 1.500 bisnis yang bergantung pada MSP tersebut.
- Okta (2023)
Insiden pada vendor pihak ketiga yang menyimpan data pelanggan Okta berdampak pada seluruh basis pelanggan Okta, meski sistem inti Okta sendiri tidak langsung diretas.
Pola yang sama selalu terulang, penyerang tidak perlu menembus pertahanan Anda yang kuat mereka cukup mencari satu vendor dengan pertahanan lebih lemah, yang kebetulan punya akses sah ke sistem Anda.
Baca juga : Mitigasi Awal saat Perusahaan Anda Diserang oleh Kelompok Hacker
Jeratan UU PDP: Salah Vendor, Anda yang Tanggung
Ini bagian yang sering terlewat dalam diskusi third-party risk versi global di Indonesia, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), yang telah berlaku penuh sejak Oktober 2024, secara tegas membagi peran menjadi dua Pengendali Data Pribadi (perusahaan yang menentukan tujuan pengolahan data) dan Prosesor Data Pribadi (vendor/pihak ketiga yang mengolah data atas instruksi pengendali).
Konsekuensinya cukup jelas, meskipun pemrosesan data dilakukan oleh vendor, tanggung jawab hukum utama tetap berada di pihak pengendali data yaitu perusahaan Anda.
Tanggung jawab vendor sifatnya kontraktual kepada perusahaan, bukan langsung kepada regulator atau subjek data. Beberapa implikasi praktis yang perlu diperhatikan tim GRC dan legal:
- Wajib ada Data Processing Agreement (DPA) yang memadai dengan setiap vendor yang mengolah data pribadi.
- Sanksi administratif atas pelanggaran UU PDP bisa mencapai 2% dari pendapatan tahunan perusahaan, di luar potensi sanksi pidana untuk kasus tertentu.
- Untuk sektor jasa keuangan, ada lapisan aturan tambahan seperti POJK terkait perlindungan konsumen dan pertukaran data, yang juga menyentuh relasi dengan vendor.
Artinya, meninjau ulang kontrak vendor bukan lagi sekadar praktik baik tata kelola, ia sudah menjadi kewajiban kepatuhan yang punya konsekuensi finansial nyata jika diabaikan.
Tiga Celah Bikin Vendor Jadi Target Empuk
Ada tiga alasan mendasar mengapa jalur vendor terus dieksploitasi:
- Trust by default. Begitu vendor lolos proses onboarding, akses yang diberikan sering tidak pernah dievaluasi ulang secara rutin berbeda dengan sistem internal yang terus dipantau tim keamanan.
- Postur keamanan yang tidak setara. Vendor, terutama yang berskala kecil atau menengah, sering tidak punya kapasitas keamanan sekuat perusahaan yang mereka layani.
- Visibilitas yang terbatas. Banyak organisasi tidak punya inventaris lengkap: siapa saja vendor yang punya akses ke data atau sistem apa, dan sejauh mana akses itu benar-benar dibutuhkan.
Ditambah lagi ada isu fourth-party risk risiko dari vendor-nya-vendor Anda, yang jauh lebih sulit dipetakan karena tidak ada relasi kontraktual langsung.

Mengenal TPRM, Lebih dari Sekadar Kontrak
TPRM adalah proses sistematis untuk mengidentifikasi, menilai, memonitor, dan memitigasi risiko yang muncul dari relasi dengan vendor, supplier, kontraktor, atau mitra bisnis mana pun yang memiliki akses terhadap data, sistem, atau proses bisnis organisasi.
TPRM yang matang bukan sekadar mengisi formulir due diligence sekali di awal kontrak. Ia mencakup seluruh siklus hidup relasi vendor mulai dari seleksi, kontrak, monitoring selama masa kerja sama, hingga proses offboarding yang memastikan akses benar-benar dicabut saat kontrak berakhir.
Kerangka Kerja yang Bisa Jadi Pegangan
Organisasi tidak perlu membangun program TPRM dari nol. Beberapa standar dan framework global sudah menyediakan kontrol yang bisa langsung diadaptasi:
Klausul kontrol A.5.19 hingga A.5.23 secara spesifik mengatur keamanan informasi dalam relasi pemasok: mulai dari penetapan persyaratan keamanan dalam perjanjian vendor, pengelolaan rantai pasok TIK, hingga pemantauan dan review berkala terhadap layanan yang diberikan pihak ketiga (termasuk layanan cloud).
- COBIT 2019
Domain APO10 (Managed Vendors) memberikan panduan tata kelola untuk mengelola relasi vendor secara end-to-end, selaras dengan APO12 (Managed Risk) untuk memastikan risiko vendor terintegrasi dalam risk register perusahaan secara keseluruhan.
- TOGAF
Berguna saat organisasi perlu memetakan bagaimana sistem dan data vendor terhubung ke arsitektur enterprise, sehingga dampak sebuah insiden vendor bisa diprediksi lebih akurat.
Kombinasi ketiganya memberi organisasi bahasa yang sama antara tim GRC, tim keamanan, procurement, dan manajemen sesuatu yang sering hilang saat TPRM hanya dikerjakan sepotong-sepotong oleh satu divisi. ITGID sendiri pernah membahas bagaimana proses APO12 COBIT 2019 membantu organisasi memprioritaskan risiko siber secara lebih terukur bisa dibaca lebih lanjut di artikel ini.
7 Langkah Racik Benteng TPRM yang Tangguh
- Inventarisasi & pemetaan vendor. Buat daftar lengkap seluruh vendor beserta jenis akses dan data yang mereka pegang. Anda tidak bisa mengelola risiko dari vendor yang tidak Anda ketahui keberadaannya.
- Klasifikasi risiko bertingkat (risk tiering). Tidak semua vendor punya level risiko yang sama. Vendor yang mengakses data pelanggan sensitif butuh pengawasan jauh lebih ketat dibanding vendor katering kantor.
- Due diligence sebelum onboarding. Lakukan penilaian keamanan (kuesioner, audit, sertifikasi seperti ISO 27001) sebelum kontrak diteken bukan setelah insiden terjadi.
- Klausul keamanan & DPA dalam kontrak. Masukkan persyaratan keamanan minimum, kewajiban notifikasi insiden, hak audit (right to audit), dan Data Processing Agreement sesuai UU PDP secara eksplisit dalam perjanjian.
- Monitoring berkelanjutan. Penilaian tahunan tidak cukup. Postur keamanan vendor bisa berubah kapan saja gunakan pemantauan berkelanjutan, bukan snapshot sesaat.
- Rencana respons insiden bersama. Pastikan ada jalur komunikasi dan tanggung jawab yang jelas jika insiden terjadi di sisi vendor, termasuk siapa yang menangani notifikasi ke pelanggan atau regulator.
- Offboarding yang tuntas. Saat kontrak berakhir, akses harus benar-benar dicabut bukan sekadar “dinonaktifkan” tapi tetap tertinggal di sistem.
Baca juga : Jangan Asal Investasi! Panduan Memilih Sertifikasi ITIL, COBIT, vs TOGAF Agar Modalmu Tak Sia-Sia
Kesalahan Umum Membuat TPRM Gagal di Lapangan
- Menjadikannya “checklist theater”, kuesioner keamanan diisi vendor sendiri tanpa verifikasi independen.
- Tidak ada pemilik proses yang jelasTPRM terjebak di antara procurement, legal, dan IT security, tanpa satu pihak yang benar-benar akuntabel.
- Berhenti di tahap onboarding, risiko vendor dianggap “selesai dinilai” begitu kontrak diteken.
- Mengabaikan fourth-party risk hanya menilai vendor langsung, padahal insiden sering justru berasal dari sub-vendor yang tidak pernah dipetakan.
- Tidak terintegrasi dengan enterprise risk management, risiko vendor dikelola terpisah dari risk register perusahaan secara keseluruhan.
Saatnya Mengaudit Ulang Kepercayaan Anda pada Vendor
Third-party risk bukan lagi risiko sampingan yang bisa ditunda penanganannya baik dari sisi ancaman siber maupun kewajiban hukum di bawah UU PDP. Organisasi yang masih mengandalkan due diligence satu kali di awal kontrak berada di posisi paling rentan, dalam dua arti sekaligus.
Membangun program TPRM yang selaras dengan ISO 27001 dan COBIT 2019 membutuhkan lebih dari sekadar template kuesioner. ITGID (IT Governance Indonesia), sebagai Strategic Learning Partner dari Biztech Academy dengan pengalaman lebih dari 15 tahun mendampingi organisasi seperti Pertamina, Antam, Garuda Indonesia, dan Bursa Efek Indonesia, telah membantu berbagai perusahaan membangun kesadaran dan kontrol keamanan informasi salah satu contohnya dapat dibaca pada studi kasus pelatihan ISO 27001 di PT Indonesia TRC Industry.
Jika organisasi Anda ingin membangun kontrol third-party risk yang benar-benar berjalan bukan sekadar dokumen kepatuhan tim ITGID siap membantu lewat program training ISO 27001, COBIT 2019, IT Risk Fundamental, maupun assessment IT Governance yang disesuaikan dengan kebutuhan organisasi Anda.
Konsultasikan kebutuhan tata kelola risiko vendor organisasi Anda dengan tim ITGID →

Pertanyaan yang Sering Diajukan
- Apa itu third-party risk?
Third-party risk adalah potensi kerugian finansial, operasional, atau reputasi yang timbul akibat vendor, supplier, atau mitra bisnis yang memiliki akses terhadap sistem atau data organisasi. - Kenapa vendor sering jadi jalur masuk serangan siber?
Karena vendor biasanya mendapat akses yang dipercaya penuh (trusted access) namun postur keamanannya jarang dievaluasi ulang secara berkelanjutan setelah proses onboarding. - Apakah tanggung jawab hukum berpindah ke vendor jika kebocoran terjadi di sisi vendor?
Tidak. Menurut UU PDP, tanggung jawab utama tetap berada pada perusahaan sebagai pengendali data. Vendor (prosesor) hanya bertanggung jawab secara kontraktual kepada perusahaan, bukan langsung kepada regulator atau subjek data. - Seberapa sering vendor risk assessment perlu dilakukan?
Idealnya berkelanjutan (continuous monitoring), minimal ditinjau ulang setiap tahun atau setiap kali ada perubahan signifikan pada layanan vendor. - Apakah ISO 27001 mengatur soal keamanan vendor?
Ya. ISO/IEC 27001:2022 memiliki kontrol khusus (A.5.19–A.5.23) yang mengatur keamanan informasi dalam relasi dan rantai pasok pemasok.