6.

2 Identifikasi kerentanan (Identifying vulnerabilities)

CATATAN Dalam bagian ini EMA, kontaminasi berbahaya dan serangan dunia maya digunakan sebagai contoh pendekatan untuk penilaian
kerentanan.

6.2.1 Umum

Masing-masing organisasi memiliki kebutuhan bisnis yang berbeda dan beroperasi dalam konteks yang berbeda. Tim TACCP dapat menilai
pendekatan dan pertanyaan mana yang sesuai dan sebanding dengan ancaman yang mereka identifikasi.

6.2.2 Pemalsuan bermotivasi ekonomi (EMA)

Fitur khas EMA (lihat 3.2) adalah substitusi dari item berbiaya rendah di tempat komponen / bahan yang relatif mahal. Tim TACCP perlu waspada
terhadap ketersediaan alternatif tersebut. Contoh di mana hal ini dapat terjadi adalah ketika nilai tambah diklaim, mis. organik, non-GM,
ditanam secara lokal, jangkauan bebas atau dengan peruntukan asal terlindungi. Penyerang kemungkinan memiliki akses siap ke nilai yang lebih
rendah setara, yang hampir tidak bisa dibedakan.

Tim TACCP perlu yakin bahwa operasinya sendiri dan pemasoknya ada di tangan yang dapat dipercaya. Ini dapat dicapai dengan menggunakan
saran resmi tentang keamanan personel.26)

Pertanyaan yang dapat diajukan oleh tim TACCP meliputi:

• Apakah Anda mempercayai manajer pemasok Anda, dan manajer pemasok mereka?
• Apakah pemasok utama menggunakan praktik keamanan personel?
• Apakah pemasok berpikir bahwa kami memantau operasi mereka dan menganalisis produk mereka?
• Pemasok mana yang tidak diaudit secara rutin?
• Apakah kita disuplai melalui rantai yang jauh dan tidak jelas?
• Bagaimana cara pemasok membuang bahan limbah dalam jumlah yang berlebihan?
• Apakah kita mengetahui adanya jalan pintas ke proses yang dapat memengaruhi kita?
• Apakah staf kami dan orang-orang dari pemasok didorong untuk melaporkan kekhawatiran (whistleblowing)?
• Apakah catatan akreditasi, sertifikat kesesuaian dan analisis laporan independen?

6.2.3 Kontaminasi berbahaya

Pertanyaan-pertanyaan yang dapat diajukan oleh tim TACCP mengenai operasinya sendiri dan juga pemasoknya meliputi:
• Apakah audit keamanan pangan ketat dan mutakhir?
• Apakah prosedur keamanan personel sedang digunakan?
• Apakah akses ke produk dibatasi untuk mereka yang membutuhkan bisnis?
• Apakah wadah penyimpanan memiliki segel yang tidak mudah rusak?
• Apakah ada peluang untuk diakses oleh simpatisan kelompok isu tunggal?
• Apakah ada karyawan yang menaruh dendam terhadap organisasi?
• Apakah kebosanan staf, disiplin, rekrutmen merupakan masalah?

6.2.4 Serangan dunia maya

Pertanyaan yang dapat diajukan oleh tim TACCP meliputi:

• Apakah Dewan telah mengadopsi 10 Langkah NCSC untuk keamanan cyber [27] dan menetapkan prosedur yang sesuai? (Lihat Lampiran D)
• Apakah semua proyek IT / IS tunduk pada penilaian risiko intrusi elektronik?
• Apakah rekan kerja mungkin mengetahui dan melaporkan komunikasi elektronik yang mencurigakan (mis. Email, SMS)?
• Apakah bahan yang sangat sensitif disimpan pada sistem komputer yang terpisah dan berdiri sendiri? • Apakah kata sandi digunakan dengan
aman, dan sesuai dengan panduan NCSC? 27)
• Apakah kebijakan terkait dengan penanganan akun elektronik ketika seorang anggota staf bergabung, bergerak atau membiarkan pekerjaan
efektif?
• Apakah ada tautan Wi-Fi lokalitas yang tidak dienkripsi atau dapat diakses oleh pengguna eksternal?
• Apakah manufaktur atau sistem operasional lainnya saling berhubungan dengan sistem teknologi informasi?
• Apakah proses yang diaktifkan internet aman? Misalnya, dapatkah proses parameter diubah tanpa otoritas yang tepat? Bisakah catatan
berbasis cloud rusak?
• Apakah prosedur pencadangan data efektif?
• Apakah operator diberitahu dan mengetahui perubahan produksi atau konfigurasi operasional lainnya, misalnya, untuk formulasi produk?
• Dapatkah sistem produksi diakses dari jarak jauh?
• Apakah sistem operasi penting dipisahkan dari jaringan perusahaan perusahaan dan dari internet?
• Apakah data bersumber eksternal (dari email, internet atau media yang dapat dipindahkan) diperiksa untuk malware sebelum diimpor?
• Apakah akses jarak jauh ke sistem perusahaan memerlukan otentikasi multi-faktor dan apakah tingkat aksesnya terbatas?
• Apakah sistem penting yang terkomputerisasi telah menguji, cadangan offline?
• Apakah kesinambungan bisnis dan rencana pemulihan bencana untuk TI dan sistem produksi sudah ada dan efektif?
Penentuan Kategori Resiko

Risk Descriptor
Classif Historic Econom Geographic Length and Access Physical Existing Existing
ication Incidents and ic Origin Complexity and Form of Controls – Controls –
Emerging Factors of Supply Value of Raw Supply Chain Raw
Concerns Chain Raw Material Material
Material Assessment
Low Tidak ada laporan Tidak ada Komponen tunggal Terintegrasi Kuat – audit on Pengujian
atau bukti yang yang bersumber dari secara site dengan intensif setiap
menguatkan biasa asal geografis vertical, berbagai lot secara
tunggal perhatian pasokan dari langkah-langkah independen
geopolitik rendah dalam anti-fraud oleh pembeli
organisasi
Medium Volume laporan Kejanggal Beberapa Pemasok Audit kuat – Pengecekan
-Low moderat; tidak an yang komponen dari terintegrasi audit on site independen
ada bukti yang terisolasi asal geografis secara dengan langkah- lot secara
menguatkan tunggal dari vertikal langkah anti- random oleh
daerah fraud terbatas pembeli
keprihatinan
geopolitik rendah
Medium Ada sejumlah Sering, Komponen tunggal Pemasok Audit belum Pengujian
- laporan; bukti tapi tidak yang berasal atau manufaktur matang - tidak independen
Medium yang menguatkan terkait transit melewati ada diidentifikasi yang
terbatas sesuatu beberapa wilayah langkah-langkah dilakukan
yang kekhawatiran anti-fraud pada interval
janggal geopolitik terbatas
tahunan atau
lainnya
sebagai
bagian dari
kualifikasi
pemasok
Medium Volume laporan Kejanggal Beberapa Pemasok Pengembangan Tidak ada
-High tingg; beberapa an umum komponen yang manufaktur strategi audit on pengujian
bukti yang tapi fokus berasal atau memproduks site independen -
menguatkan transit melalui i dari hulu tergantung
beberapa wilayah pada CoA
kekhawatiran
geopolitik
High Volume laporan Ada Satu atau lebih Pasar Tidak ada audit CoA tidak ada
tinggi; alat bukti kejanggal komponen yang terbuka on site dan atau tidak
yang mendukung an umum berasal atau ada pengujian
baik dan luas transit melalui independen
satu atau lebih
daerah yang
menjadi perhatian
geopolitik