Foto: Menangkan McNamee (Getty Images)
Sejak menjabat, Joe Biden telah mengumumkan bahwa dia akan menganggap serius kejahatan dunia maya. Bukan karena Biden adalah oktonarian paling paham teknologi di dunia, melainkan, dia hanya menanggapi tantangan keamanan yang telah berkembang dalam pengawasannya — terutama serangkaian serangan dunia maya yang semakin merusak yang terjadi selama tahun pertamanya sebagai presiden. Iterasi terbaru dari upaya pemerintahan Biden untuk menjadikan internet sebagai tempat yang lebih aman adalah strategi keamanan siber nasional yang baru-baru ini diumumkan oleh pemerintah, yang dipublikasikan ke situs web WH pada hari Kamis. Strategi tersebut dapat berdampak besar pada upaya pemerintah untuk mencegah penjahat dunia maya dan, jika diberlakukan secara efektif, akan berdampak besar pada berbagai bidang industri teknologi.
Laporan lengkap tentang strategi baru pemerintah adalah 39 halaman dan ribuan kata, tetapi saya bekerja keras melewatinya dan berusaha menyaringnya menjadi hanya 1.500 kata. Berikut adalah beberapa takeaways kunci.
#1: Melindungi “Infrastruktur Penting”, alias Memastikan Hal-Hal yang Sangat Penting Tidak Diretas
Infrastruktur kritis adalah topik yang cukup besar dalam keamanan siber, oleh karena itu masuk akal jika pilar pertama strategi keamanan siber WH melibatkan penerapan perlindungan yang lebih luas untuknya. “Kami akan memberikan kepercayaan kepada rakyat Amerika akan ketersediaan dan ketahanan infrastruktur penting kami dan layanan penting yang disediakannya,” kata strategi tersebut.
Anda mungkin bertanya-tanya apa sebenarnya yang memenuhi syarat sebagai “infrastruktur penting”.
Jawaban singkatnya adalah: banyak hal. Anda dapat menganggapnya terkait dengan sistem industri yang memberikan layanan kepada sekelompok besar orang: ini termasuk hal-hal seperti jaringan listrik, jaringan pipa minyak, bendungan, pasokan air lokal dan regional, pembangkit listrik tenaga nuklir, ISP dan penyedia broadband, dan lembaga lain yang melayani banyak orang. Sebagian besar lembaga ini dikendalikan oleh program yang terhubung ke web, yang disebut SCADA, kependekan dari pengawasan pengawasan dan sistem akuisisi data. Sistem tersebut adalah program perangkat lunak yang dirancang untuk memungkinkan akses jarak jauh dan kontrol atas sistem industri. Masalahnya, mereka juga cukup bisa diretas. Contoh paling terkenal dari sistem SCADA yang diretas adalah insiden Stuxnet, di mana operator dunia maya yang bekerja atas nama pemerintah AS dan Israel menggunakan worm canggih untuk memasang salah satu reaktor Iran yang menghubungkan program senjata nuklirnya. Namun, target yang jauh lebih kecil dan lebih biasa bahkan lebih rentan terhadap penetrasi, dan masih dapat menyebabkan kerusakan yang cukup besar.
G/O Media dapat memperoleh komisi
Untuk melindungi semua hal penting itu, pemerintah telah menyarankan sejumlah inisiatif berbeda, mungkin yang paling menonjol adalah pengembangan peraturan federal baru untuk mengamanatkan persyaratan keamanan minimum untuk sektor-sektor penting dan penyedia CI. Mengapa pemerintah sangat ingin melindungi infrastruktur penting tampaknya cukup jelas. Selain itu hanya ide yang sangat bagus, pemerintahan Biden jelas tidak ingin terulangnya apa yang terjadi pada tahun 2021 ketika geng ransomware DarkSide menyerang pipa Kolonial. Serangan itu, yang mengancam aliran energi vital di sebagian besar wilayah tenggara, dianggap sebagai salah satu serangan dunia maya terburuk pada infrastruktur kritis AS hingga saat ini dan bukanlah perbaikan yang mudah bagi pemerintah, maupun penampilan yang bagus untuk pemerintahan yang akan datang.
#2: AS Akan Terus Menendang Peretas Jahat di Pantat
Satu hal yang biasanya cukup bagus dilakukan oleh pemerintah AS adalah menendang pantat orang-orang dan, akhir-akhir ini, pemerintah AS telah melatih pandangan-pandangannya pada mereka yang tinggal di dunia bawah digital. Nah, laporan minggu ini menekankan bahwa, di masa mendatang, Amerika akan terus menyerang aktor ancaman di tempat yang menyakitkan.
Pemerintahan Biden membayangkan masa depan di mana ia membawa “semua instrumen kekuatan nasional” untuk “membuat aktor dunia maya jahat tidak mampu mengancam keamanan nasional atau keselamatan publik Amerika Serikat.” Dalam istilah dunia nyata, ini berarti memanfaatkan sumber daya penegakan hukumnya (yaitu, personel siber pemburu peretas di proyek pemerintah seperti Satuan Tugas Gabungan Investigasi Siber Nasional FBI, dan lembaga serta kelompok lain) dan kemitraan internasional yang ada (seperti yang baru diluncurkan). counter ransomware gugus tugas), untuk terus menendang kotoran keluar dari penjahat dunia maya. Pada saat yang sama, pemerintah juga mengatakan ingin mempercepat langkah-langkah pencegahan, seperti berbagi informasi antara sektor swasta dan pemerintah, serta komunikasi dan koordinasi yang lebih luas.
Perang berkelanjutan dengan penjahat dunia maya ini masuk akal. Saat Biden pertama kali menjabat, momok ransomware sedang memuncak. Secara khusus, serangan tahun 2021 di jalur pipa Kolonial dianggap sebagai peringatan dan darurat keamanan nasional. Sejak itu, pemerintah Biden telah menindak industri ransomware dengan sepenuh hati. Ini termasuk pengembangan sejumlah gugus tugas dan pertemuan puncak internasional untuk mengatasi masalah tersebut, bersama dengan peluncuran pedoman baru Departemen Kehakiman untuk penyelidikan dan penuntutan kasus ransomware. Pada saat yang sama, sekumpulan operasi penegakan hukum, yang sebagian besar dipimpin oleh NCIJTF, telah berusaha untuk mengganggu sebagian besar ekosistem ransomware, termasuk pengintaian canggih baru-baru ini di dalam geng Hive, yang aktivitasnya secara efektif dinetralkan pada bulan Februari.
Dalam laporan baru, pemerintah mengumumkan bahwa mereka akan terus melakukan hal-hal seperti ini dan bahwa tujuan akhir mereka adalah untuk benar-benar “mengalahkan ransomware.” Memang, administrasi mengatakan “berkomitmen untuk meningkatkan kampanye gangguan dan upaya lain yang sangat berkelanjutan, terkoordinasi, dan ditargetkan sehingga membuat ransomware tidak lagi menguntungkan.” Dengan kata lain: lihat para preman web gelap, mereka datang untukmu!
#3: Memastikan Industri Teknologi Memprioritaskan Keamanan
Hal lain yang ingin dilakukan oleh strategi dunia maya baru ini adalah memaksa orang-orang di Silicon Valley untuk melakukan sesuatu yang tidak mereka kuasai: memprioritaskan keamanan saat merancang produk mereka.
Memang, salah satu alasan perusahaan sering diretas adalah karena sebagian besar perangkat lunak modern tidak benar-benar disatukan dengan mempertimbangkan keamanan. Sebaliknya, pengembang sering memiliki dua faktor lain di bagian atas daftar prioritas mereka: waktu ke pasar dan pengalaman konsumen. Keamanan, sementara itu, dapat memakan waktu dan mahal. Ada pengecualian untuk aturan ini tetapi, pada umumnya, keamanan dianggap sebagai penghalang prioritas bisnis, yang meluncurkan produk dengan cepat dan menghasilkan uang.
Apa yang ingin dilakukan pemerintah tentang hal itu? Nah, ada beberapa langkah berbeda yang menurut administrasi Biden ingin diambil untuk mendorong industri teknologi melakukan pekerjaan yang lebih baik.
Gunakan program hibah federal untuk membantu mendorong produk keamanan baru dan untuk mendorong penelitian dan pengembangan federal ke dalam teknologi keamanan. Ini adalah ide yang menarik, tetapi jelas lebih merupakan investasi jangka panjang daripada solusi jangka pendek. Dokumen tersebut menyatakan bahwa pihaknya juga ingin bekerja sama dengan Kongres dan sektor swasta untuk menetapkan “kewajiban atas produk dan layanan perangkat lunak”. Dorongan ini harus berusaha untuk “menetapkan standar perawatan yang lebih tinggi untuk perangkat lunak dalam skenario berisiko tinggi tertentu.” Idenya di sini adalah untuk menciptakan struktur insentif di mana perusahaan dengan ukuran dan keunggulan tertentu dipaksa untuk menciptakan perlindungan keamanan yang lebih baik untuk produk mereka atau berisiko membuka diri terhadap risiko hukum. Anehnya, strategi tersebut juga mencatat bahwa ia ingin memperluas perlindungan privasi sebagai cara melindungi dari masalah keamanan. Dokumen tersebut menyatakan “Administrasi mendukung batasan yang kuat dan jelas pada kemampuan untuk mengumpulkan, menggunakan, mentransfer, dan memelihara data pribadi.” Singkatnya: pemikiran di sini adalah jika perusahaan menyimpan lebih sedikit data pribadi pada pengguna web, ada lebih sedikit peluang untuk pelanggaran data? Kedengarannya seperti ide yang menarik tetapi tidak jelas bagaimana dan kapan pergantian peristiwa seperti itu bisa terjadi.
#4: Mengakui Bahwa Internet Diadakan Bersama dengan Permen Karet dan Baling Wire
Krisis keamanan dunia maya besar lainnya yang terungkap di bawah pengawasan administrasi adalah penemuan bug log4j. Kerentanan eksekusi kode jarak jauh yang serius dalam pustaka perangkat lunak sumber terbuka yang ada di mana-mana, episode log4j membantu memperjelas lebih lanjut kepada pemerintah tentang bahaya ekosistem perangkat lunak sumber terbuka saat ini dan potensi ancaman yang ditimbulkannya terhadap ekonomi global. Sejak bug ditemukan, pemerintah telah bekerja dengan komunitas open source dan kelompok kepentingan internet lainnya untuk memberlakukan perlindungan yang lebih baik untuk rantai pasokan perangkat lunak penting dan ekosistem digital yang lebih luas. Kekurangan sistemik dalam keamanan adalah sesuatu yang perlu diatasi, kata strategi cyber baru. Dokumen itu menulis:
Internet sangat penting untuk masa depan kita, tetapi tetap mempertahankan struktur fundamental masa lalunya. Banyak fondasi teknis ekosistem digital yang secara inheren rentan. Setiap kali kami membangun sesuatu yang baru di atas fondasi ini, kami menambahkan kerentanan baru dan meningkatkan paparan risiko kolektif kami… Upaya “pembersihan” untuk mengurangi risiko sistemik memerlukan identifikasi tantangan keamanan yang paling mendesak, pengembangan lebih lanjut dari langkah-langkah keamanan yang efektif dan kerja sama yang erat antara sektor publik dan swasta untuk mengurangi paparan risiko kami…
Dengan kata lain, pemerintah mengakui bahwa dunia digital kita, seperti kata pepatah lama, disatukan “oleh permen karet dan kawat baling”. Untuk memperbaikinya, Gedung Putih mengatakan berencana menginvestasikan banyak uang di sejumlah area berbeda dalam upaya menciptakan ekosistem yang lebih aman. Ini termasuk…
Menggunakan kemitraan dengan sektor swasta untuk mengurangi “kerentanan teknis sistemik di dasar Internet dan di seluruh ekosistem digital,” hal-hal seperti kerentanan Protokol Gerbang Perbatasan, permintaan Sistem Nama Domain yang tidak terenkripsi, dan kekurangan keamanan lama lainnya di infrastruktur web dasar. Penelitian dan pengembangan “menyegarkan” yang diarahkan pada kemampuan keamanan siber “generasi berikutnya”. Kemampuan seperti apa? Strategi tersebut menamai hal-hal seperti enkripsi pasca-kuantum, yang dikatakan mampu melindungi dari ancaman hipotetis komputasi kuantum saat ini. Membina pengembangan tenaga kerja keamanan siber yang lebih luas. Seringkali menjadi topik yang bermasalah, perusahaan dan pemerintah terkadang kesulitan menemukan bakat yang tepat untuk memimpin medan pertempuran mereka; rekrutmen dan retensi profesional keamanan bisa jadi sulit, dan sejumlah perusahaan yang mengejutkan tidak pernah menyewa CISO sama sekali. Pemerintah mengatakan ingin meningkatkan sejumlah program pengembangan tenaga kerja keamanan siber yang ada, dalam upaya untuk memacu perekrutan yang lebih luas.
#5: Pastikan Seluruh Dunia Sependapat Tentang Menendang Peretas Jahat di Pantat
Terakhir, pemerintah ingin memastikan bahwa semua orang berada di halaman yang sama dalam hal mengejar orang jahat. Gedung Putih mengatakan ingin memanfaatkan “koalisi dan kemitraan internasional di antara negara-negara yang berpikiran sama untuk melawan ancaman terhadap ekosistem digital kita melalui kesiapsiagaan, respons, dan pengenaan biaya bersama.” Pada umumnya, pemerintah telah melakukan ini—dan tampaknya telah membuahkan hasil yang baik.
KTT internasional tentang momok ransomware membantu menyatukan negara-negara tentang kebutuhan untuk melawan penjahat dunia maya dan, sebelum perang di Ukraina, Biden bahkan bertemu dengan presiden Rusia Vladimir Putin untuk membahas kerja sama yang diperluas seputar gangguan dan penuntutan geng ransomware — sebuah pertemuan besar beberapa di antaranya diyakini berkantor pusat di Rusia. Akankah lebih banyak KTT dan kemitraan internasional membantu? Itu pasti tidak sakit.