Perang Cyber, Amerika Serikat dan Instruksi Obama

sumber: Manajemem-TI (sebelumnya dimuat juga di detikcom)

oleh: Umar Alhabsyi, MT, CISA, CRISC.

Obama-300x200Sejak dahulu kala, perang digunakan manusia sebagai salah satu cara untuk mencapai tujuan-tujuan tertentu. Tujuan dan motif perang bermacam-macam. Sejarah membuktikan bahwa teknologi amat mempengaruhi bentuk dan metode dari perang tersebut. 

Dahulu perang memestikan para pihak berhadap-hadapan adu senjata saling membunuh. Perkembangan teknologi persenjataan memungkinkan perang bisa dilakukan tanpa berhadap-hadapan lagi. Dampaknya perang dengan model seperti ini menjadi jauh lebih mematikan. Teknologi juga memperluas domain dari perang. Ruang cyber sering disebut juga sebagai domain perang kelima, selain darat, laut, udara, dan ruang angkasa.

Ancaman yang terdapat pada perang di domain ini cukup kompleks, banyak bentuknya dan juga tak kalah bahayanya. Seiring dengan semakin intensifnya penggunaan teknologi informasi pada berbagai sektor kehidupan masyarakat, maka tingkat kerawanannya pun ikut membumbung tinggi.

Masih ingat Stuxnet? Virus yang dilaporkan pada 2010 ini dapat mengganggu proses industri dan bahkan menghancurkan equipment fisik yang digunakan. Bagaimana caranya?
Virus worm itu mengubah informasi kondisi dari peralatan yang digunakan industri untuk selalu menunjukkan bahwa semuanya berjalan normal. Sehingga hal ini akan mengelabuhi operator yang memonitor kondisi semua peralatan sehingga akhirnya peralatan pun bisa jebol. Virus yang awalnya didesain untuk menyasar industri energi nuklir Iran ini sebenarnya dapat menginfeksi pula untuk industri-industri lainnya yang mempunyai kemiripan, bahkan termasuk industri milik pengirimnya sendiri. Dan beragam serangan jenis lain yang makin sering kita temui. Korbannya maupun pelakunya tidak pandang bulu. Siapapun mungkin menyerang maupun diserang. Bisa oleh amatir, bisa profesional. Bisa oleh individu, bisa oleh kelompok bahkan negara.

Januari 2012 yang lalu, Mike McConnell, mantan direktur NSA dibawah presiden George W Bush mengatakan bahwa negaranya telah melakukan serangan kepada sistem komputer di beberapa negara. Walau McConnell tidak menyebut negara mana yang mereka serang, tapi menurut beberapa sumber lain salah satu negara yang dimaksud adalah Iran. Pada Juni 2012, New York Times melaporkan bahwa Presiden Obama telah memerintahkan penyerangan cyber pada fasilitas nuklir Iran.

Beberapa negara telah dengan sangat serius mempersiapkan diri dalam peperangan jenis ini. China, misalnya, telah menargetkan untuk memenangkan perang informasi di pertengahan abad 21. Tak ketinggalan Rusia, Israel, dan Korea Utara juga mempersiapkan diri secara sangat serius untuk perang di domain kelima ini. Bahkan menurut The Economist, Iran mengklaim memiliki pasukan cyber terbesar kedua di dunia. Kemampuan cyber Iran yang patut diperhitungkan ini diakui juga oleh AS sebagaimana diungkapkan oleh Jendral Shelton, komandan pasukan cyber AS. Kemampuan ini sepertinya juga disebabkan karena Iran sering menjadi target serangan dari berbagai pihak. Sementara itu, pasukan cyber AS sendiri saat ini menurut Shelton berkekuatan sekitar 6.000 orang dan akan bertambah sekitar 1.000 orang dalam 12 bulan mendatang.

Padahal pada 2010, diungkapkan bahwa AS memiliki defisit yang sangat besar terkait kebutuhan ahli sekuriti untuk pasukan cyber mereka. Waktu itu James Gosler, seorang spesialis senior cybersecurity yang pernah bekerja di CIA, NSA maupun departemen Energi AS, mengestimasikan bahwa saat itu di seluruh antero AS hanya ada sekitar 1000 orang yang kompeten di bidang cyber-security ini.
Laporan dari CSIS juga menunjukkan permasalahan krisis kebutuhan SDM bidang cyber security di AS ini. Gosler lebih lanjut mengatakan bahwa untuk mengamankan sistem pemerintah dan perusahaan-perusahaan besar AS, dibutuhkan setidaknya 20.000 sampai 30.000 spesialis yang berkompeten di berbagai bidang sekuriti.
Artinya jika estimasi Gosler ini mendekati akurat, maka kekuatan pasukan cyber AS saat ini masih memiliki defisit yang cukup besar.

Instruksi Presiden Obama

Menyadari akan kapasitas dan ancaman serangan cyber terhadap infrastruktur kritikal negaranya, maka 12 Februari 2013 yang lalu Obama mengeluarkan instruksi berkaitan dengan cybersecurity ini. Instruksi tersebut dilatar-belakangi dengan terus berulangnya serangan cyber terhadap infrastruktur kritikal sehingga menuntut peningkatan keamanan cyber. Bahkan dalam instruksi tersebut Obama menyatakan bahwa ancaman cyber ini merupakan salah satu tantangan yang paling serius terhadap keamanan nasional AS yang harus dilawan.

Pemerintah AS meyakini bahwa tantangan tersebut hanya mungkin diatasi jika ada kerja sama yang baik antara pemerintah dengan pemilik dan operator dari infrastruktur-infrastruktur kritikal. Bahwa komunikasi di antara para pihak tersebut terkait informasi keamanan cyber mesti ditingkatkan, serta bersama-sama berkolaborasi untuk mengembangkan dan menerapkan berbagai standar dengan berbasis pada risiko.

Pada instruksi tersebut Obama juga menetapkan pihak-pihak yang akuntabel, yang bertanggung jawab, yang perlu dijadikan nara sumber, serta yang perlu diinformasikan terkait program-program peningkatan keamanan cyber di AS, utamanya yang terkait dengan infrastruktur kritikal. Antara lain Presiden Obama memerintahkan kepada menteri keamanan dalam negeri untuk mengarahkan direktur NIST (lembaga standard dan teknologi AS) untuk memimpin pengembangan framework yang ditujukan untuk menekan risiko-risiko cyber terhadap infrastruktur kritikal.
Framework tersebut mesti mengandung standard-standard, metodologi, dan proses-proses yang menyelaraskan pendekatan-pendekatan kebijakan, bisnis dan teknologi untuk mengatasi risiko-risiko cyber.

Untuk penyusunan framework tersebut, setidaknya dalam 240 hari direktur NIST harus sudah mempublikasi versi draft-nya. Kemudian dalam 1 tahun sejak instruksi tersebut ditandatangani harus sudah mempublikasikan framework finalnya. Namun demikian asesmen terhadap risiko pada infrastruktur-infrastruktur kritikal diperintahkan untuk dilakukan tanpa perlu menunggu framework tersebut selesai, sehingga dapat diketahui profil risiko dari setiap infrastruktur kritikal berikut dampaknya pada keselamatan dan kesehatan publik, keamanan ekonomi, ataupun keamanan nasional yang lebih luas. Tapi betapapun jalan masih cukup panjang sebelum instruksi ini bisa berjalan secara efektif.

AS memang sangat wajar untuk mengkhawatirkan ancaman cyber ini. Barangkali tidak ada negara di dunia ini yang lebih rentan serangan cyber dibanding negeri Paman Sam ini. Hal ini — selain pengaruh sepak terjang politik luar negeri mereka — karena ketergantungan terhadap IT di negara yang kini dipimpin oleh Obama itu begitu tingginya dan meliputi hampir semua sektor. Sehingga dampak yang ditimbulkan akibat serangan cyber pada infrastruktur kritikal dapat benar-benar menjadi bencana yang mengerikan.
Sebuah survei yang dilakukan oleh Ponemon Institute, misalnya, menyatakan bahwa AS adalah negara yang memiliki rata-rata kerugian finansial terbesar jika terjadi serangan cyber (diikuti oleh Jerman, Inggris, dan Prancis).

Alhasil, sikap penting yang harus diambil adalah menyadari bahwa ancaman cyber itu memang sebuah realitas yang harus diperhatikan dengan sangat serius, baik pada tingkatan organisasi maupun negara. Walaupun karena motif-motif tertentu (misalnya oleh vendor piranti security) terkadang memang suka dilebih-lebihkan, bukan berarti risiko ini menjadi berkurang prioritasnya.

Pendekatan yang rasional dan komprehensif akan membuat keamanan dari organisasi maupun negara menjadi semakin mantab. Lalu, bagaimana dengan Indonesia? Tentu tidak perlu menunggu kondisinya menjadi segawat di AS dulu, bukan? [adm/manajemen-ti]

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s