Rencana Tanpa Biaya untuk Perkuat Keamanan Siber Nasional

Washington D.C. – Internet Security Alliance (ISA) pada hari Selasa meluncurkan sebuah rencana yang diklaim dapat meningkatkan keamanan siber nasional Amerika Serikat dengan biaya minimal bagi pemerintah federal. Dokumen setebal 21 halaman tersebut menguraikan lima rekomendasi yang menurut ISA tidak hanya “hampir tidak memerlukan biaya bagi pemerintah federal” tetapi juga berpotensi menghemat miliaran dolar bagi sektor swasta.

Rencana yang berjudul “Jalur Tanpa Biaya Menuju Keamanan Siber Amerika” ini dirancang untuk mengoperasionalkan filosofi pemerintahan yang menekankan pragmatisme dan efisiensi. “Ini adalah program-program pragmatis yang dapat diimplementasikan dengan cepat,” ujar dokumen tersebut. “Program ini akan menghasilkan peningkatan material yang signifikan dalam keamanan siber negara kita hampir seketika.”

Lebih lanjut, dokumen tersebut menyatakan bahwa langkah-langkah ini akan menempatkan keamanan jangka menengah dan panjang negara pada jalur yang efektif secara terukur dan berkelanjutan secara ekonomi, yang memungkinkan penanganan ancaman kegagalan sistemik yang terus berkembang. Dengan dukungan Gedung Putih, inisiatif ini diklaim dapat mentransformasi keamanan siber dari beban kepatuhan menjadi keunggulan kompetitif, sekaligus mengamankan masa depan digital negara dan warisan presiden sebagai pemimpin yang mengubah deregulasi menjadi kemenangan keamanan nasional.

Memangkas Aturan yang Tumpang Tindih

Salah satu rekomendasi utama ISA adalah agar Kantor Manajemen dan Anggaran Federal (OMB) menggunakan kewenangan yang sudah ada untuk menghilangkan peraturan keamanan siber yang tumpang tindih. David Bader, Direktur Institut Ilmu Data di New Jersey Institute of Technology (NJIT), menyoroti skala masalah ini. “Analisis GAO baru-baru ini menemukan bahwa di antara empat badan federal utama, 49% hingga 79% parameter persyaratan keamanan siber secara langsung bertentangan satu sama lain,” katanya. Ia mencontohkan pelaporan insiden, di mana terdapat 45 persyaratan berbeda yang tersebar di 22 badan federal, masing-masing dengan formulir dan situs webnya sendiri.

“Kekacauan peraturan ini secara serius merusak kemampuan keamanan siber kita,” tambah Bader. “Lembaga keuangan besar melaporkan bahwa tim siber mereka kini menghabiskan lebih dari 70% waktu mereka untuk kepatuhan peraturan daripada benar-benar meningkatkan keamanan. Beberapa perusahaan menghabiskan hampir setengah dari seluruh anggaran keamanan siber mereka hanya untuk mengisi laporan kepatuhan yang tumpang tindih.”

BacaJuga

Ceo Runway: Ai Ciptakan 50 Film, Bukan 1 Blockbuster

Roger Grimes, seorang evangelist pertahanan di KnowBe4, menambahkan bahwa masalahnya bukan hanya pemborosan waktu, tetapi peraturan yang tumpang tindih seringkali berbeda dan bahkan saling bertentangan. “NIST merekomendasikan untuk tidak memiliki ukuran minimum kata sandi, menghilangkan keharusan untuk mengubahnya secara berkala, dan menghilangkan persyaratan kerumitan,” jelasnya. “Sebagian besar panduan keamanan siber lainnya, termasuk banyak peraturan pemerintah, justru mewajibkan sebaliknya.”

Namun, Berin Szóka, Presiden TechFreedom, mencatat potensi hambatan dalam implementasi rekomendasi ini. “Peran OMB adalah mengoordinasikan peraturan dan memeriksa apakah peraturan tersebut tidak konsisten atau tumpang tindih,” ujarnya. “Mereka tidak dapat mencabut peraturan seperti yang diklaim dokumen ini. Terserah badan-badan untuk mencabut aturan. Pertanyaannya kemudian adalah apakah badan-badan tersebut dapat mempersingkat proses pembuatan aturan normal. Administrasi Trump telah mengklaim bahwa badan-badan tidak perlu melalui proses pembuatan aturan normal jika mereka berpikir sebuah aturan tidak sah. Itu tidak benar. Begitulah cara kerja Administrative Procedure Act.”

Analisis Biaya-Manfaat Regulasi Siber

ISA juga merekomendasikan agar analisis biaya-manfaat diwajibkan untuk semua peraturan keamanan siber. “Meskipun menghabiskan triliunan dolar untuk kepatuhan terhadap peraturan keamanan siber, tidak ada studi yang pernah mendokumentasikan bahwa peraturan keamanan siber benar-benar meningkatkan keamanan,” tegasnya.

Heath Renfrow, CISO dan salah satu pendiri Fenix24, sebuah perusahaan pemulihan bencana siber, menunjukkan bahwa meskipun analisis biaya-manfaat tampak sebagai pengaman ekonomi, dalam keamanan siber, sisi biaya bersifat nyata sementara sisi manfaat bersifat probabilistik. “Bagaimana Anda mengukur biaya yang dihindari dari peristiwa ransomware yang tidak terjadi karena adopsi MFA?” tanyanya. “Kerangka kerja biaya-manfaat tradisional, seperti OMB Circular A-4, rusak karena serangan siber adalah peristiwa berfrekuensi rendah namun berdampak tinggi dengan efek sekunder yang berjenjang.”

“Namun demikian,” lanjut Renfrow, “memaksa badan-badan setidaknya untuk mengartikulasikan asumsi, memodelkan skenario, dan menguji proporsionalitas akan meningkatkan kualitas penyusunan peraturan. Bahayanya adalah senjata. Perusahaan mungkin berpendapat bahwa kecuali Anda dapat membuktikan bahwa pelanggaran akan merugikan sejumlah X dolar, peraturan tersebut tidak sepadan. Keseimbangannya adalah memastikan analisis menginformasikan regulasi, tanpa melumpuhkannya.”

Bader dari NJIT sepakat bahwa risiko penggunaan analisis biaya-manfaat untuk menghindari peraturan yang diperlukan adalah nyata dan mengkhawatirkan. “Banyak manfaat keamanan siber bersifat preventif dan sistemik, sehingga sulit untuk ditangkap dalam model ekonomi tradisional,” katanya. “Efek berjenjang yang kita lihat dari serangan rantai pasokan seperti SolarWinds menunjukkan bahwa biaya sebenarnya dari insiden siber seringkali jauh melebihi perkiraan awal.”

“Namun,” tambahnya, “ketika diimplementasikan dengan benar dengan metodologi yang memperhitungkan ketidakpastian ini, analisis biaya-manfaat sebenarnya dapat meningkatkan keamanan siber dengan memastikan sumber daya dialokasikan untuk langkah-langkah keamanan yang paling berdampak. Kuncinya adalah mengembangkan model yang cukup canggih untuk menangani karakteristik unik risiko siber, daripada menerapkan kerangka kerja biaya-manfaat peraturan standar yang tidak dirancang untuk domain ini.”

Perombakan Cybersecurity Information Sharing Act

Rekomendasi lain dari ISA adalah agar Cybersecurity Information Sharing Act (CISA) tahun 2015 diperbarui dan dimodernisasi. CISA 2015, yang merupakan dasar hukum untuk kolaborasi siber publik-swasta, akan berakhir pada 30 September 2025, kecuali diperpanjang. “Membiarkannya kedaluwarsa akan sangat membatasi kemampuan pemerintah untuk berbagi intelijen ancaman dengan industri, yang merusak keamanan nasional,” tegas ISA.

Bader berpendapat bahwa CISA memerlukan modernisasi mendesak karena undang-undang tersebut dibuat untuk lanskap ancaman yang sudah tidak relevan. “Undang-undang tahun 2015 dibuat sebelum kita memahami serangan yang didukung AI, kompromi rantai pasokan yang canggih, atau kerentanan unik infrastruktur cloud,” katanya. “Definisi tentang apa yang merupakan informasi keamanan siber yang dapat dibagikan terlalu sempit untuk lingkungan ancaman saat ini.”

Matt Stern, Chief Security Officer di Hypori, menambahkan, “Dengan munculnya AI dan kemampuan untuk membangun kode berbahaya lebih cepat dari sebelumnya, cara tradisional berbagi informasi tidak dapat mengimbangi ancaman tersebut. Jika kita ingin setidaknya setara dengan ancaman, kita harus memodernisasi peraturan sehingga dapat menangani penyampaian informasi ancaman ke tangan orang yang membutuhkannya dengan cara yang lebih realistis dan lebih cepat.”

Renfrow dari Fenix24 menambahkan bahwa partisipasi sektor swasta dalam berbagi masih lemah di bawah undang-undang yang ada. “Modernisasi harus mencakup perlindungan kewajiban bagi perusahaan yang berbagi indikator kompromi dengan itikad baik dan kewajiban timbal balik bagi pemerintah untuk memberikan intelijen yang dapat ditindaklanjuti secara real-time.”

Mengatasi Kekurangan Tenaga Kerja Siber

ISA juga merekomendasikan penciptaan tenaga kerja keamanan siber yang hemat biaya untuk pemerintah, sebagian besar melalui PIVOTT Act yang saat ini sedang dibahas di Kongres. Di bawah PIVOTT (Providing Individuals Various Opportunities for Technical Training), siswa dapat mendaftar dalam program keamanan siber yang ada yang ditawarkan oleh perguruan tinggi, perguruan tinggi komunitas, dan program sertifikat. Pemerintah federal akan menanggung biaya kuliah mereka. Sebagai imbalannya, siswa diwajibkan untuk melakukan sejumlah layanan pemerintah.

PIVOTT menargetkan pendaftaran hingga 10.000 siswa per tahun pada akhirnya. “Dengan laju tersebut, PIVOTT akan mengatasi kesenjangan tenaga kerja keamanan siber pemerintah federal (35.000) dalam waktu kurang dari 4 tahun,” catat ISA.

“Model magang dan rotasi PIVOTT Act menjanjikan karena memperlakukan talenta siber sebagai sumber daya terbarukan,” kata Renfrow. “Anda memindahkan praktisi terampil antar badan alih-alih setiap badan mencoba mengembangkan jalur yang terisolasi.”

Ida Byrd-Hill, CEO dan pendiri Automation Workz, sebuah perusahaan konsultasi reskilling dan keragaman, berargumen bahwa lebih banyak dana harus diarahkan ke sistem pengembangan tenaga kerja di Departemen Tenaga Kerja. “Sebagian besar orang tidak menyadari bahwa pelatihan teknologi di universitas, perguruan tinggi, atau perguruan tinggi komunitas tidak cukup jika Anda tidak memiliki sertifikasi,” katanya. “Masalah ini bisa saja terpecahkan sejak lama jika pemerintah mendukung program belajar sambil bekerja. Pemerintah belum menyetujuinya. Mereka harus melangkah. Ini bukan hanya tentang beasiswa dan pelatihan.”