Badan-badan federal mendapat nilai rendah dalam hal keamanan siber
4 min read
WASHINGTON – Seorang anggota parlemen Kongres berencana untuk bertemu dengan kepala informasi dari dua lusin lembaga federal dalam beberapa minggu mendatang untuk membahas bagaimana mereka dapat meningkatkan keamanan jaringan komputer mereka.
Reputasi. Adam Putnam (mencari), R-Fla., mengatakan pertemuan tersebut akan berlangsung setelah laporan kongres yang menunjukkan pemerintah federal memperoleh nilai keseluruhan “D” atas upayanya selama setahun terakhir untuk mengamankan sistem informasi lembaga.
“Sudah terlalu lama, keamanan informasi tidak lagi menjadi perhatian kolektif bangsa kita,” kata Putnam pada hari Selasa. “Kita perlu berbuat lebih banyak dan melakukannya lebih cepat jika kita ingin melindungi diri kita dari potensi bencana digital.”
Putnam mengetuai Subkomite Reformasi Pemerintah DPR bidang Teknologi, Kebijakan Informasi, Hubungan Antarpemerintah dan Sensus, yang merilis kartu laporan keamanan komputer federal tahunan keempat pada hari Selasa.
Rapor tersebut menunjukkan peningkatan dibandingkan nilai “F” yang diperoleh pemerintah pada tahun sebelumnya, namun beberapa lembaga masih gagal melindungi jaringan mereka.
• Data mentah: Kartu laporan keamanan komputer 2003 (pdf)
• Data mentah: Kelas Komputer Federal dan Bagan Batang (pdf)
Dari 24 lembaga yang disurvei, 14 lembaga mengalami peningkatan nilai. Namun, delapan agensi memperoleh nilai “F”, enam menerima “D”, enam menerima “C”, dua menerima “B”, dan hanya Komisi Pengaturan Nuklir (mencari) Dan Yayasan Sains Nasional (mencari) memperoleh nilai “A”.
Beberapa lembaga – terutama Kantor Manajemen Personalia, Departemen Keuangan, Pendidikan dan Pertahanan serta Badan Pembangunan Internasional – telah memperoleh kemajuan dalam keamanan komputer dalam beberapa tahun terakhir, kata pakar industri, namun masih banyak yang harus dilakukan.
“Pemerintah telah mencapai beberapa kemajuan, namun masih banyak pekerjaan yang harus dilakukan. Pemerintah harus memberi contoh dengan eksekusi yang lebih cepat,” ujar Bill Conner, CEO perusahaan keamanan komputer Entrust Inc.
Subkomite menentukan nilainya berdasarkan survei yang dikirimkan lembaga ke Kantor Manajemen dan Anggaran sesuai dengan Undang-Undang Manajemen Keamanan Informasi Federal (mencari), disahkan oleh Kongres tahun lalu. Di bawah FISMA, lembaga-lembaga diharapkan memperbarui sistem keamanan mereka secara teratur, memelihara inventarisasi sistem mereka, mengidentifikasi risiko dan kekurangan, mengembangkan upaya pemulihan untuk meningkatkan keamanan, dan mengembangkan rencana yang aman untuk melanjutkan operasi jika terjadi gangguan.
“Tujuan utama FISMA adalah memaksa pemerintah federal untuk membereskan urusannya dan menjadi mitra terpercaya dalam melindungi jalur informasi kita,” kata Rep. Tom Davis (mencari), R-Va., ketua panitia penuh dan penulis FISMA. “Nilai yang kami keluarkan hari ini menunjukkan bahwa meskipun beberapa ruangan di rumah tersebut lebih rapi, namun banyak juga yang tidak.”
Menurut laporan tersebut, hanya lima lembaga yang telah menyelesaikan inventarisasi aset teknologi informasi penting mereka, sementara 19 lembaga lainnya belum menyelesaikan inventarisasi yang dapat diandalkan. Inspektur jenderal Departemen Pertahanan, Urusan Veteran, dan Perbendaharaan tidak menyampaikan evaluasi independen sebagaimana diwajibkan oleh undang-undang.
Berbicara minggu lalu di KTT Keamanan Siber Nasional di California – sebuah pertemuan yang dihadiri 350 perwakilan dari pemerintah, industri dan akademisi, Menteri Keamanan Dalam Negeri Tom Ridge, yang lembaganya memperoleh nilai “F”, mengatakan bahwa ia menyadari masih banyak yang harus dilakukan.
“Kenyataannya adalah kita bergantung pada komputer,” kata Ridge. “Kita harus rajin dan bertekad untuk menemukan cara untuk memperkuat dunia maya kita seperti halnya para teroris yang berusaha menemukan cara untuk menyerangnya. Bagi setiap peretas atau teroris yang mencoba menyebarkan worm atau virus ke arah kita, kita harus memiliki penghalang yang efektif dan penghalang yang kuat untuk menghalangi mereka.”
Klaim Sektor Swasta Mengungguli Pemerintah
Menurut Institut Standar dan Teknologi Nasional, bug dan kesalahan perangkat lunak merugikan perekonomian AS sekitar $59,5 miliar per tahun. Lebih dari 76.000 bug dan kesalahan terjadi hanya dalam enam bulan pertama tahun ini, NIST melaporkan. Yang terbaru Begitu Besar-F (mencari) virus diperkirakan telah menyebabkan kerugian ekonomi lebih dari $10 miliar.
Sebuah studi yang dilakukan oleh Business Software Alliance baru-baru ini melaporkan bahwa para profesional keamanan informasi mengatakan bahwa mereka yakin organisasi mereka berisiko terkena serangan siber besar, namun 78 persen juga mengatakan bahwa mereka siap untuk bertahan melawan penyusup.
BSA adalah salah satu dari beberapa kelompok pada pertemuan puncak keamanan siber yang mengidentifikasi lima bidang yang memerlukan perbaikan: kesadaran konsumen dan usaha kecil, sistem peringatan dini, tata kelola perusahaan, standar teknis, dan keamanan di seluruh siklus pengembangan perangkat lunak.
BSA, bersama dengan Asosiasi Teknologi Informasi Amerika, TechNet dan Kamar Dagang Amerika serta kelompok lainnya, telah menyusun rencana kasar untuk memperkuat infrastruktur informasi penting negara tersebut.
Perwakilan industri telah meminta Kongres untuk memberikan kesempatan kepada sektor swasta untuk mengambil tindakan sendiri guna memperbaiki keadaan, dan mencari kebijakan lepas tangan untuk saat ini.
“Meskipun tantangan dan ancaman yang sangat besar masih ada, industri ini membuat langkah besar dalam menjadikan keamanan siber sebagai prioritas,” kata Robert Holleyman, presiden BSA. “Melalui peningkatan kesadaran eksekutif dan karyawan, alokasi sumber daya dan kemitraan publik-swasta seperti pertemuan puncak hari ini di Silicon Valley, kita dapat mencapai tujuan keamanan nasional dan global.”
Putnam mengatakan dia akan menegaskan kepada Komite Alokasi DPR tentang perlunya mendanai upaya keamanan informasi di tingkat pemerintah secara memadai. Dia juga baru-baru ini mengedarkan rancangan undang-undang yang akan — melalui Komisi Sekuritas dan Bursa — mewajibkan perusahaan publik untuk melaporkan keamanan komputer mereka, namun sejak itu dia mengubah pendiriannya.
“Tujuannya adalah untuk menghasilkan serangkaian praktik dan pedoman keamanan informasi terbaik yang akan diadopsi – secara sukarela – oleh sektor swasta,” kata Putnam.
