DOGE sebagai Serangan Siber Tingkat Negara
(schneier.com)- Muncul serangkaian laporan bahwa personel terkait Department of Government Efficiency (DOGE) yang baru dibentuk telah mengakses sistem federal sensitif seperti Departemen Keuangan, USAID, OPM, serta Medicaid dan Medicare, sehingga sistem kontrol inti keamanan pemerintah AS terguncang
- Masalahnya bukan sekadar akses baca, tetapi mencakup hak administrator, kemungkinan memodifikasi program inti, akses ke kunci enkripsi, perubahan log audit, koneksi ke server yang tidak diotorisasi, hingga memasukkan data sensitif ke perangkat lunak AI
- Sistem pembayaran federal milik Departemen Keuangan menangani sekitar 5,45 triliun dolar per tahun, sementara OPM menyimpan data pribadi rinci jutaan pegawai federal dan pemegang izin keamanan, sehingga dampaknya besar terhadap keamanan nasional
- Seharusnya pengaman pencegah penyalahgunaan seperti pemisahan tugas, audit, pelacakan perubahan, respons insiden, dan persetujuan multi-pihak berjalan, tetapi risiko terbesar justru dinilai berasal dari dikesampingkannya atau digantinya pegawai negeri karier yang sebelumnya menangani fungsi tersebut
- Diperlukan audit yang mencakup pencabutan akses tanpa izin, pemulihan prosedur autentikasi, penerapan kembali pemantauan dan manajemen perubahan, serta kemungkinan reset penuh sistem; semakin lama akses tanpa batas ini berlangsung, semakin sulit pemulihannya
Cakupan pelanggaran keamanan akibat akses DOGE
- Dalam beberapa pekan, pemerintah AS mungkin mengalami pelanggaran keamanan yang secara historis sangat serius, bukan akibat serangan siber asing yang canggih atau operasi intelijen, melainkan atas arahan resmi seorang miliarder yang perannya di dalam pemerintah tidak jelas
- Personel terkait DOGE dilaporkan mengakses sistem komputer Departemen Keuangan dan berada pada posisi untuk mengumpulkan atau berpotensi mengendalikan data pembayaran federal senilai sekitar 5,45 triliun dolar per tahun
- Cakupan akses meluas ke berbagai lembaga inti
- Personel DOGE tanpa izin keamanan mengakses data rahasia USAID dan mungkin menyalinnya ke sistem mereka sendiri
- OPM adalah lembaga yang menyimpan data pribadi rinci jutaan pegawai federal dan pemegang izin keamanan, dan diperlakukan sebagai target pelanggaran
- Catatan Medicaid dan Medicare juga dianggap telah dilanggar
- Sejumlah nama pegawai CIA dikirim ke akun email tidak rahasia tanpa penghapusan yang memadai
- Ada laporan bahwa personel DOGE memasukkan data Departemen Pendidikan ke perangkat lunak AI dan mulai bekerja di Departemen Energi
Mengapa memblokir akses ke Departemen Keuangan saja tidak cukup
- Pada 8 Februari, hakim federal memblokir tim DOGE agar tidak lagi dapat mengakses sistem Departemen Keuangan
- Karena data mungkin sudah disalin atau perangkat lunak mungkin sudah dipasang atau dimodifikasi, belum jelas apakah sekadar memblokir akses cukup untuk menyelesaikan masalah
- Jika pegawai federal tidak mematuhi protokol yang melindungi keamanan nasional, pelanggaran terhadap sistem pemerintah penting lainnya juga dapat terus terjadi
Mengapa sistem-sistem ini merupakan inti operasional negara
- Sistem yang diakses DOGE bukanlah infrastruktur pinggiran, melainkan jaringan penghubung inti operasi pemerintahan
- Sistem Departemen Keuangan memuat cetak biru teknis tentang bagaimana pemerintah federal memindahkan uang
- Jaringan OPM berisi informasi tentang siapa yang direkrut pemerintah dan organisasi mana yang dikontrak
- Pelanggaran OPM oleh pemerintah Tiongkok pada 2015 merupakan contoh kegagalan keamanan besar di AS yang menunjukkan bahwa data kepegawaian dapat digunakan untuk mengidentifikasi petugas intelijen dan merusak keamanan nasional
Yang belum pernah terjadi sebelumnya bukan hanya skalanya, tetapi juga caranya
- Kekuatan asing yang bermusuhan biasanya membutuhkan waktu bertahun-tahun untuk menyusup ke sistem pemerintah seperti ini secara diam-diam dan menyembunyikan jejak mereka
- Kali ini, operator luar dengan pengalaman terbatas dan hampir tanpa pengawasan memperoleh hak akses administrator tingkat tertinggi di bawah pengawasan publik yang terbuka, lalu mengubah jaringan sensitif milik AS
- Perubahan seperti ini dapat menciptakan kerentanan keamanan baru
- Kekhawatiran yang lebih besar daripada akses itu sendiri adalah pelemahan sistematis terhadap pengaman keamanan yang dirancang untuk mendeteksi dan mencegah penyalahgunaan
- Protokol respons insiden standar
- Audit
- Mekanisme pelacakan perubahan
- Penyingkiran pegawai negeri karier yang menangani pengaman tersebut dan penggantian mereka dengan operator yang kurang berpengalaman
Risiko karena prinsip pemisahan tugas diabaikan
- Sistem komputer Departemen Keuangan dirancang dengan prinsip bahwa satu orang tidak boleh memiliki kewenangan tanpa batas, karena dampaknya terhadap keamanan nasional sangat besar, mirip dengan protokol peluncuran nuklir
- Seperti dua perwira yang harus memutar kunci secara bersamaan untuk meluncurkan rudal nuklir, perubahan pada sistem keuangan inti juga secara tradisional harus dilakukan bersama oleh beberapa personel yang berwenang
- Pendekatan ini adalah prinsip keamanan separation of duties (pemisahan tugas), bukan sekadar prosedur birokratis
- Seperti verifikasi transfer bank dalam jumlah besar atau persetujuan laporan keuangan utama di perusahaan, prosedur verifikasi oleh beberapa orang dengan peran terpisah adalah pengaman penting untuk mencegah korupsi dan kesalahan
- Kondisi ketika langkah-langkah ini dilewati atau diabaikan diibaratkan seperti memecat penjaga Fort Knox lalu mengumumkan kebijakan yang mengizinkan kunjungan ke brankas tanpa pendamping
Wewenang dan perubahan spesifik yang menimbulkan kekhawatiran
- Pihak Sen. Ron Wyden memahami bahwa para penyerang memperoleh kewenangan untuk memodifikasi program inti yang memverifikasi pembayaran federal di komputer Departemen Keuangan, mengakses kunci enkripsi yang melindungi transaksi keuangan, dan mengubah log audit yang mencatat perubahan sistem
- Di OPM, ada laporan bahwa personel terkait DOGE menghubungkan server yang tidak diotorisasi ke jaringan
- Ada juga laporan bahwa data sensitif sedang digunakan untuk melatih perangkat lunak AI
- Server baru itu memiliki fungsi dan konfigurasi yang tidak diketahui, dan tidak ada bukti bahwa kode baru telah melalui protokol pengujian keamanan yang ketat
- Sistem AI seperti ini tidak cukup aman untuk data semacam itu, dan menjadi target ideal bagi pihak asing maupun domestik yang bermusuhan dan ingin mengakses data federal
Kerentanan jangka panjang yang ditinggalkan perubahan sistem
- Alasan perubahan perangkat keras atau perangkat lunak harus melalui proses perencanaan yang rumit dan mekanisme kontrol akses yang cermat adalah karena pentingnya sistem-sistem ini
- Saat ini, sistem menjadi jauh lebih rentan terhadap serangan berbahaya, sementara administrator sistem sah yang terlatih untuk melindunginya justru diblokir
- Memodifikasi sistem inti dapat meninggalkan kerentanan yang bukan hanya memengaruhi operasi saat ini, tetapi juga dapat disalahgunakan dalam serangan di masa depan
- Pihak bermusuhan seperti Rusia dan Tiongkok telah lama menargetkan sistem seperti ini, bukan hanya untuk mengumpulkan intelijen tetapi juga untuk memahami cara mengacaukannya saat krisis
- Detail teknis tentang cara kerja sistem, protokol keamanan, dan kerentanannya mungkin telah terekspos kepada pihak yang tidak diketahui tanpa pengaman yang lazim
Dampak keamanan terbagi dalam tiga area
-
Manipulasi sistem
- Operator luar dapat memodifikasi operasi sekaligus mengubah jejak audit yang seharusnya melacak perubahan tersebut
-
Paparan data
- Bukan hanya akses ke informasi pribadi dan catatan transaksi, tetapi juga kemampuan menyalin seluruh arsitektur sistem dan konfigurasi keamanan
- Dalam kasus Departemen Keuangan, ini mencakup cetak biru teknis infrastruktur pembayaran federal AS
-
Kontrol sistem
- Saat mengubah sistem inti dan mekanisme autentikasi, mereka juga dapat menonaktifkan alat yang dirancang untuk mendeteksi perubahan tersebut
- Ini bukan sekadar perubahan operasional, melainkan perubahan terhadap infrastruktur tempat operasi itu sendiri bergantung
Tindakan segera yang diperlukan
- Akses tanpa izin harus dicabut dan protokol autentikasi yang semestinya dipulihkan
- Pemantauan sistem yang menyeluruh dan manajemen perubahan harus diterapkan kembali
- Karena sulit membersihkan sistem yang telah dilanggar, mungkin diperlukan reset sistem secara penuh
- Audit menyeluruh harus dilakukan terhadap semua perubahan sistem yang dilakukan selama periode ini
- Akses tanpa batas yang terus berlanjut akan membuat pemulihan akhir semakin sulit dan meningkatkan risiko kerusakan permanen pada sistem-sistem inti
1 komentar
Komentar Hacker News
Kekhawatiran yang dia ajukan, terutama bagian bahwa negara musuh dan aktor bermusuhan akan mendapat lebih banyak kesempatan untuk mengumpulkan data dan memahami cara mengacaukan atau menyerang Amerika Serikat, tampak masuk akal
Ada perbedaan antara pejabat publik terpilih yang melakukan hal bodoh atau tidak aman, dan orang yang tidak terpilih bisa melakukan hal seperti ini tanpa checks and balances sama sekali
Sebagai catatan tambahan, sepertinya tulisan-tulisan tentang topik ini terus-menerus di-flag, jadi saya memberi upvote pada tulisan ini, dan saya menghormati Bruce Schneier serta berbagai pandangannya
Saya ingat ada insiden yang cukup terkenal terkait server email pribadi
Dibandingkan dengan yang sedang terjadi sekarang, ini benar-benar sulit dipahami
Mungkin ada kekeliruan dalam penalaran Schneier:
They are also reportedly training AI software on all of this sensitive data.Menjalankan inferensi tidak sama dengan pelatihan
Meski begitu, saya juga tidak merasa tulisan ini pantas di-flag. Itu terasa bertentangan dengan kebebasan berekspresi, dan tulisan-tulisan lain yang dia tulis di HN juga banyak diapresiasi; jelas ada banyak orang yang menganggap wawasannya bernilai. Kalau tidak setuju, lebih baik ungkapkan di komentar daripada mencoba membuat tulisannya menghilang
Sudut pandang sebaliknya adalah bahwa mereka baru saja memperoleh mandat lewat pemilu untuk mengaudit dan mengurangi pemborosan pemerintah, dan akses langsung ke data diperlukan untuk mencegah masalah principal-agent di mana birokrat pemerintah memelintir laporan demi melindungi anggaran dan kegiatan mereka dari audit serta pengawasan yang tidak mereka inginkan
Dengan framing seperti ini, bahkan jika ada poin seperti perlunya mempertahankan kontrol perubahan, jadinya seperti meminta untuk di-flag oleh kubu yang berseberangan
Namun hipotesis saya adalah bahwa tujuan mereka sebenarnya adalah melatih model menggunakan keseluruhan output tiap departemen
Dari sisi implementasi teknis, yang tampak sekarang pada akhirnya menurut saya hanya akan berujung pada BigBalls dan kawan-kawan bertanya kepada model bahasa besar apa yang harus dilakukan berikutnya. Saya berani bertaruh kalau mereka nanti dituntut, itulah yang akan dijadikan pembelaan
Schneier tidak seharusnya di-flag. Sudah beberapa hari ini saya menunggu seseorang mengeluarkan penilaian risiko keamanan siber yang tenang dan terstruktur, dan tulisan ini adalah yang paling mendekati itu yang bisa kita dapatkan
Perlu mengingat prinsip Chesterton's fence
Jika negara ini berhasil bertahan melewati kegilaan ini, perangkat lunaknya harus ditulis ulang dari awal. Kalau tidak, kita tidak akan tahu lagi aktor domestik maupun asing mana yang memiliki pengetahuan tentang sistem tersebut
Korporasi pada dasarnya adalah cabang keempat pemerintahan yang tidak resmi. Jika pasar saham anjlok, mereka akan lenyap seketika
Aliran dana kampanye dan uang pelobi yang selama ini mengalir ke para politisi akan terputus, kepanikan akan datang, dan kepemimpinan pun akan berganti
Saya tahu bahwa karena putusan Citizens United, uang yang identitasnya tidak terungkap bisa mengalir dari mana saja dan menopang kampanye tanpa batas waktu, tetapi itu tidak akan cukup untuk mengimbangi runtuhnya pasar saham akibat hilangnya kepercayaan pada dolar AS dan pasar Amerika
Yang aneh adalah Trump tampaknya mengikuti buku petunjuk diktator dengan kacau sejak awal. Bahkan sudah ada diktator yang masih hidup yang menulis buku petunjuk ini. Untuk membersihkan negara administratif, dia harus menguasai pemerintahan selama beberapa masa jabatan. Pertama dia harus membawa ekonomi atau kualitas hidup kembali ke jalur normal secepat mungkin agar kekuasaan tertinggi dirinya atau penerusnya bisa menguat. Lalu selama beberapa masa jabatan, gunakan kekuasaan yang secara sukarela diberikan rakyat untuk membongkar checks and balances terhadap kekuasaannya sendiri, sambil mengisi kantong dan kepala basis pendukungnya. Setelah itu, bahkan jika ekonomi runtuh, rakyat akan direbus perlahan seperti katak perlawanan sampai tak seorang pun bisa menjatuhkannya. Setelah itu barulah dia mulai merancang oposisi agar tetap ada tampilan kebebasan politik yang bisa ditunjukkan ketika orang mulai mengeluh
Trump tampaknya melakukan kebalikannya. Alih-alih fokus pada ekonomi, dia lebih dulu memberi makan basis pendukungnya, yang merupakan strategi yang relatif lebih berbahaya. Tapi bahkan sekarang pun belum genap sebulan, jadi masih ada waktu baginya untuk mulai mengikuti buku petunjuk itu dengan benar
Akan terus berlanjut sampai ada konsekuensi yang dijatuhkan
Tambahan lagi, konsekuensi itu harus bersifat legislatif atau hukum
Dengan memodifikasi sistem inti, para penyerang bukan hanya mengganggu operasi saat ini, tetapi juga meninggalkan kerentanan yang bisa dieksploitasi untuk serangan di masa depan. Ini pada dasarnya memberi peluang yang belum pernah ada sebelumnya kepada negara-negara musuh seperti Rusia dan Tiongkok. Negara-negara ini sudah lama membidik sistem semacam ini, dan mereka tidak hanya ingin mengumpulkan informasi, tetapi juga memahami bagaimana sistem ini bisa diganggu dalam situasi krisis
Pada titik ini, sangat sulit membayangkan bahwa seluruh kudeta ini bukan serangan bergaya Rusia/Tiongkok terhadap dunia Barat. Ini terlalu menguntungkan bagi mereka sampai sulit dianggap sebagai kebetulan
Mungkin mereka melihat diri mereka sebagai sesuatu yang bukan pemerintah, tetapi kontestasi yang mereka ikuti sejak awal adalah kontestasi untuk dipilih guna menjalankan urusan pemerintahan
Pada titik tertentu, alat-alat untuk fungsi pemerintahan yang berguna akan cukup dirusak sampai tidak lagi tersisa sebagai kapasitas yang masih bisa dipakai
Benarkah harus begitu?
Jika itu kehendak Tuhan, negara administratif akan dipaksa bertekuk lutut oleh pejabat terpilih yang memang dipilih secara sah untuk mengekangnya
Artikel terkait: “Treasury was warned DOGE access to payments marked an ‘insider threat’”