2 poin oleh GN⁺ 2025-04-24 | 1 komentar | Bagikan ke WhatsApp
  • Krisis penghentian basis data CVE menunjukkan bahwa sistem keamanan siber federal AS dapat terguncang hanya oleh keputusan anggaran, personel, dan organisasi
  • Jika CVE, yang selama 25 tahun terakhir menjadi titik referensi bersama untuk kerentanan keamanan, goyah, para pihak bertahan akan menghabiskan waktu untuk memastikan apakah mereka sedang membicarakan kerentanan yang sama, dan penyerang dapat memanfaatkan kekacauan itu
  • CISA menjadi sasaran pemangkasan lebih dari sepertiga pegawainya, dan kontrak CVE milik MITRE diperpanjang tepat sebelum tenggat, tetapi akan berakhir lagi pada Maret 2026
  • Pemecatan pimpinan NSA dan US Cyber Command, pembubaran de facto CSRB, penghentian penyelidikan Salt Typhoon, pergeseran ke kesiapsiagaan yang berpusat pada negara bagian dan pemerintah lokal, serta pemotongan hibah federal sedang melemahkan kapabilitas pertahanan federal
  • Ditambah dengan akses DOGE ke sistem federal yang sensitif, pelemahan keamanan yang ditimbulkan sendiri oleh AS dapat berdampak pada ekosistem teknologi di luar Amerika Serikat

Krisis penghentian CVE dan kekacauan pengelolaan kerentanan

  • Common Vulnerabilities and Exposures, atau CVE, adalah daftar inti yang selama 25 tahun terakhir pada praktiknya merangkum hampir semua kerentanan keamanan
  • Mantan direktur CISA Jen Easterly menjelaskan CVE sebagai katalog global yang memungkinkan tim keamanan, vendor perangkat lunak, peneliti, dan pemerintah mengatur serta membahas kerentanan dalam kerangka acuan yang sama
  • Tanpa CVE, tiap organisasi akan memakai daftar yang berbeda atau merespons tanpa daftar sama sekali, waktu untuk memastikan apakah yang dibicarakan adalah masalah yang sama akan bertambah, dan penyerang bisa memanfaatkan kebingungan itu
  • CISA, yang mengawasi CVE, menjadi sasaran pemangkasan lebih dari sepertiga pegawainya, dan para pegawai diberi tahu untuk memilih sebelum tengah malam Senin apakah akan tetap bekerja atau mengundurkan diri
  • Kontrak CVE milik MITRE diperpanjang tepat sebelum tenggat, tetapi dijadwalkan berakhir lagi pada Maret 2026

Penyusutan CISA dan organisasi siber federal

  • Pengurangan tenaga kerja CISA dan ketidakpastian kontrak berkaitan langsung dengan masalah keberlanjutan CVE
  • Di masa lalu, perpanjangan kontrak CVE nyaris merupakan keputusan yang sudah sewajarnya, tetapi kini belum jelas apakah perpanjangan berikutnya akan terjadi
  • Jika fondasi bersama seperti CVE goyah, koordinasi respons kerentanan di seluruh keamanan teknologi akan menjadi lebih sulit

Pembubaran pejabat keamanan siber senior dan badan penasihat

  • General Timothy D. Haugh, pimpinan NSA dan US Cyber Command, dipecat pada awal April
    • Ia dinilai sebagai figur penting dalam pertahanan infrastruktur siber nasional, termasuk respons terhadap campur tangan Rusia setelah pemilu 2016
    • Sebagai latar belakang pemecatan, disebut-sebut bahwa Laura Loomer, tokoh teori konspirasi sayap kanan sekaligus sosok dekat Trump, tidak menyukainya
  • Cyber Safety Review Board, atau CSRB, adalah organisasi yang dibentuk pada era pemerintahan Biden untuk menyelidiki insiden siber besar
    • Semua anggotanya diberhentikan sehingga pada praktiknya badan ini dibubarkan
    • Penyelidikan atas serangan siber penting seperti peretasan “Salt Typhoon” dari Tiongkok pun dihentikan
  • Serangan Salt Typhoon juga menargetkan Trump dan Wakil Presiden JD Vance, tetapi pemerintahan tersebut dikritik karena dianggap tidak menaruh perhatian serius pada masalah ini

Kesiapsiagaan berpusat pada negara bagian/lokal dan penyusutan dukungan federal

  • Perintah eksekutif Trump Achieving Efficiency Through State and Local Preparedness menyatakan bahwa kapabilitas kesiapsiagaan paling efektif dimiliki dan dikelola di tingkat negara bagian, lokal, dan individu, sementara pemerintah federal mendukungnya
  • Perintah ini memasukkan serangan siber, kebakaran hutan, badai, hingga cuaca antariksa sebagai sasaran pengambilan keputusan dan investasi di tingkat lokal
  • Karena serangan siber tidak berhenti di satu negara bagian tertentu, muncul kritik bahwa tidak realistis bila 50 negara bagian masing-masing harus menghadapi tim peretas yang didukung negara lain
  • Pada awal masa jabatannya, Trump juga memangkas pendanaan untuk program hibah federal yang khusus ditujukan bagi keamanan siber
  • Pemerintah negara bagian mungkin akan kesulitan mempekerjakan cukup banyak pakar keamanan tingkat tertinggi

Akses DOGE ke sistem sensitif dan risiko data

  • Department of Government Efficiency milik Elon Musk, atau DOGE, telah mengakses sistem federal yang sensitif
  • Target akses itu mencakup sistem pembayaran Treasury Department dan Social Security System
  • Muncul kekhawatiran bahwa data tersebut tampaknya telah disalin ke suatu tempat, dan orang-orang yang tidak memiliki hak untuk melihat atau menggunakannya kini bisa mengaksesnya
  • Kritik terus berdatangan bahwa yang terekspos bukan hanya dasar pertahanan siber eksternal, tetapi juga data yang dapat menjadi landasan serangan keamanan berskala besar terhadap warga sipil
  • Dalam konteks ini, insiden pencurian informasi Social Security milik 1,6 juta orang dari sebuah perusahaan asuransi bahkan tampak kecil jika dibandingkan

Dampak yang dapat meluas ke luar Amerika Serikat

  • Karena Amerika Serikat telah lama memegang peran utama dalam keamanan teknologi, pelemahan pertahanan siber federal bukan sekadar masalah domestik AS
  • Kerugian terbesar memang akan ditanggung AS, tetapi seluruh dunia juga dapat merasakan dampaknya

1 komentar

 
GN⁺ 2025-04-24
Opini Hacker News
  • Sebenarnya dengan cara apa ini membantu rakyat Amerika Serikat?

    • Menghentikan Mitre dan CVE bertentangan dengan kepentingan AS, baik di sektor publik maupun swasta
      Dari sudut pandang biaya, ini masih bisa diperdebatkan. Misalnya, apakah basis data CVE bernilai 50 juta dolar per tahun, terutama jika mempertimbangkan backlog yang ada
      Bisa juga diasumsikan bahwa layanan pengganti dari pihak swasta atau semiswasta akan muncul, lalu beberapa di antaranya bersaing dan menjadi lebih baik. Seperti kaum libertarian, orang juga bisa berargumen bahwa semua layanan yang bukan monopoli pemaksaan seharusnya ditangani swasta
      Namun itu bukan argumen yang bagus. 50 juta dolar memang terlihat besar dan mungkin masih ada ruang untuk penghematan. Meski begitu, saya ingin melihat analisis operasional yang nyata, bukan sekadar mengakhiri programnya
      Argumen kedua bahkan lebih buruk. NIST dan NOAA adalah contoh lembaga dengan manfaat besar dibanding biayanya, dan NIST berorientasi laba atau NOAA berorientasi laba tampaknya tidak terlalu masuk akal. Meski begitu, secara umum tetap layak menimbang kelebihan dan kekurangan layanan yang didanai publik versus versi swasta. Argumen buruk pun lebih baik daripada tidak ada argumen sama sekali, tetapi pemerintahan saat ini bahkan tidak mengajukan argumen seperti itu
    • Tidak membantu. Ini efek samping dari kurangnya modal manusia di kalangan kanan populis
      Ada banyak teori konspirasi bahwa ini akan dipakai untuk menekan hak, dan pada akhirnya bisa saja menjadi seperti itu. Namun itu kemungkinan lebih merupakan reaksi setelah fakta terhadap akibat dari tindakan yang ceroboh
      Pandangan umum di pemerintahan Trump saat ini adalah bahwa program-program keamanan siber seperti ini pemborosan uang, dan sektor swasta akan muncul secara ajaib untuk menyelamatkan kita
      Sekarang semua orang akan menanggung biaya tinggi dari rendahnya modal manusia
    • Bukankah itu berasumsi bahwa manajemen saat ini benar-benar tertarik pada hal-hal yang membantu rakyat Amerika Serikat?
    • Saya melihatnya sebagai upaya terang-terangan untuk memberi sinyal kepada Rusia bahwa AS bukan lagi ancaman langsung. Semacam upaya sia-sia untuk menghindari perang dua front dalam perang dunia yang akan datang
      Sayangnya, Putin kemungkinan besar akan terus menginvasi sampai Fulda Gap di Jerman. Jika kita masih menjadi bagian dari NATO, kita tidak punya pilihan selain menyatakan perang
    • Mereka tampaknya berpikir sedang menghemat anggaran pemerintah. Alih-alih ada sesuatu yang jahat sedang terjadi, ini lebih seperti mengambil keputusan hanya dengan melihat angka di spreadsheet pemerintah
      Pemerintahan Trump melihat uang dibelanjakan untuk proyek yang juga menguntungkan orang di luar AS, terlepas dari nilai internalnya, lalu langsung berasumsi bahwa uang Amerika dipakai untuk negara lain
      Mereka tidak cukup pintar, tidak cukup paham, dan tidak terlalu berniat belajar atau mendengarkan orang yang lebih pintar. Jika melihat pos anggaran yang tidak mereka pahami, mereka menganggapnya boleh dihapus
      Sepertinya ada asumsi mendasar bahwa kalau itu benar-benar penting, seseorang akan menjadikannya bisnis
  • Obrolan Signal hanyalah isu sampingan dibandingkan dengan membuka pemerintah terhadap kebocoran data dan pengaruh asing
    https://www.newsweek.com/doge-whistleblower-stalked-threaten...

    • Keluarga saya yang konservatif hanya menonton Fox News, OAN, dan Twitchy, situs meme konservatif yang seakan-akan berusaha membuat Fox News terlihat lebih bodoh
      Mereka tidak melihat hal-hal seperti ini. Tidak ada pemberitaan yang layak. Ibu saya bahkan tidak tahu cakupan tarif itu, dan tidak tahu soal penipuan kripto DJT. Signal juga sudah saya jelaskan berkali-kali, tetapi hal yang rumit benar-benar tidak ia pahami
      Ibu saya berkata, “Saya tahu Trump itu orang yang kasar,” tetapi, mengutipnya, ia menginginkan “Amerika untuk orang Amerika,” ingin menempatkan Tiongkok pada posisinya, dan menjaga perbatasan
      Ketika saya berkata kepada ayah saya, “Menurutmu kenapa Amerika begitu kuat dan berpengaruh? Karena kita berinvestasi di dunia dan menerima pelajar ke Amerika. Kita bukan pusat dunia tanpa alasan,” ia hanya menjawab, “Kita memang pusat dunia”
      Negara kita penuh dengan orang yang tidak mampu berpikir abstrak dan kecanduan kebohongan
  • Anggaran bukan inti masalahnya, melainkan pengalih perhatian. Membongkar sistem keamanan siber swasta adalah cara untuk mengekspos publik pada operasi pengaruh dan kerugian lain, sehingga nantinya dibutuhkan lebih banyak solusi ala “pemimpin kuat” [0,1]
    Hanya setelah menghancurkan “pertahanan siber”, mereka bisa mengklaim ada krisis dan menyatakan “keamanan siber sudah mati, jayalah keamanan siber baru”
    Dan itu jelas bukan keamanan untuk Anda
    [0] https://cybershow.uk/blog/posts/computer-security-is-a-polit...
    [1] https://cybershow.uk/blog/posts/usw/

  • Tulisannya agak lemah. Peristiwa ketika anggaran CVE hampir diputus memang jelas tragis, tetapi tulisan itu tidak membahas pengambilan data dari NLRB dan penguncian semua orang dari akun mereka, serta hanya menyinggung singkat pemangkasan hibah federal keamanan siber dan anggaran CISA
    Ada jauh lebih banyak amunisi untuk menunjukkan betapa tidak kompetennya pemerintahan Trump dan tim DOGE Musk sebenarnya

    • https://www.npr.org/2025/04/15/nx-s1-5355896/doge-nlrb-elon-...
      Membahas cukup rinci indikasi bahwa staf DOGE sengaja berupaya menyembunyikan aktivitas mereka di akun Azure milik NLRB. Tentu ini hal yang bagus untuk transparansi pemerintah
      Dalam pengungkapan Berulis disebutkan bahwa hanya beberapa menit setelah DOGE mengakses sistem NLRB, seseorang dengan alamat IP Rusia mulai mencoba login. Upayanya terjadi “hampir secara real time”
      Upaya login itu diblokir, tetapi sangat mengkhawatirkan. Orang yang mencoba login disebut menggunakan salah satu akun DOGE yang baru dibuat, dan mengetahui nama pengguna serta kata sandi yang benar
    • Mereka sebenarnya cukup kompeten untuk tujuan sebenarnya. Tujuannya bukan membuat Amerika hebat lagi, melainkan memecah-belahnya supaya orang-orang superkaya bisa membeli semuanya, termasuk tanah, dengan harga obral
    • Jangan lupa juga soal menargetkan Chris Krebs, yang menjaga keamanan pemilu
    • Ini bukan artikel, melainkan kolom opini
  • Mungkin diperlukan basis data seperti CVE yang tidak bergantung pada pemerintah AS. Ini kelemahan dunia TI itu sendiri

    • Pemerintah AS selama ini cukup baik menangani hal semacam ini. Secara umum bisa dipercaya, punya kelonggaran untuk mengeluarkan sedikit uang demi melindungi komoditas ekspor internasional yang sangat menguntungkan, dan bisa meminta pertanggungjawaban pemilik platform meski mereka menyembunyikan masalah untuk tujuan pemasaran atau sengaja mengaburkannya
      Dengan mengetahui sejarah CVE selama 10 tahun terakhir, siapa yang benar-benar bisa diusulkan secara serius? Mau disubkontrakkan ke Cisco atau Oracle?
    • Pihak CVE sedang berupaya mendiversifikasi sumber pendanaannya
      https://www.thecvefoundation.org/
  • Ini ide yang agak nyeleneh, tapi bagaimana kalau CVE didistribusikan ke beberapa negara agar tidak ada satu organisasi pun yang punya wewenang untuk menghapusnya?
    Bukankah itu basis data publik meski AS tidak bekerja sama? Apa yang mencegah UN, EU, Inggris, Australia, dan lainnya menyalinnya lalu membentuk CVE bersama?

  • Trump akan terkejut untuk kedua kalinya oleh fakta bahwa “semuanya adalah komputer”

  • Ini sabotase, siapa yang melakukannya?

  • Washington Monument syndrome juga dikenal sebagai Mount Rushmore syndrome atau firemen first principle, yaitu istilah yang merujuk pada fenomena ketika lembaga pemerintah AS, saat menghadapi pemotongan anggaran, mengurangi layanan pemerintah yang paling terlihat atau paling dihargai”
    https://en.wikipedia.org/wiki/Washington_Monument_syndrome

    • Saya tidak yakin apakah ini cocok untuk kasus ini. Di luar kalangan seperti HN, seberapa besar masyarakat umum peduli atau paham tentang keamanan siber?