Awal bulan ini, Komite Bisnis, Perburuhan, dan Teknologi di Senat Negara Bagian Colorado menyetujui usulan RUU Senat 90. RUU tersebut akan memberikan pengecualian untuk “infrastruktur penting†dalam undang-undang hak untuk memperbaiki peralatan elektronik digital yang sudah ada di negara bagian tersebut. Itu mungkin terdengar seperti perlindungan yang masuk akal.Â
Dalam praktiknya, hal ini akan membuat infrastruktur penting Colorado menjadi kurang aman dengan menghilangkan kemampuan perusahaan untuk memperbaiki server, router, switch, firewall, dan peralatan TI lainnya yang mereka andalkan, tanpa mengharuskan produsen perangkat lunak untuk membuat sistem tersebut lebih aman.
RUU ini mengacu pada definisi federal tentang “infrastruktur penting†sebagai sistem dan aset yang “sangat penting bagi Amerika Serikat sehingga ketidakmampuan atau kehancurannya akan berdampak buruk pada keamanan, keamanan ekonomi nasional, kesehatan masyarakat, atau keselamatan.†Secara sederhana, hal ini berarti perangkat TI yang digunakan di berbagai sektor seperti layanan kesehatan, layanan keuangan, energi, dan komunikasi hanya dapat dilayani oleh produsen atau penyedia yang mereka beri izin.
Yang terpenting, RUU Senat 90 saat ini tidak menentukan produk mana yang memenuhi syarat untuk pengecualian ini. Akibatnya, penentuan tersebut diserahkan kepada produsen sendiri, tanpa beban pembuktian yang jelas. Sebuah perusahaan dapat mengecualikan peralatan jaringannya dari persyaratan hak perbaikan Colorado hanya dengan menyatakan bahwa peralatan tersebut terlalu sensitif untuk perbaikan independen.
RUU tersebut tampaknya dimotivasi, setidaknya sebagian, oleh gagasan bahwa membatasi akses terhadap alat perbaikan, suku cadang, dan dokumentasi akan meningkatkan keamanan. Asumsi tersebut tidak sejalan dengan bagaimana risiko keamanan siber sebenarnya tercipta dalam praktiknya.
Masalah utama dalam infrastruktur penting bukanlah siapa yang melakukan perbaikan. Ini adalah bagaimana teknologi yang mendasarinya dibangun dan dikirimkan. Produsen secara rutin merilis produk dengan kerentanan yang diketahui, konfigurasi default yang tidak aman, dan jalur patching dan dukungan yang terbatas atau tidak jelas. Kondisi ini menentukan postur keamanan suatu sistem jauh sebelum operator mencoba memperbaikinya.Â
Senat Bill 90 tidak akan membahas kondisi tersebut. Hal ini membatasi akses terhadap perbaikan dan tidak menyentuh akar penyebab ketidakamanan, sehingga memberikan beban lebih besar pada operator dan tidak ada produsen yang mampu mengurangi risiko sistemik.
Pengalaman kami memimpin inisiatif Secure by Design dari Badan Keamanan Siber dan Keamanan Infrastruktur secara konsisten menunjukkan bahwa kondisi yang ditetapkan oleh produsen menentukan apa yang mungkin dilakukan oleh operator di lapangan. Inisiatif ini bertujuan untuk mengalihkan tanggung jawab atas hasil-hasil keamanan kepada pihak-pihak yang mempunyai posisi terbaik untuk melaksanakannya, dan bukan kepada pihak-pihak yang harus mengelola dampaknya.
Analogi keselamatan mobil bersifat instruktif. Kami tidak mengharapkan pengemudi untuk memberikan kompensasi atas tidak adanya sabuk pengaman atau zona crumple, dan kami juga tidak meminta mereka untuk melakukan retrofit pada fitur-fitur tersebut setelah pembelian. Keselamatan adalah properti desain.Â
Perangkat lunak harus diperlakukan dengan cara yang sama. Ketika sistem dibangun dengan komponen yang tidak aman dan dikirimkan dengan default yang tidak aman, kontrol hilir tidak dapat memberikan kompensasi yang andal.
RUU 90 di Senat akan memperketat kontrol atas siapa yang dapat melayani sistem dan memberikan kebebasan kepada produsen untuk terus mengirimkan produk yang tidak aman. Hal ini juga menimbulkan risiko kedua: penundaan. Jika hanya produsen atau penyedia resminya yang dapat melakukan perbaikan, kapasitas menjadi kendala. Dalam kondisi krisis, hal ini dapat memperlambat respons dan pemulihan pada saat yang paling penting adalah kecepatan.
Peristiwa terkini menggambarkan pertaruhannya. Pada awal tahun 2024, para pejabat federal memberikan kesaksian di depan Kongres tentang kompromi yang meluas terhadap infrastruktur penting AS yang dilakukan oleh aktor siber yang disponsori negara, Volt Typhoon. Intrusi ini membahayakan sistem di sektor air, energi, telekomunikasi dan transportasi.Â
Banyak hal yang dimungkinkan oleh eksploitasi kelemahan yang diketahui dan dapat dicegah pada perangkat tepi jaringan seperti router dan firewall – sistem yang dimaksudkan untuk melindungi lingkungan tersebut. Membatasi siapa yang dapat memperbaiki sistem tersebut tidak mengurangi risiko tersebut. Hal ini malah dapat memperpanjang waktu sistem tersebut tetap disusupi.
Di lingkungan infrastruktur yang kritis, keterlambatan dalam remediasi dapat mempengaruhi akses terhadap air, layanan darurat, dan layanan kesehatan. Pilihan kebijakan yang memperlambat pemulihan dapat berdampak langsung pada keselamatan publik.
Undang-undang hak untuk memperbaiki di Colorado mencerminkan naluri yang kuat: bahwa operator harus memiliki kemampuan yang berarti untuk memelihara dan memperbaiki sistem yang mereka andalkan. RUU Senat 90 akan menyimpang dari prinsip tersebut jika prinsip tersebut paling penting, dengan imbalan manfaat keamanan yang tidak didukung oleh bukti.
Jika pembuat undang-undang ingin meningkatkan hasil keamanan siber di infrastruktur penting, fokusnya harus pada akuntabilitas produsen: default yang aman, pengungkapan kerentanan, transparansi siklus hidup, dan patching yang tepat waktu. Ini adalah kondisi yang menentukan apakah sistem dapat menahan serangan dan pulih ketika gagal. Senat Bill 90 tidak mengarahkan kita ke arah itu. Para pembuat undang-undang harus mengarahkan upaya mereka ke upaya yang lebih keras dan lebih penting dalam menjaga produsen agar menerapkan standar yang lebih tinggi.
Bob Lord, dari San Francisco, adalah mantan penasihat teknis senior di Badan Keamanan Siber dan Infrastrukturdi mana dia ikut memimpin inisiatif Secure by Design dan merupakan pendiri Hacklore.org.
Lauren Zabierek, dari Boston, adalah penasihat senior di Badan Keamanan Siber dan Infrastruktur tempat dia ikut memimpin inisiatif Secure by Design.
The Colorado Sun adalah organisasi berita non-partisan, dan opini kolumnis serta penulis editorial tidak mencerminkan opini redaksi.ÂBaca kebijakan etika kami untuk mengetahui lebih lanjut tentang kebijakan opini The Sun. Pelajari cara mengirimkan kolom. Hubungi editor opini di opinion@coloradosun.com.
Ikuti Opini Colorado Sun di Facebook.
