Washington
Para peretas elit Rusia yang memperoleh akses ke sistem komputer agen federal tahun lalu tidak perlu dengan susah payah membobol jaringan masing-masing departemen untuk menyebabkan malapetaka.
Sebaliknya, mereka masuk ke dalam dengan menyelipkan kode berbahaya ke dalam pembaruan perangkat lunak yang disebarkan ke ribuan lembaga pemerintah dan perusahaan swasta.
Bahwa peretas mampu mengeksploitasi kerentanan dalam rantai pasokan untuk meluncurkan operasi pengumpulan-intelijen besar-besaran tidak terlalu mengejutkan.
Pejabat Amerika Serikat dan pakar keamanan siber telah menyuarakan peringatan selama bertahun-tahun tentang masalah yang telah menyebabkan malapetaka, termasuk kerugian finansial miliaran dolar, sementara juga menentang solusi mudah dari pemerintah dan sektor swasta.
“Kita harus merangkul ancaman rantai pasokan dan menemukan solusinya, tidak hanya bagi kita di sini di Amerika sebagai ekonomi terkemuka di dunia, tetapi untuk planet ini,” William Evanina, yang mengundurkan diri minggu lalu seperti yang dikatakan kepala pejabat kontraintelijen pemerintah AS, dalam sebuah wawancara.
“Kami harus menemukan cara untuk memastikan bahwa kami di masa depan dapat memiliki postur tanpa risiko, dan mempercayai pemasok kami.”
Secara umum, rantai pasokan mengacu pada jaringan orang dan perusahaan yang terlibat dalam pengembangan produk tertentu, tidak berbeda dengan proyek konstruksi rumah yang bergantung pada kontraktor dan jaringan subkontraktor. Banyaknya langkah dalam proses itu, dari desain hingga manufaktur hingga distribusi, dan berbagai entitas yang terlibat memberikan peretas yang ingin menyusup ke bisnis, agensi, dan infrastruktur banyak titik masuk.
Itu bisa berarti tidak ada satu perusahaan atau eksekutif yang memikul tanggung jawab tunggal untuk melindungi seluruh rantai pasokan industri. Dan bahkan jika sebagian besar vendor dalam rantai tersebut aman, satu titik kerentanan dapat menjadi semua yang dibutuhkan peretas pemerintah asing. Dalam istilah praktis, pemilik rumah yang membangun rumah besar seperti benteng tetap dapat menjadi korban sistem alarm yang telah disusupi sebelum dipasang.
Kasus terbaru yang menargetkan agen federal melibatkan peretas pemerintah Rusia yang diyakini telah memasukkan kode berbahaya ke dalam perangkat lunak populer yang memantau jaringan komputer bisnis dan pemerintah. Produk itu dibuat oleh perusahaan yang berbasis di Texas bernama SolarWinds yang memiliki ribuan pelanggan di pemerintah federal dan sektor swasta.
Malware tersebut memberi peretas akses jarak jauh ke jaringan berbagai lembaga. Di antara mereka yang diketahui terpengaruh adalah departemen Perdagangan, Perbendaharaan, dan Kehakiman.
Bagi peretas, model bisnis yang menargetkan rantai pasokan secara langsung adalah hal yang masuk akal.
“Jika Anda ingin melanggar 30 perusahaan di Wall Street, mengapa melanggar 30 perusahaan di Wall Street [individually] kapan Anda bisa pergi ke server – gudang, cloud – tempat semua perusahaan menyimpan datanya? Itu lebih pintar, lebih efektif, lebih efisien untuk melakukan itu, ”kata Mr Evanina.
Meskipun mantan Presiden Donald Trump menunjukkan sedikit minat pribadi pada keamanan siber, bahkan memecat kepala badan keamanan siber Departemen Keamanan Dalam Negeri hanya beberapa minggu sebelum peretasan Rusia terungkap, Presiden Joe Biden mengatakan dia akan menjadikannya prioritas dan akan membebankan biaya pada musuh. yang melakukan serangan.
Perlindungan rantai pasokan mungkin akan menjadi bagian penting dari upaya tersebut, dan jelas ada pekerjaan yang harus dilakukan. Sebuah laporan Kantor Akuntabilitas Pemerintah dari bulan Desember mengatakan tinjauan terhadap 23 protokol lembaga untuk menilai dan mengelola risiko rantai pasokan menemukan bahwa hanya sedikit yang telah menerapkan masing-masing dari tujuh “praktik dasar” dan 14 tidak menerapkannya.
Pejabat AS mengatakan tanggung jawab tidak bisa jatuh ke tangan pemerintah sendiri dan harus melibatkan koordinasi dengan industri swasta.
Namun pemerintah telah mencoba mengambil langkah-langkah, termasuk melalui perintah dan aturan eksekutif.
Ketentuan Undang-Undang Otorisasi Pertahanan Nasional untuk tahun fiskal 2019 melarang agen federal membuat kontrak dengan perusahaan yang menggunakan barang atau jasa dari lima perusahaan China, termasuk Huawei. Strategi kontraintelijen resmi pemerintah untuk tahun 2020 hingga 2022 menjadikan pengurangan ancaman terhadap rantai pasokan utama AS sebagai salah satu dari lima pilar inti.
Mungkin gangguan rantai pasokan yang paling terkenal sebelum SolarWinds adalah serangan NotPetya di mana kode berbahaya yang ditemukan telah ditanam oleh peretas militer Rusia dilepaskan melalui pembaruan otomatis perangkat lunak persiapan pajak Ukraina, yang disebut MeDoc. Malware itu menginfeksi pelanggannya, dan serangan itu secara keseluruhan menyebabkan kerusakan lebih dari $ 10 miliar secara global.
Departemen Kehakiman pada bulan September mendakwa lima peretas China yang dikatakan telah menyusupi penyedia perangkat lunak dan kemudian memodifikasi kode sumber untuk memungkinkan peretasan lebih lanjut dari pelanggan penyedia. Pada 2018, departemen mengumumkan kasus serupa terhadap dua peretas Tiongkok yang dituduh membobol penyedia layanan cloud dan menyuntikkan perangkat lunak berbahaya.
“Siapa pun yang terkejut dengan SolarWinds belum memperhatikan,” kata Rep. Jim Langevin, seorang Demokrat Rhode Island dan anggota Cyberspace Solarium Commission, sebuah kelompok bipartisan yang mengeluarkan buku putih yang menyerukan perlindungan rantai pasokan melalui intelijen yang lebih baik dan berbagi informasi.
Bagian dari daya tarik serangan rantai pasokan bagi para peretas adalah bahwa itu “buah yang tergantung rendah”, dengan AS sering tidak menghargai atau memahami seberapa tersebar jaringannya sebenarnya, kata Brandon Valeriano, pakar keamanan siber di Universitas Korps Marinir dan penasihat senior komisi solarium.
“Masalahnya adalah pada dasarnya kami tidak tahu apa yang kami makan,” kata Pak Valeriano. “Dan terkadang keluar kemudian kita tersedak sesuatu.”
Kisah ini dilaporkan oleh The Associated Press. Penulis AP Frank Bajak di Boston berkontribusi untuk laporan ini.
Published By : Hongkong Pools