cpu-data.info

AMERIKA Serikat dalam menghadapi ancaman serangan siber global pada 2022 lalu, telah memberlakukan Undang-Undang Keamanan Siber Amerika. UU ini disebut "S.3600 - Strengthening American Cybersecurity Act of 2022".

UU yang disahkan Maret 2022 ini mengharuskan operator infrastruktur penting seperti sistem perairan, atau jaringan listrik untuk melaporkan setiap serangan atau peratasan siber yang mereka alami.

Baca artikel sebelumnya: Referensi Cyberlaw untuk UU Keamanan dan Ketahanan Siber (Bagian I)

Laporan disampaikan dalam rentang waktu 72 jam, setelah serangan atau peretasan terjadi kepada Cybersecurity and Infrastructure Security Agency (CISA), Badan Keamanan Siber dan Keamanan Infrastruktur AS.

Uniknya, UU ini juga mengatur tentang kewajiban organisasi untuk melaporkan secara khusus dalam rentang waktu 24 jam, jika telah melakukan pembayaran dalam kasus “ransomware”. Hal ini menunjukan bagaimana AS menaruh perhatian khusus terkait hal ini.

UU ini dirancang tidak melulu sebagai respons secara reaktif, tetapi juga sebagai upaya mitigasi, dan peringatan tepat waktu, terhadap serangan kepada publik.

Rantai Pasok

Selain UU S-3600, sebelumnya, Presiden AS juga mengeluarkan kebijakan dengan pendekatan hulu (upstream) dalam bentuk perintah eksekutif yang dikenal dengan Executive Order 14028 (EO 14028).

General Services Administration (GSA) dalam rilisnya "Executive Order 14028: Improving the Nation's Cybersecurity" 2021 menyatakan bahwa Presiden AS mengeluarkan Perintah Eksekutif 14028, 12 Mei 202, untuk menghadapi ancaman siber ini.

EO 14028 mengharuskan organisasi untuk meningkatkan keamanan siber, dan integritas rantai pasok perangkat lunak yang mencakup beberapa hal.

Pertama, mewajibkan penyedia layanan untuk berbagi informasi insiden yang terkait ancaman siber, yang dapat memengaruhi jaringan Pemerintah.

Pemerintah Federal juga didorong untuk mengamankan layanan cloud, arsitektur zero-trust, penerapan otentikasi multifaktor dan enkripsi.

Kedua, menetapkan standar keamanan dasar untuk pengembangan perangkat lunak yang dijual kepada pemerintah. Mewajibkan pengembang menjaga visibilitas yang lebih besar terhadap perangkat lunak mereka dan menyediakan data keamanan untuk publik.

Ketiga, membentuk Cybersecurity Safety Review Board (CSRB). Dewan ini diketuai bersama oleh pimpinan pemerintah dan sektor swasta.

CSRB dapat bersidang terkait insiden siber signifikan, menganalisis, dan membuat rekomendasi untuk meningkatkan keamanan siber.

Keempat, meningkatkan kemampuan untuk mendeteksi aktivitas siber berbahaya pada jaringan Federal. Langkahnya dengan mengaktifkan sistem deteksi, dan respons titik akhir, di seluruh pemerintah dan meningkatkan pembagian informasi dalam pemerintah Federal.