Penyedia layanan internet dan operator seluler tidak akan lagi diwajibkan untuk memenuhi standar keamanan siber minimum setelah pemungutan suara Komisi Komunikasi Federal (FCC) pada hari Kamis.
FCC memutuskan dengan suara 2-1 menurut garis partai untuk membalikkan keputusan bulan Januari — yang diadopsi empat hari sebelum pelantikan Presiden Donald Trump — yang mewajibkan penyedia layanan untuk memberikan sertifikasi tahunan yang menunjukkan bahwa mereka telah “membuat, memperbarui, dan menerapkan rencana manajemen risiko keamanan siber.”
Aturan ini sebelumnya berlaku untuk berbagai perusahaan, termasuk operator seluler, penyedia layanan internet, stasiun radio, bahkan penyiar televisi.
Persyaratan baru tersebut sebagian besar merupakan respons terhadap serangan siber Salt Typhoon pada September tahun lalu, di mana peretas yang dikaitkan dengan pemerintah China membobol jaringan penyedia internet AS seperti AT&T, Verizon, dan Lumen, yang memiliki CenturyLink dan Quantum Fiber. Para penyerang mendapatkan akses ke metadata panggilan dan pesan teks jutaan pelanggan serta dilaporkan berhasil merekam audio dari orang-orang yang terlibat dalam kampanye Harris dan Trump.
“Ini ide yang sangat buruk. Ini seperti menggelar karpet merah untuk serangan berikutnya,” ujar Cooper Quintin, seorang teknolog senior di Electronic Frontier Foundation, kepada CNET. “Saya tidak bisa melebih-lebihkan betapa berdampaknya Salt Typhoon. Ini memberi mereka akses ke komunikasi setiap warga Amerika. Ini berdampak pada semua orang, dan tidak ada konsekuensi bagi perusahaan telekomunikasi selain harus membuat laporan rutin.”
Lantas, mengapa aturan ini dikurangi sekarang? Ketua FCC Brendan Carr menyatakan bahwa aturan tersebut tidak diperlukan karena para penyedia layanan telah “menunjukkan peningkatan postur keamanan siber” dalam setahun sejak serangan Salt Typhoon.
Langkah ini merupakan bab terbaru dalam agenda “Hapus, Hapus, Hapus” milik Carr, yang bertujuan untuk mengakhiri “serangan regulasi dari Washington.”
Keberatan dari Partai Demokrat muncul dengan cepat. Mark Warner, Wakil Ketua Komite Intelijen Senat, menyatakan bahwa penghapusan persyaratan tersebut “membiarkan kita tanpa rencana yang kredibel untuk mengatasi celah yang diekspos oleh Salt Typhoon, termasuk kegagalan dasar seperti penggunaan ulang kredensial dan tidak adanya autentikasi multi-faktor untuk akun yang memiliki hak istimewa tinggi.”
Dalam surat kepada Carr awal pekan ini, Senator Maria Cantwell menyatakan bahwa Salt Typhoon memungkinkan pemerintah China untuk “melacak lokasi jutaan individu” dan “merekam panggilan telepon sesuka hati,” seraya mencatat bahwa insiden tersebut menargetkan hampir setiap warga Amerika.
“Anda kini mengusulkan untuk membalikkan persyaratan ini setelah lobi yang kuat dari para operator telekomunikasi yang jaringannya sendiri dibobol oleh peretas China,” kata Cantwell.
Carr mengabaikan keberatan-keberatan ini dalam rapat pagi tadi, dengan mengatakan, “Melakukan sesuatu hanya agar kita bisa bilang sudah melakukan sesuatu bukanlah jawabannya.”
Blair Levin, mantan kepala staf FCC dan analis industri telekomunikasi di New Street Research, mengatakan kepada saya bahwa ia menemukan posisi Carr tidak intuitif.
“Jika Anda memandang FCC sebagai pelindung kepentingan publik dalam komunikasi modern, gagasan bahwa Anda tidak memiliki peran dalam keamanan siber bagi saya terkesan sengaja tumpul,” kata Levin.
Keputusan ini merupakan kemenangan besar bagi perusahaan telekomunikasi, yang telah melobi agar aturan-aturan ini dicabut. Dalam surat yang dikirim ke FCC bulan lalu, kelompok industri berargumen bahwa kolaborasi keamanan siber puluhan tahun antara industri dan pemerintah berarti aturan tersebut tidak hanya tidak perlu — tetapi juga “secara signifikan melemahkan sistem ini dan membuat jaringan kita kurang aman.”
Ketika saya membacakan kutipan ini kepada Quintin, ia tertawa dan menepisnya dengan sebuah kata berjumlah tujuh huruf.
“Jika harus melaporkan postur keamanan siber mereka kepada seseorang membuat mereka kurang aman, berarti keamanan siber mereka memang sudah payah dari awalnya,” ujarnya.
Jangan lewatkan konten teknologi independen dan ulasan berbasis lab kami. Tambahkan CNET sebagai sumber pilihan di Google.
Cara melindungi diri dari serangan siber di masa depan
FCC mengambil langkah mundur dalam memantau keamanan jaringan kita, yang berarti kini lebih penting dari sebelumnya untuk mempraktikkan keamanan siber yang baik sendiri. Meskipun Salt Typhoon menargetkan pejabat pemerintah, warga Amerika biasa bisa saja berisiko dalam serangan di masa depan.
“Kekhawatiran untuk Anda atau saya lebih ke arah penipuan dan kejahatan siber,” kata Quintin, seraya mencatat bahwa serangan penukaran SIM, penyadapan kode autentikasi dua faktor, dan penipu yang menyamar sebagai bank atau penyedia layanan kesehatan Anda bisa menjadi lebih umum.
Berikut adalah beberapa langkah yang dapat Anda ambil sekarang juga untuk melindungi diri dan mengurangi potensi kerusakan:
Atur kata sandi yang kuat dan selalu gunakan autentikasi multi-faktor. Semua kata sandi Anda harus unik dan panjang, dengan variasi karakter khusus, huruf, dan angka. Jika kedengerannya mustahil untuk diingat, ya memang seharusnya begitu. Pengelola kata sandi yang baik akan melakukan tugas berat ini untuk Anda. Jika Anda mengetahui bahwa salah satu kata sandi Anda telah bocor dalam suatu pelanggaran data, ubahlah sesegera mungkin.
Waspadai serangan phishing. Pelanggaran data memberi peluang besar bagi penjahat untuk menggunakan detail pribadi Anda melawan Anda dengan mengirim email, pesan teks, atau pesan media sosial penipuan. Jangan mengeklik tautan dari pengirim yang tidak Anda kenal, dan bersikaplah sangat skeptis terhadap permintaan uang atau informasi pribadi dari orang atau perusahaan yang belum Anda verifikasi.
Pantau akun keuangan Anda. Selalu merupakan ide yang bagus untuk mengawasi secara ketat akun bank dan kartu kredit Anda, terutama ketika Anda diberi tahu bahwa informasi pribadi Anda telah terekspos. Anda juga dapat mengatur notifikasi akun untuk memberi tahu Anda setiap kali transaksi besar terjadi.
Gunakan VPN. Jika Anda khawatir dengan serangan gaya Salt Typhoon lainnya dari pemerintah asing atau siapa pun, hal terbaik yang dapat Anda lakukan untuk memastikan koneksi Anda tetap pribadi adalah dengan menggunakan VPN yang terpercaya. Carilah fitur-fitur canggih seperti pengaburan, Tor over VPN, dan VPN ganda, yang menggunakan server VPN kedua untuk lapisan enkripsi tambahan. Anda juga dapat menginstal VPN di router Anda secara langsung sehingga semua lalu lintas Anda terenkripsi secara otomatis.