Tetap terinformasi dengan pembaruan gratis
Cukup daftar ke Digest myFT Sektor Teknologi – dikirim langsung ke kotak masuk Anda.
Penulis adalah seorang profesor di Tufts dan penulis ‘Cyberinsurance Policy’
Siapa yang harus disalahkan atas gangguan perangkat lunak CrowdStrike yang membuat jutaan komputer di seluruh sektor industri di seluruh dunia mati minggu lalu? Seperti sering terjadi pada insiden keamanan cyber, ada banyak kesalahan yang harus dibagikan. CrowdStrike gagal memeriksa dengan benar file saluran yang mereka kirimkan ke pelanggan mereka, membuat komputer Windows mereka crash, dan juga tampaknya merilis file tersebut ke semua orang sekaligus, daripada memulai dengan sejumlah pelanggan kecil untuk mengidentifikasi masalah sebelum melepaskan pembaruan secara luas.
Sementara itu, Microsoft membiarkan CrowdStrike dan pengembang pihak ketiga lainnya memiliki akses level kernel ke sistem operasi Windows-nya. Kernel dari sistem operasi memiliki kontrol atas seluruh komputer. Tanpa tingkat akses itu, pembaruan CrowdStrike mungkin tidak akan memiliki dampak yang sama. Pasti akan lebih mudah memperbaikinya tanpa harus me-reboot semua sistem yang terkena secara manual.
Memberikan perusahaan perangkat lunak akses semacam itu ke sistem operasi adalah berbahaya – itu berarti Anda bisa dengan cepat kehilangan kendali atas komputer Anda jika salah satu penyedia perangkat lunak yang Anda andalkan membuat kesalahan atau dikompromi. Itulah mengapa Apple mulai memberi tahu pengembang pihak ketiga pada tahun 2020 bahwa mereka tidak akan lagi memberikan akses level kernel ke sistem operasi MacOS (dan juga sangat mungkin mengapa masalah CrowdStrike tidak memengaruhi perangkat Apple).
Tapi tidak semua kesalahan ada di Microsoft. Perjanjian tahun 2009 antara perusahaan dan Komisi Eropa mengharuskan mereka memberikan pengembang luar akses yang sama ke Windows yang dimiliki oleh perangkat lunak keamanan mereka sendiri. Ide di baliknya adalah membuat mungkin bagi perusahaan perangkat lunak lain untuk bersaing dengan Microsoft dengan memastikan banyak produk dan layanan mereka dapat berinteraksi dengan perangkat lunak dan alat luar. Itu adalah tujuan yang baik, dan banyak ketentuan dalam perjanjian itu benar-benar wajar, seperti menuntut agar Outlook mendukung format acara kalender yang umum.
Tapi perjanjian tahun 2009 sangat cacat karena menuntut Microsoft untuk membuat semua API, atau fungsi pemrograman, yang digunakan produk perangkat lunak keamanannya sendiri tersedia untuk produsen produk perangkat lunak keamanan pihak ketiga. Ini adalah ketentuan yang memerlukan Microsoft memberikan akses level kernel kepada perusahaan seperti CrowdStrike. Sampai diubah, tidak jelas apakah Microsoft dapat menerapkan pelajaran utama dari bencana ini dan mulai menghentikan akses, seperti yang dilakukan Apple empat tahun lalu.
Di luar mengubah perjanjiannya dengan Microsoft, komisi – seperti regulator lainnya – perlu memikirkan risiko mengorbankan keamanan demi persaingan. Perusahaan teknologi telah lama memperingatkan bahwa membuka terlalu banyak ekosistem mereka kepada pengembang luar bisa berakibat pada keamanan. Kekhawatiran ini terkadang dianggap sebagai alasan untuk perilaku anti-persaingan, tetapi ada beberapa trade-off yang sah antara keamanan dan persaingan.
Komisi bulan lalu mengatakan bahwa Apple, untuk mematuhi Digital Markets Act UE, harus memudahkan akses dan mengunduh perangkat lunak yang disediakan di luar App Store resminya. Itu akan membuka lebih banyak persaingan untuk aplikasi, tetapi mungkin berarti pengguna akan mengunduh perangkat lunak yang tidak aman yang tidak diverifikasi oleh Apple.
Mendorong persaingan dengan cara ini mutlak memerlukan bahwa sistem operasi dikunci sekuat mungkin, karena kita bisa berakhir mengunduh perangkat lunak dari banyak pengembang yang tidak dikenal dan tidak terpercaya. Itulah mengapa Apple memperkenalkan langkah-langkah keamanan baru ke sistem operasi selulernya pada bulan Januari untuk membatasi kerusakan potensial dari kode yang tidak diverifikasi yang diunduh di iPhone. Itulah mengapa regulator harus memikirkan dengan seksama tingkat akses yang mereka minta perusahaan teknologi berikan kepada pesaing dan pengembang pihak ketiga.
Mungkin kita bersedia mengorbankan sebagian keamanan demi lebih banyak persaingan, tetapi kita seharusnya tidak pernah, dalam keadaan apa pun, mengorbankan kernel komputer kita.