Selamat datang di Citizen Tech edisi pertama, ringkasan kebijakan bulanan InformationWeek! Setiap bulan kami akan melihat kisah politik terbesar tentang teknologi dan keamanan siber bulan ini, di Amerika Serikat dan luar negeri, untuk membuat Anda tetap terhubung. Inilah penutup Anda untuk Oktober.
Gedung Putih Menyelenggarakan Konferensi Anti-Ransomware Internasional
Dewan Keamanan Nasional (NSC) Gedung Putih menyelenggarakan acara kontra-ransomware virtual pada 13 dan 14 Oktober. Perwakilan dari sekitar 30 negara, serta Eropa Union (EU) sebagai sebuah blok, hadir. Konferensi tersebut membahas topik-topik seperti ketahanan jaringan, penggunaan cryptocurrency secara ilegal, bagaimana ransomware dibiayai, dan cara-cara untuk mengganggu ekosistem ransomware melalui penegakan hukum dan diplomasi.
Mata uang virtual dan penyalahgunaannya diterima para peserta ‘ perhatian khusus. Anne Neuberger, wakil penasihat keamanan nasional untuk Presiden Biden, menggarisbawahi sifat internasional dari uang tebusan yang dibayarkan dalam crypto, yang mungkin melibatkan setengah lusin negara antara lokasi penyerang, lokasi target, negara ketiga yang menjadi tuan rumah pertukaran, dan lainnya untuk mencuci uang.
“Dibutuhkan jaringan untuk melawan jaringan,” kata Neuberger kepada pers pasca-acara. “Dibutuhkan jaringan negara-negara yang menghubungkan elemen individu di dalam negara melalui diplomasi, penegakan hukum, regulator keuangan … dan kemudian terhubung secara global untuk melawan jaringan infrastruktur aktor ransomware dan penggunaan mata uang virtual secara ilegal. Dan memang, campuran para ahli yang berada di ruangan dari area yang secara tradisional beroperasi di saluran paralel akan menjadi inti untuk mengganggu ekosistem itu. perwakilan Cina untuk konferensi. Neuberger berkata, “AS memiliki serangkaian percakapan yang jujur, profesional, dan sangat langsung dengan Rusia tentang aktivitas kriminal, aktivitas ransomware yang berasal dari dalam Rusia.”
Tidak ada larangan internasional atas ransomware , mengingat skema operasi protean dan terutama komplikasi geopolitiknya: pada titik tertentu masalah ini berubah menjadi teriakan tanpa henti dan sia-sia tentang supremasi hukum di satu sisi dan kedaulatan di sisi lain. Lembar fakta Gedung Putih, yang dikeluarkan sebelum konferensi, menyebutkan $400 juta di seluruh dunia sebagai uang tebusan yang dibayarkan tahun lalu, dan $81 juta pada kuartal pertama tahun 2021 saja.
California Issues Cybersecurity Roadmap
Pada 22 Oktober, Gubernur California Gavin Newsom merilis rencana lima tahun untuk mengkonsolidasikan upaya cybersecurity negara bagian dan “ mengatasi kesenjangan kritis.” Disebut Cal-Secure, rencananya komprehensif, dan akan berlaku untuk badan-badan federal, negara bagian, kota, suku, dan sektor swasta yang beroperasi di California. Pusat Integrasi Keamanan Siber negara bagian, pusat infosec eksekutif negara bagian, menyusun rencana tersebut dengan bantuan berbagai lembaga negara lainnya, termasuk penegakan hukum dan pertahanan.
Menurut siaran pers, Newsom telah maju sekitar $260 juta untuk Departemen Teknologi, serta “$11,3 juta satu kali dan $38,8 juta berkelanjutan untuk mematangkan postur keamanan negara bagian secara keseluruhan, meningkatkan inisiatif keamanan informasi di seluruh negara bagian, menganalisis intelijen ancaman dunia maya dan mengurangi potensi ancaman.”
Perhatian utama Cal-Secure adalah standar terpadu dari pelatihan dan tata kelola keamanan. Banyak pertanyaan tetap terbuka, mulai dari rincian peluncuran hingga ambiguitas ungkapan Cal-Secure: Kapan rekomendasi “rekomendasi”, dan kapan mandatnya?
Pelaporan insiden adalah pertanyaan terbuka lainnya. Cal-Secure tampaknya membuat protokol notifikasi standar, tetapi kata-kata dalam laporannya tidak jelas. yang meragukan, Louisiana mengkonsolidasikan upaya keamanan siber mereka dalam skema serupa pada tahun 2015; negara bagian menghemat $75 juta dalam layanan TI dengan melakukannya.
California adalah roda penggerak penting dalam ekonomi digital internasional, jadi Cal-Secure mungkin menginspirasi model konsolidasi top-down serupa di negara bagian lain dan akhirnya negara lain. Kantor Newsom mengeluarkan panduan visual untuk rencana tersebut tetapi berhati-hatilah: Ini benar-benar tidak dapat dibaca.
Parlemen Eropa Menyerukan Unit Cyber Bersama
Pada 7 Oktober, Parlemen Eropa memberikan suara mendukung “penggunaan ganda”, Unit Cyber Bersama militer dan sipil untuk Uni Eropa. Usulan tersebut akan mengoordinasikan tanggapan negara-negara anggota UE terhadap serangan siber besar, serta memfasilitasi berbagi informasi antar pemerintah. Pemungutan suara tersebut menunjukkan kekhawatiran yang berkembang di antara pemerintah Eropa tentang otonomi strategis dan teknologi UE, terutama dalam menghadapi serangan siber dari saingan geopolitik blok tersebut.
Anggota parlemen secara khusus mengutip skandal spyware Pegasus sebagai contoh bahaya yang dihadapi negara-negara anggota. Saat ini, UE tidak memiliki kebijakan keamanan siber terpadu. Pemungutan suara bulan ini merupakan langkah penting untuk membuatnya.
Rezim keamanan siber Uni Eropa yang bersatu berpotensi membuat gelombang di AS. Resolusi tersebut mengutip ketergantungan Eropa pada pihak ketiga swasta Amerika sebagai kerentanan strategis utama. Ini dapat menyebabkan pertempuran hukum yang lebih berlarut-larut antara pengadilan Eropa dan perusahaan teknologi Amerika, ditambah lebih banyak rintangan peraturan untuk menghapus la GDPR (Peraturan Perlindungan Data Umum, undang-undang privasi data penting dan ketat Uni Eropa yang berdampak pada bisnis di seluruh dunia). Secara politis, resolusi tersebut ambigu: sepertinya bagian dari ketidakpuasan Eropa yang berkembang dengan Atlantikisme, tetapi secara khusus menyerukan “kerja sama yang ditingkatkan” dengan NATO dan AS.
Ujar Urmas Paet, MEP Estonia, “Dalam beberapa tahun terakhir, telah terjadi pertumbuhan yang berkelanjutan dalam operasi siber berbahaya. UE dan Negara-negara Anggotanya harus meningkatkan kemampuan pertahanan mereka agar berhasil menanggapi ancaman dunia maya ini. Oleh karena itu, sangat penting untuk meningkatkan kerja sama antara Negara-negara Anggota UE dan lembaga-lembaga, NATO, AS, dan dengan mitra strategis lainnya.”
Ini adalah cerita yang harus ditonton, betapapun lambatnya perkembangannya. Baca berita disini.
Biden Menandatangani K-12 Cybersecurity Act
Presiden Biden menandatangani K-12 Cybersecurity Act menjadi undang-undang pada 8 Oktober, sebagai tanggapan atas serangan cyber di sekolah-sekolah Amerika. Undang-undang memberikan waktu 120 hari kepada Administrasi Keamanan Siber dan Infrastruktur (CISA) untuk menghasilkan studi tentang kebutuhan keamanan siber khusus sekolah dasar, menengah, dan tinggi; 60 hari lagi bagi CISA untuk membuat pedoman untuk “mencegah, mendeteksi, dan menanggapi peristiwa dunia maya” dan 120 hari setelah penerbitan pedoman untuk mengembangkan perangkat pelatihan online bagi pejabat sekolah.
Undang-undang tersebut menyebutkan beberapa area perhatian yang luas, sebagian besar pengungkapan catatan nilai siswa yang bersifat rahasia, catatan medis, catatan keluarga, dan informasi identitas pribadi.
Menurut Pusat Sumber Daya Keamanan Siber K-12 nirlaba, pendidikan K-12 publik di Amerika Serikat adalah sektor yang tangguh, bernilai sekitar $760 miliar dan melayani lebih dari 50 juta siswa. Pusat tersebut melacak 408 insiden yang diungkapkan kepada publik pada tahun 2020 (naik 18 poin dari 2019); sebagian besar adalah serangan penolakan layanan (45%) dan pelanggaran data (36%). Pencurian dari dana sekolah melalui serangan dunia maya berkisar dari $206.000 hingga $9,8 juta yang mengejutkan.
POLITICO mencatat bahwa salah satu masalah utama CISA adalah pemberitahuan. Karena tidak ada protokol pemberitahuan federal, CISA harus merundingkan 50 protokol negara bagian yang terpisah, beberapa di antaranya (termasuk California) tidak menetapkan batas waktu pelaporan. Kurangnya pelatihan TI untuk staf sekolah juga mengancam akan memperlambat implementasi.