JBNews.id — Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan arahan baru yang mewajibkan instansi federal untuk menambal kerentanan siber paling kritis dalam waktu tiga hari, sebagai respons terhadap meningkatnya ancaman dari kecerdasan buatan (AI). Direktif ini menandai perubahan signifikan dalam kebijakan keamanan siber pemerintah AS di tengah kekhawatiran bahwa AI memungkinkan aktor ancaman untuk mengeksploitasi celah keamanan secara otomatis dan massal.
Chris Butera, penjabat asisten direktur eksekutif CISA untuk keamanan siber, mengatakan kepada wartawan pada Rabu bahwa tujuan arahan ini adalah membantu instansi memprioritaskan penanganan kerentanan. Dengan demikian, instansi dapat mengatasi kerentanan paling bermasalah terlebih dahulu sambil meluangkan lebih banyak waktu untuk memperbaiki bug yang risikonya kurang mendesak.
“Memprioritaskan perhatian operasi TI dan keamanan pada aset yang paling berisiko sangat penting sekarang, mengingat kemajuan dalam kecerdasan buatan yang memungkinkan aktor ancaman menemukan dan mengeksploitasi kerentanan di aset federal,” kata Butera pada Rabu. “Pembela tidak bisa memakan waktu berminggu-minggu untuk menambal sistem yang dapat dieksploitasi secara otonom secara massal.”
Arahan ini muncul di saat perusahaan swasta dan pemerintah di seluruh dunia berusaha menilai dampak dari kemampuan AI dalam menemukan dan mengeksploitasi kerentanan. Kemampuan AI yang semakin canggih telah mengubah lanskap deteksi kerentanan dan perburuan bug, mendorong urgensi baru dalam proses patching.
Kriteria Evaluasi dan Batas Waktu Patching
Direktif CISA menetapkan kriteria khusus untuk mengevaluasi urgensi patching. Kriteria tersebut meliputi: apakah kerentanan berada dalam sistem yang terekspos publik, apakah bug terdaftar dalam Katalog Kerentanan yang Dieksploitasi Diketahui (KEV) CISA, apakah penyerang dapat mengotomatiskan semua langkah untuk mengeksploitasi kerentanan, dan seberapa besar akses yang akan diperoleh penyerang ke target jika bug dieksploitasi.
Jika keempat poin tersebut terpenuhi, kerentanan harus diperbaiki dalam waktu tiga hari. Instansi juga harus menjalankan proses “forensic triage” untuk menentukan apakah sistem telah dikompromikan. Batas waktu tiga hari ini dianggap lebih realistis dibandingkan tenggat 24 jam yang tidak akan layak bagi sebagian besar instansi federal.
Direktif ini menggantikan dua perintah CISA sebelumnya terkait batas waktu patching untuk kerentanan mendesak, yaitu satu dari tahun 2019 dan satu dari tahun 2021. Perintah sebelumnya menetapkan kerangka kerja di mana bug paling kritis harus ditambal dalam waktu 15 hari setelah deteksi, sementara kelas kerentanan urgensi tinggi lainnya harus diperbaiki dalam waktu 30 hari. Kedua perintah tersebut mendorong patching yang lebih cepat untuk celah parah bila memungkinkan.
Bahkan sebelum era AI, pada tahun 2021, CISA menulis bahwa “aktor ancaman sangat cepat mengeksploitasi kerentanan pilihan mereka: dari 4% kerentanan yang diketahui dieksploitasi, 42% digunakan pada hari ke-0 pengungkapan; 50% dalam 2 hari; dan 75% dalam 28 hari.” Data ini menunjukkan betapa cepatnya aktor ancaman bergerak, memperkuat kebutuhan akan kebijakan patching yang lebih ketat.
Dampak AI dan Tantangan Keamanan Siber Federal
Keamanan siber federal AS telah meningkat secara signifikan selama dekade terakhir, tetapi masih sering tertinggal karena kekurangan pendanaan dan prioritas yang bersaing. Butera mengatakan bahwa CISA mengembangkan rubrik penilaian baru dan arahan ini secara lebih luas dengan mempertimbangkan keterbatasan tersebut.
Ia mencatat, misalnya, bahwa tenggat waktu tiga hari untuk kerentanan paling mendesak bukan, misalnya, 24 jam, karena jangka waktu yang terlalu pendek tidak akan layak bagi sebagian besar instansi. Pendekatan pragmatis ini mencerminkan realitas operasional di lapangan.
Kemampuan AI baru sudah mengubah lanskap deteksi kerentanan dan perburuan bug. Hal ini mendorong urgensi baru dalam patching, tetapi banyak peneliti mulai menyimpulkan bahwa tidak ada jumlah patching yang akan cukup. Komunitas pengembangan perangkat lunak secara global harus bekerja untuk mengadopsi pendekatan arsitektural atau sistemik baru untuk membatalkan seluruh kelas kerentanan sekaligus.
Emily Long, CEO perusahaan keamanan cloud Edera, memberikan perspektif kritis. “Arahan CISA memiliki niat yang baik, tetapi hanya menangani setengah dari tantangan,” katanya. “Jika arsitektur Anda tidak membatasi apa yang dapat dijangkau penyerang setelah pelanggaran, Anda hanya berlari lebih cepat di treadmill yang sama. Patching akan selalu penting, tetapi kita harus lebih banyak berbicara tentang containment by design.”
Pernyataan Long menyoroti bahwa pendekatan tradisional yang hanya berfokus pada patching mungkin tidak cukup di era AI. Arsitektur keamanan yang lebih tangguh diperlukan untuk membatasi dampak jika terjadi pelanggaran.
Butera tampaknya mengakui evolusi ini. Arahan baru “adalah langkah awal untuk melawan peningkatan kemampuan model AI yang muncul,” katanya. “Namun, masih ada lebih banyak pekerjaan yang harus dilakukan.” Pengakuan ini menunjukkan bahwa CISA menyadari keterbatasan direktif saat ini dan berencana untuk terus mengembangkan kebijakan keamanan siber.
Implikasi dari arahan ini bagi instansi federal AS sangat jelas: mereka harus mempercepat proses patching untuk kerentanan paling kritis, terutama yang dapat dieksploitasi secara otomatis oleh AI. Kegagalan untuk mematuhi tenggat waktu tiga hari dapat meningkatkan risiko kompromi sistem yang signifikan. Bagi pembaca, kebijakan ini menegaskan bahwa era AI telah mengubah cara kita memandang keamanan siber, dari respons reaktif menjadi proaktif dengan prioritas berdasarkan risiko.
