AS Siapkan Regulasi Baru, Perusahaan Software Harus Lapor Jika Terjadi Insiden Siber

Cyberthreat.id – Pemerintah Amerika Serikat sedang menyusun regulasi yang akan mengharuskan perusahaan perangkat lunak memberitahu pelanggannya di kalangan pemerintah jika perusahaan mengalami pelanggaran keamanan siber.

Juru bicara Dewan Keamanan Nasional Gedung Putih mengatakan, draf tersebut masih belum final, tapi kemungkinan akhir pekan depan peraturan presiden tersebut telah rampung, seperti dikutip dari Reuters, diakses Jumat (26 Maret 2021).

Latar belakang regulasi tersebut lantaran peretasan massal yang menargetkan perangkat lunak Orion buatan SolarWinds. Perangkat ini juga banyak dipakai oleh lembaga pemerintah AS. Sedikitnya peretas membobol sembilan lembaga federal dan 100 perusahaan, termasuk Microsoft dan FireEye.

Draf yang diusulkan tersebut mengadopsi langkah-langkah yang disarankan para ahli keamanan siber, termasuk mewajibkan pemakaian otentikasi multi-faktor (MFA) dan enkripsi data di lembaga-lembaga federal.

Selain itu, ada aturan tambahan pada program yang dianggap kritis, seperti mewajibakan “daftar bahan perangkat lunak” yang menggambarkan apa yang tersimpan di dalamnya. Semakin banyak perangkat lunak mengaktifkan program lain, memperluas risiko kerentanan yang tersembunyi, demikian draf tersebut.

Dalam draf juga disebutkan, bahwa vendor harus menyimpan lebih banyak catatan digital dan bekerja dengan FBI dan Badan Keamanan Siber dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri saat menanggapi insiden.

Perusahaan perangkat lunak besar yang menjual produknya kepada pemerintah, seperti Microsoft dan SalesForce, akan terpengaruh oleh regulasi ttersebut.

Draf regulasi itu juga akan membentuk dewan respons insiden keamanan siber dengan perwakilan dari lembaga federal dan perusahaan keamanan siber. Forum tersebut akan mendorong vendor dan korban untuk berbagi informasi, mungkin dengan kombinasi perlindungan insentif dan kewajiban.

Di masa lalu, Kongres AS telah mencoba untuk membuat undang-undang pemberitahuan pelanggaran data nasional, tetapi gagal karena penolakan industri. RUU semacam itu akan mewajibkan perusahaan yang mengalami peretasan untuk mengungkapkannya kepada publik melalui lembaga pemerintah.[]