Pekerja federal, kontraktor diduga berada di balik banyak pelanggaran dunia maya – seringkali secara tidak sengaja

Pegawai dan kontraktor federal tanpa disadari merusak upaya senilai $10 miliar per tahun untuk melindungi data sensitif pemerintah dari serangan siber, menurut sebuah laporan yang diterbitkan.

Associated Press mengatakan bahwa pekerja di lebih dari selusin lembaga, mulai dari Departemen Pertahanan dan Pendidikan hingga Layanan Cuaca Nasional, bertanggung jawab atas setidaknya setengah dari insiden dunia maya federal yang dilaporkan setiap tahun sejak 2010, menurut analisis catatan.

Mereka mengeklik tautan dalam email phishing palsu, membuka situs web yang berisi malware, dan ditipu oleh penipu untuk berbagi informasi. Salah satunya dialihkan ke situs web yang tidak bersahabat setelah dikaitkan dengan video bintang tenis Serena Williams. Beberapa orang bertindak dengan sengaja, terutama mantan kontraktor Badan Keamanan Nasional Edward Snowden, yang mengunduh dan membocorkan dokumen yang mengungkap koleksi catatan telepon dan email pemerintah.

Lalu ada kontraktor federal yang kehilangan peralatan yang berisi informasi rahasia jutaan orang Amerika, termasuk Robert Curtis dari Monument, Colorado.

Curtis, menurut catatan pengadilan, dikepung oleh pencuri identitas setelah seseorang mencuri rekaman data yang ditinggalkan kontraktor di dalam mobil, sehingga mengungkap catatan kesehatan sekitar 5 juta pegawai Pentagon saat ini dan mantan pegawai serta keluarga mereka.

“Saya marah karena kami sebagai warga negara mempercayai pemerintah untuk bertindak atas nama kami,” kata Curtis kepada AP.

Pada saat para pejabat intelijen mengatakan keamanan siber kini mengalahkan terorisme sebagai ancaman nomor satu bagi AS – dan ketika pelanggaran terhadap bisnis seperti Home Depot dan Target memusatkan perhatian pada keamanan data – pemerintah federal tidak berkewajiban untuk ikut campur dalam hal ini. Data hilang.

Bulan lalu, pembobolan komputer Gedung Putih yang tidak diklasifikasikan oleh peretas yang diyakini bekerja untuk Rusia dilaporkan bukan oleh para pejabat tetapi oleh The Washington Post. Partai Republik di Kongres mengeluh meskipun mereka tidak diperingatkan tentang peretasan tersebut.

“Saya pikir karena alasan yang cukup jelas, tidak bijaksana jika saya membahas dari sini apa yang telah kita pelajari sejauh ini,” kata sekretaris pers Gedung Putih Josh Earnest kemudian mengenai laporan tersebut.

Untuk menentukan cakupan insiden siber federal, yang mencakup penyelidikan kerentanan jaringan, pencurian data, dan pelanggaran situs web, AP mengajukan lusinan permintaan Undang-Undang Kebebasan Informasi, mewawancarai peretas, pakar keamanan siber, dan pejabat pemerintah, serta dokumen yang diperoleh mengenai celah digital dalam sistem. .

Tinjauan tersebut menunjukkan bahwa 40 tahun dan lebih dari $100 miliar setelah undang-undang perlindungan data federal yang pertama diberlakukan, pemerintah sedang berjuang untuk menutup celah tanpa pengetahuan, staf, atau sistem untuk mengecoh musuh yang terus berkembang.

“Ini adalah tantangan yang jauh lebih besar daripada yang dibayangkan siapa pun 20 tahun lalu,” kata Phyllis Schneck, wakil wakil menteri keamanan siber di Departemen Keamanan Dalam Negeri, yang menjalankan pusat respons insiden 24/7 untuk merespons ancaman.

Ketakutan akan pelanggaran telah ada sejak akhir tahun 1960an, ketika pemerintah federal mulai memindahkan operasinya ke komputer. Para pejabat menanggapinya dengan perangkat lunak yang dirancang untuk mengendus malware dan meningkatkan kewaspadaan terhadap penyusup.

Namun penyerang selalu menemukan jalan. Sejak tahun 2006, terdapat lebih dari 87 juta catatan sensitif atau pribadi yang terekspos melalui pelanggaran jaringan federal, menurut lembaga nirlaba Privacy Rights Clearinghouse, yang melacak insiden dunia maya di semua tingkat pemerintahan melalui berita, sektor swasta, dan laporan pemerintah.

Sebagai perbandingan, bisnis ritel kehilangan 255 juta catatan selama periode tersebut, jasa keuangan dan asuransi kehilangan 212 juta catatan, dan lembaga pendidikan kehilangan 13 juta catatan. Catatan federal yang dilanggar mencakup nama pengguna dan kata sandi karyawan, catatan medis veteran, dan database yang merinci kelemahan struktural di bendungan negara.

Dari tahun 2009 hingga 2013, jumlah pelanggaran yang dilaporkan hanya pada jaringan komputer federal – .gov dan .mils – meningkat dari 26.942 menjadi 46.605, menurut Tim Kesiapsiagaan Darurat Komputer AS. Tahun lalu, US-CERT merespons total 228.700 insiden dunia maya yang melibatkan lembaga federal, perusahaan yang mengelola infrastruktur penting, dan mitra kontrak. Jumlah ini lebih dari dua kali lipat dibandingkan insiden pada tahun 2009.

Dan karyawanlah yang harus disalahkan atas setidaknya setengah dari masalah tersebut.

Tahun lalu, misalnya, sekitar 21 persen dari seluruh pelanggaran federal ditelusuri ke pegawai negeri yang melanggar kebijakan; 16 persen kehilangan atau perangkatnya dicuri; 12 persen salah menangani informasi sensitif yang dicetak dari komputer; setidaknya 8 persen yang menjalankan atau menginstal perangkat lunak berbahaya; dan 6 persen yang tertarik untuk berbagi informasi pribadi, menurut tinjauan tahunan Gedung Putih.

Dokumen yang dirilis ke AP menunjukkan bagaimana pekerja direkrut.

Dalam satu insiden sekitar Natal 2011, pegawai Departemen Pendidikan menerima email yang konon dari Amazon.com yang meminta mereka untuk mengklik sebuah link. Para pejabat segera memperingatkan staf bahwa hal itu bisa berbahaya. Departemen tidak memberikan informasi kepada AP mengenai kerusakan yang diakibatkannya.

Laporan dari Dinas Keamanan Pertahanan Departemen Pertahanan, yang bertugas melindungi informasi dan teknologi rahasia di tangan kontraktor federal, menunjukkan betapa mudahnya bagi peretas untuk masuk ke jaringan DOD. Seorang pengguna militer menerima pesan bahwa komputernya terinfeksi ketika dia mengunjungi situs web tentang sekolah. Para pejabat melacak penyerang tersebut ke server yang tampaknya berbasis di Jerman.

“Kita akan selalu rentan terhadap… serangan faktor manusia kecuali kita mendidik seluruh angkatan kerja,” kata Asisten Menteri Pertahanan dan Penasihat Keamanan Siber Eric Rosenbach.

Meskipun pemerintah diperkirakan menghabiskan $65 miliar untuk kontrak keamanan siber antara tahun 2015 dan 2020, banyak ahli percaya bahwa upaya tersebut tidak cukup untuk melawan semakin banyaknya peretas yang motifnya berbeda-beda. Rusia, Iran, dan Tiongkok telah ditetapkan sebagai tersangka dalam beberapa serangan, sementara pencuri mencari data berharga dalam serangan lain. Hanya sebagian kecil penyerang yang tertangkap.

Untuk setiap negara pencuri atau musuh, ada puluhan ribu korban seperti Robert Curtis.

Dia menolak untuk berbicara secara spesifik tentang kasusnya. Menurut catatan pengadilan, seorang pencuri masuk ke dalam mobil di garasi San Antonio pada bulan September 2011 dan mencuri kaset komputer tidak terenkripsi yang berisi informasi pekerja Pentagon. Mobil itu milik seorang karyawan kontraktor federal yang bertugas mengamankan catatan-catatan tersebut.

Penjahat mencoba mendapatkan uang tunai, pinjaman, kredit – bahkan mendirikan bisnis – atas nama Curtis, menurut catatan pengadilan. Dia dan istrinya membekukan rekening bank dan kredit. Gugatan yang diajukan oleh korban dibatalkan.

“Ini sangat ironis,” kata Curtis, yang juga seorang pakar keamanan siber yang bekerja untuk menyediakan jaringan aman di Pentagon. “Saya adalah orang yang memiliki mesin penghancur kertas di rumah saya. Saya adalah orang yang sangat melindungi data.”

Associated Press berkontribusi pada laporan ini.