EKSKLUSIF: Seluruh sistem keamanan nasional AS mungkin telah disusupi oleh serangan dunia maya selama setahun
21 Juli 2015: Penjabat Direktur OPM Beth Cobert ditampilkan. (Grup Media Eksekutif Pemerintah)
Peretasan yang sudah berlangsung lama di Kantor Manajemen Personalia Gedung Putih, yang membocorkan informasi pribadi setidaknya 21,5 juta mantan dan pegawai federal saat ini, hanyalah awal dari ancaman keamanan terhadap pemerintahan Obama dan penerusnya, sejumlah pakar keamanan siber terkemuka mengatakan kepada Fox News. Serangan tersebut seringkali berasal dari Tiongkok.
Para ahli memperingatkan bahwa seluruh sistem izin keamanan nasional AS dapat dikompromikan, bahwa para pemimpin senior dan penasihat pemerintah di masa depan dapat menjadi sasaran bahkan sebelum mereka menjabat, dan bahwa ratusan, mungkin ribuan, pejabat pemerintah dapat diperas, disuap atau dimanipulasi untuk memberikan informasi yang lebih sensitif di masa depan.
Bencana identitas juga dapat melemahkan AS ketika terjadi konfrontasi militer: “Jika kita memilih untuk terlibat dalam konflik, posisi kita jauh lebih lemah,” seorang pakar menyimpulkan.
Ancaman tersebut dapat mencakup penyusup yang sudah berada di pemerintahan yang kredensial keamanannya ditingkatkan secara diam-diam selama peretasan OPM, yang mungkin berlangsung setahun sebelum terdeteksi pada bulan April lalu.
“Mungkin ada orang yang berjalan-jalan dengan tingkat izin yang lebih tinggi dari yang seharusnya,” kata salah satu ahli. “Saya yakin seluruh aparat keamanan nasional kini berada dalam bahaya. Ini sangat mengejutkan.”
“Ini setara dengan Pearl Harbor secara digital,” kata pakar lainnya kepada Fox News. “Karena masyarakat tidak melihat pembantaian tersebut, mereka tidak menyadari bahwa ini setara dengan tindakan perang. Ini tentang spionase—taktik Perang Dingin di era digital modern.”
Para ahli yang dikonsultasikan oleh Fox News adalah mantan pejabat pemerintah yang memiliki pengetahuan mendalam tentang sistem informasi federal dan pengalaman dengan masalah keamanan nasional, yang bekerja di posisi teratas pada pemerintahan Obama dan George W. Bush. Dalam beberapa kasus, mereka meminta anonimitas untuk mengungkapkan pandangan mereka.
Para ahli merasa skeptis – secara sederhana – bahwa pemerintahan Obama melakukan sesuatu yang signifikan untuk membendung bencana tersebut selama “sprint keamanan siber 30 hari” yang banyak dibicarakan, yang diumumkan setelah peretasan Kantor Manajemen Personalia (OPM). Latihan ini berakhir pada 12 Juli.
“Mereka mengatakan ‘Kudanya telah meninggalkan gudang, ayo kita kunci pintunya,’” kata Theresa Payton, yang menjabat sebagai kepala informasi Gedung Putih dari tahun 2006 hingga 2008, dan sekarang menjalankan perusahaan konsultan keamanan siber miliknya sendiri, Fortalice Solutions. “Ini adalah situasi yang tidak dapat dipulihkan. Data kami yang paling sensitif ada di tangan orang jahat.”
Pada saat itu, Gedung Putih menyatakan bahwa tujuan sprint tersebut termasuk memperkuat pertahanan keamanan siber, “memperbaiki kerentanan kritis tanpa penundaan” dan “secara dramatis mempercepat” instalasi login dan otentikasi pengguna yang lebih canggih.
Bahkan sebelum sprint berakhir, Kepala Informasi Gedung Putih Tony Scott memuji upaya untuk “secara dramatis” meningkatkan penggunaan otentikasi multi-faktor di kalangan pengguna pemerintahan tingkat tinggi – hingga rata-rata di seluruh birokrasi sebesar 20 persen.
Setelah sprint berakhir, juru bicara Kantor Manajemen dan Anggaran Gedung Putih mengatakan kepada Fox News bahwa “OMB masih menilai dan menganalisis data yang diterima dari lembaga-lembaga sebagai bagian dari sprint. Setelah tim kami menyelesaikan analisis, kami akan merilis laporan kemajuan.”
Berdasarkan upaya yang diumumkannya, “Sejujurnya saya berpendapat pemerintah lumpuh,” kata seorang pakar kepada Fox News. “Mereka tidak tahu harus berbuat apa.”
Untuk menggarisbawahi sifat komprehensif dari tantangan keamanan nasional yang ditimbulkan oleh serangan peretasan, seorang pakar menggambarkan garis waktu peretasan yang tampaknya dimulai pada bulan Maret 2014 di OPM.
Pada bulan Agustus 2014, sebuah perusahaan bernama USIS yang melakukan pemeriksaan latar belakang Departemen Keamanan Dalam Negeri juga diretas, dan file-filenya dicuri; pada bulan Desember 2014, Keypoint, sebuah perusahaan yang mengambil alih pemeriksaan latar belakang dari USIS, juga dibobol. Bulan Juni lalu, OPM mengungkapkan bahwa informasi tentang sekitar 4,2 juta pegawai pemerintah telah dicuri, dan bulan ini jumlah tersebut meningkat menjadi sekitar 21,5 juta, sementara terungkap bahwa materi Formulir Standar 86 juga diretas.
“Jika Anda menggabungkan ketiga pelanggaran tersebut, Anda dapat melihat pengaruh yang dimiliki orang-orang terhadap kita saat ini,” sang pakar menyimpulkan.
Secara keseluruhan, formulir yang terdapat dalam database OPM mencakup segala hal mulai dari nomor Jaminan Sosial hingga sidik jari, riwayat keuangan dan pekerjaan, data teman, pasangan, dan anggota keluarga lainnya.
Semua ini dapat memberikan peluang penargetan tidak hanya di kalangan karyawan itu sendiri, namun juga di antara nama anggota keluarga, kenalan, dan semua kontak mereka di luar negeri, yang disertakan dalam file izin keamanan, bersama dengan wawancara keamanan mendalam.
Pakar tersebut, yang digambarkan sebagai salah satu orang yang informasi keamanan nasionalnya, yang terdapat dalam dokumen izin latar belakang yang disebut Formulir Standar 86, telah dicuri, lebih lanjut menuduh bahwa kebingungan, kekacauan, dan kerahasiaan administrasi terus memperburuk masalah. “Kami tidak melakukan sesuatu tepat waktu,” kata pakar tersebut. “Banyak informasi orang yang dicuri dan tidak diberitahukan oleh pemerintah.”
Jadi mereka masih belum siap, kata sang ahli, untuk semua risiko yang mereka hadapi sebagai dampaknya – yang menurut para ahli jauh melampaui paparan finansial yang ditangani pemerintah melalui konseling kredit bagi pegawai pemerintah yang file identitasnya telah diretas.
“Setidaknya 24 juta orang mempunyai masalah kontra intelijen,” tambah pakar tersebut. “Pertanyaannya adalah bagaimana mereka tidak diperas atau disuap oleh pemerintah lain.”
“Perlindungan identitas bukanlah kekhawatiran saya,” kata Payton dari Fortalice. “Pada akhirnya akan berhasil. Tapi jika Anda mencuri seluruh hidup saya, setiap tempat yang pernah saya tinggali, kontak luar negeri saya, Anda tidak akan pulih dari hal itu.”
“Saya menerima pelatihan untuk menghadapinya,” kata pakar lainnya, “tetapi anak-anak saya tidak. Sudah menjadi tugas saya untuk berhati-hati, bukan tugas mereka. Pemerintah berhutang pembicaraan kepada semua keluarga dan teman-teman dalam hal ini.”
Permasalahan semakin mendalam ketika para penyerang dunia maya mulai menggabungkan informasi tersebut dengan data dari media sosial target, yang dapat memperdalam pemahaman tentang kebiasaan, ketakutan, rencana perjalanan mereka, dan banyak lagi. Hal ini juga meningkatkan kerentanan mereka untuk bepergian ke luar Amerika
“Anda dapat mengharapkan jaringan rumah mereka, segala sesuatu di sekitar mereka menjadi sasaran,” kata pakar tersebut.
Lebih jauh lagi, ketika data tersebut dicocokkan dengan lapangan kerja saat ini dan berbagai indikator lainnya, “pihak-pihak jahat” yang memiliki informasi tersebut juga dapat membuat peta jalan yang “mudah” mengenai target-target yang paling berharga untuk dicapai.
“Saya akan mengadili 100 atau 1.000 atau 10.000 orang teratas yang memiliki izin keamanan tertinggi dan mengejar mereka,” kata pakar tersebut. “Saya akan bertanya siapa yang bisa menjadi pemain nomor dua mereka? Atau mengikuti pertemuan mereka. Itu akan menjadi daftar target yang bagus di masa depan.”
Alat big data, seperti pemrosesan superkomputer, membuat tugas tersebut lebih mudah. “Dulu kami mengira butuh waktu lama untuk mengejar saya,” kata Payton dari Fortalice. “Tetapi kekuatan komputasi tidak pernah secepat ini.”
“Itu gurita,” dia menyimpulkan.
Apa yang bisa dilakukan mengenai hal itu? Para ahli sepakat bahwa kecepatan yang diperlukan untuk akuntabilitas di sektor swasta harus menjadi standar waktu respons pemerintah.
“Di sektor swasta, jika saya mempunyai kekurangan yang signifikan dalam suatu audit, saya harus memperbaikinya dalam waktu 30 hari,” kata seorang pakar. “Manajemen harus bertanggung jawab. Saat ini, tidak ada seorang pun yang punya masalah.”
Solusi lain termasuk “Tim Merah” pada sistem informasi pemerintah, yang berarti menggunakan peretas Anda sendiri untuk menguji kerentanan lebih lanjut, sesuatu yang menurut seorang pakar dapat dilakukan “dalam waktu seminggu.” Pakar yang sama mengatakan pemerintah dapat mengkonfigurasi ulang arsitektur keamanan sistemnya “dalam waktu satu bulan” – waktu yang telah berlalu sejak Sprint 30 hari diumumkan.
Saran lain, dari Payton dari Fortalice: bentuklah sebuah tim “yang terdiri dari OPM, FBI, dan badan intelijen nasional, untuk duduk dan menerima tindakan apa yang dapat diambil terhadap kami, dan apa yang dapat kami lakukan untuk mengatasinya. Kami memerlukan protokol untuk hal ini, misalnya, menjadikan kata-kata sandi sebagai bagian dari rutinitas kami sehari-hari. Dan hal ini harus dilakukan di seluruh sistem.”
Tanpa tindakan drastis, dia berkata, “Jika Anda orang jahat, raihlah kemenangan sekarang dan kembali lagi.”
George Russell adalah pemimpin redaksi Fox News dan dapat ditemukan di Twitter: @GeorgeRussell atau di Facebook.com/George Russell
