Masalah keamanan siber pada lembaga yang diretas ‘sedang dibuat selama beberapa dekade’

Badan federal yang terkena pelanggaran dunia maya yang berpotensi membahayakan jutaan file pegawai pemerintah memiliki sejarah panjang gagal memenuhi standar keamanan komputer dasar, seorang penyelidik badan tersebut bersaksi pada hari Selasa – ketika kepala badan tersebut menghadapi tekanan kongres untuk mundur.

Michael Esser, asisten inspektur jenderal di Kantor Manajemen Personalia, bersaksi di depan Komite Pengawas DPR bahwa banyak orang yang dipekerjakan untuk menjalankan departemen TI lembaga tersebut tidak memiliki pengalaman komputer, dan bahwa lembaga itu sendiri tidak mendisiplinkan karyawannya setelah gagal dalam beberapa audit keamanan.

Esser termasuk di antara beberapa pejabat, termasuk ketua OPM Katherine Archuleta, yang bersaksi tentang pencurian informasi pribadi di dunia maya terhadap jutaan pegawai federal dan mantan pegawai federal serta pemegang izin keamanan AS.

Archuleta mendapat kecaman berulang kali di persidangan.

Ketua Komite Jason Chaffetz, R-Utah, dengan tajam mengkritik kelemahan keamanan, dan menyebut serangan siber terbaru ini sebagai “yang paling menghancurkan” dalam sejarah Amerika. Dia menambahkan bahwa strategi keamanan OPM setara dengan membiarkan pintu dan jendela terbuka dan percaya bahwa tidak ada yang akan dicuri.

Archuleta mengatakan lembaganya mengakui bahwa “ada upaya yang gigih dan agresif dari para aktor ini untuk menembus tidak hanya sistem kita, tetapi juga sistem di seluruh pemerintahan dan bahkan di sektor swasta.”

Chaffetz menjawab, “Yah, Anda benar-benar gagal dalam misi itu jika itu adalah tujuan Anda.”

Archuleta mengatakan masalah keamanan siber seperti itu “akan terjadi dalam waktu beberapa dekade,” meskipun Chaffetz berkata, “Kita belum punya waktu berpuluh-puluh tahun!”

Chaffetz kemudian meminta direktur OPM untuk mundur.

“Sudah waktunya bagi mereka untuk pergi,” katanya tentang para pemimpin OPM. “Apakah presiden memecat mereka atau mereka mengundurkan diri – kita harus melakukan perubahan.”

Fox News diberitahu bahwa kemarahan atas pelanggaran tersebut mungkin bisa diredam, karena AS juga melakukan aktivitas siber terhadap negara-negara lain seperti Rusia dan Tiongkok.

Namun, anggota parlemen mengatakan kepada Fox News bahwa mereka memperkirakan akan mendengar lebih banyak seruan yang menuntut pengunduran diri Archuleta. Mereka berpendapat bahwa dia diberitahu beberapa kali oleh inspektur jenderal untuk menutup sistem yang diretas, namun mengabaikan peringatan tersebut dan mengekspos jutaan pekerja federal.

Penyelidik yang mengetahui masalah ini mengklaim bahwa mereka yang bertanggung jawab atas serangan siber terbaru ini memiliki hubungan dengan Tiongkok.

Ketakutannya adalah Tiongkok akan menggunakan informasi tersebut untuk mendapatkan pengaruh atas warga Amerika yang memiliki akses terhadap rahasia dengan memberikan tekanan pada kerabat mereka di luar negeri, terutama jika mereka kebetulan tinggal di Tiongkok atau negara otoriter lainnya.

Selama dekade terakhir, badan-badan intelijen AS berupaya mempekerjakan lebih banyak orang keturunan Asia dan Timur Tengah, beberapa di antaranya memiliki anggota keluarga yang tinggal di luar negeri. Kompromi terhadap data pribadi mereka kemungkinan akan memberikan beban tambahan pada karyawan yang sudah menghadapi pengawasan keamanan yang sulit.

Tiongkok membantah terlibat dalam serangan siber tersebut.

Potensi jalur spionase baru terhadap AS adalah salah satu konsekuensi paling jelas dari serangkaian pelanggaran data yang dilakukan oleh peretas yang diyakini telah mencuri data personel jutaan pegawai dan kontraktor federal saat ini dan mantan pegawai federal.

Dalam serangan dunia maya yang menargetkan catatan personel federal, peretas diyakini telah memperoleh nomor Jaminan Sosial, tanggal lahir, tindakan kerja, dan informasi pribadi lainnya dari setiap pegawai federal dan jutaan mantan karyawan dan kontraktor.

Dalam serangan kedua, yang diakui pemerintahan Obama pada hari Jumat setelah meremehkan kemungkinan tersebut selama berhari-hari, mata-mata dunia maya memperoleh informasi latar belakang rinci tentang jutaan personel militer, intelijen, dan personel lainnya yang diperiksa untuk mendapatkan izin keamanan. Secara keseluruhan, peretasan tersebut berdampak pada catatan 18 juta orang.

Pemohon izin keamanan diharuskan mencantumkan penggunaan narkoba, hukuman pidana, masalah kesehatan mental, serta nama dan alamat anggota keluarga asing mereka.

“Anda seharusnya membuat daftar setiap anggota keluarga di luar AS yang dapat menjadi sumber tekanan pemerintah asing terhadap Anda,” kata Stewart Baker, yang menjabat posisi senior di DHS dan Badan Keamanan Nasional.

Saran yang diajukan kepada warga keturunan Tionghoa-Amerika yang bekerja di Dinas Rahasia AS, katanya, adalah, “Anda adalah milik kami, dan kami dapat melakukan pendekatan yang dirancang untuk membuat Anda memahami hal tersebut.”

Namun ketakutan tersebut tidak berhenti di Tiongkok saja. Badan intelijen Tiongkok mungkin berbagi informasi tersebut dengan negara-negara seperti Korea Utara atau Pakistan. Selain itu, para ahli mengatakan, banyak orang yang melakukan peretasan atas nama pemerintah Tiongkok diperbolehkan menjadi pekerja lepas dan menjual apa yang mereka curi.

“Kumpulan data “teman dan keluarga” pada akhirnya adalah yang paling berguna bagi badan intelijen yang bermusuhan,” kata Richard Zahner, pensiunan letnan jenderal dan mantan pejabat tinggi NSA. Gabungkan informasi yang tersedia untuk umum, dan informasi intelijen lainnya yang telah dikumpulkan oleh musuh, “dan Anda memiliki wawasan yang hanya sedikit yang pernah dicapai oleh badan intelijen.”

Wawasan ini lebih dari sekadar memata-matai pemerintah AS, katanya. Banyak eksekutif bisnis senior memerlukan persetujuan pemerintah untuk menjabat sebagai dewan penasihat, atau untuk mencegah mereka dari jabatan pemerintah sebelumnya. Ketua Google Eric Schmidt, misalnya, memiliki izin keamanan, katanya. Jadi pada suatu saat pendiri Microsoft Bill Gates dan Steve Ballmer.

“Jika saya bisa masuk ke sisi perencanaan strategis pesaing Amerika, keputusan investasi dan strategi negosiasi akan sangat disederhanakan,” kata Zahner.

Juga pada hari Senin, DHS mengungkapkan bahwa sebanyak 390.000 karyawan, kontraktor, dan pelamar kerja mungkin telah mengalami kebocoran data pribadi mereka dalam peretasan terpisah terhadap kontraktor, KeyPoint Government Solutions, yang ditemukan pada bulan September. Pada bulan Desember, DHS mengakui adanya peretasan lain dari kontraktor yang sama yang berdampak pada 48.000 orang.

Pejabat pemerintah masih menyisakan banyak pertanyaan yang belum terjawab, termasuk mengapa peretasan terbaru tidak terdeteksi selama berbulan-bulan. Kepala Pejabat Informasi Federal Tony Scott telah memerintahkan badan-badan pemerintah untuk memperketat keamanan jaringan mereka dengan memindai log, menambal lubang keamanan dan mempercepat otentikasi pengguna mereka yang melampaui kata sandi.

Chad Pergram dari Fox News dan The Associated Press berkontribusi pada laporan ini.