Konsorsium Massachusetts Mengadakan Audiensi Kebijakan Siber Pertama



www.yourpublicmedia.orgKonsorsium Massachusetts Mengadakan Audiensi Kebijakan Siber Pertama. Komite bersama yang baru dibentuk sedang mencari cara inovatif dan efektif untuk menindak pembayaran ransomware, memperkuat pertahanan keamanan siber lokal dan memenuhi kesenjangan yang semakin lebar dalam angkatan kerja.

Anggota parlemen Massachusetts bertanya apa yang bisa dilakukan negara bagian untuk lebih bertahan melawan ancaman dunia maya.

Persemakmuran baru Komite Bersama untuk Teknologi Informasi Tingkat Lanjut, Internet dan Keamanan Siber mengundang akademisi, pembuat kebijakan, dan perwakilan perusahaan teknologi untuk pertemuan kebijakan pertamanya pada 8 September, di mana para pembicara membahas bagaimana negara dapat meningkatkan keamanan siber.

Massachusetts kehilangan sekitar $ 100 juta untuk kejahatan dunia maya pada tahun 2020 per catatan FBI, dan insiden yang tidak dilaporkan dapat mendorong jumlah itu lebih tinggi, kata ketua bersama Komite Senator Barry Finegold selama pertemuan virtual.

Tiga panel ahli memperdebatkan metode terbaik untuk mendukung pemerintah daerah pertahanan, meningkatkan keamanan siber di antara organisasi publik dan swasta, menumbuhkan tenaga kerja, dan menindak ransomware pembayaran.

Membuat perubahan yang berarti akan membutuhkan investasi berkelanjutan, kolaborasi luas, upaya berkomitmen dari cabang eksekutif pemerintah, dan lebih banyak pertemuan seperti ini, kata CIO negara bagian Curtis Wood.

“Kami tidak dapat menyelesaikan ini dengan berpikir bahwa orang TI akan dapat membeli server baru atau meningkatkan perangkat lunak dan menghapus atau menghentikan ancaman ini,” kata Wood. “Ini benar-benar investasi orang-orang kami, proses dan teknologi kami. Kita perlu memastikan bahwa… itu selalu menjadi item tingkat kabinet bagi kita.”

PEMBAYARAN TEBUSAN

Serangan Ransomware menyerang semuanya, mulai dari pipa gas antar negara bagian hingga Otoritas Kapal Uap negara bagian pada bulan Juni.

Pelaku sering menuntut pemerasan dalam cryptocurrency, yang memberikan anonimitas dan akses cepat ke dana, dan Finegold mempertanyakan apakah Massachusetts harus berusaha untuk menindak profitabilitas kejahatan tersebut dengan melarang pembayaran ransomware atau memperketat kontrol atas sektor cryptocurrency.

Anggota Harvard University Berkman Center for Internet and Society dan anggota dewan Electric Frontier Foundation Bruce Shiner memperingatkan bahwa pemerintah federal berada di posisi yang lebih baik untuk secara efektif menegakkan larangan tebusan, sementara larangan tingkat negara bagian lebih cenderung mengakibatkan korban hanya merahasiakan pembayaran mereka.

Namun, Josephine Wolff profesor kebijakan keamanan siber di Sekolah Fletcher Universitas Tufts mengatakan negara bagian dapat mencegah pembayaran dengan melarang rencana asuransi siber untuk menutupi biaya tebusan. Langkah seperti itu akan memaksa korban untuk berpikir lebih serius tentang pilihan alternatif sebelum meraih dompet mereka. Mewajibkan pelaporan tentang ransomware, termasuk pembayaran apa pun dan ke alamat kripto apa juga dapat membantu negara bagian membuat tanggapan yang lebih tepat.

Upaya untuk membasmi transaksi kripto ilegal juga bisa membuahkan hasil, kata Wolff.

Dia menganjurkan untuk lebih ketat menegakkan kebijakan anti pencucian uang (AML), mengenal pelanggan Anda (KYC) dan melawan pendanaan terorisme (CFT) di ranah kripto. Melakukan hal itu mungkin mengharuskan negara untuk membentuk tim pengatur dengan pengetahuan khusus untuk menerapkan aturan sektor keuangan tradisional ke ruang yang lebih baru ini, tambahnya.

PENGARUH NEGARA

Peraturan negara bagian juga dapat membantu mencegah ancaman sebelum berkembang menjadi pemerasan atau pencurian data, kata panelis.

Pelaku ransomware sering menggunakan botnet untuk mengirimkan gelombang email phishing dengan harapan mendapatkan akses ke sistem korban, dan penyedia layanan Internet (ISP) memiliki tampilan lintas jaringan tingkat tinggi untuk melihat lalu lintas mencurigakan yang mengindikasikan botnet sedang bermain, Wolff dikatakan. Pembuat kebijakan dapat melumpuhkan penyerang dengan memaksa ISP untuk memutuskan layanan Internet ke komputer yang terlibat dalam kegiatan tersebut sampai perangkat dibersihkan dari malware, katanya.

Negara-negara dengan ekonomi yang cukup besar juga memiliki pengaruh untuk membuat perusahaan swasta melindungi data dan sistem konsumen dengan lebih baik — seperti yang dilakukan California dalam melarang kata sandi default, kata Shiner. Standar keamanan baru sering kali menyebar ke luar batas, karena perusahaan yang ingin menghindari biaya pembuatan produk terpisah hanya untuk negara tersebut merespons dengan membawa semua produk mereka ke standar baru.

“Massachusetts cukup besar sehingga undang-undang yang Anda keluarkan bermanfaat bagi nasional dan sebenarnya dunia,” kata Shiner.

MENGATUR KOTA, KOTA?

Panelis menyoroti area kecil dan menengah, yang sangat rentan terhadap serangan siber. Mereka cenderung memiliki sedikit sumber daya dan personel untuk meningkatkan pertahanan atau memodernisasi teknologi lama, sehingga penyerang yang meluncurkan serangan massal tanpa pandang bulu lebih mungkin untuk lolos.

Dapat dimengerti bahwa pejabat negara prihatin dengan peningkatan postur keamanan siber lokal ini tetapi harus menemukan strategi yang tepat.

Senator Finegold melontarkan gagasan untuk mewajibkan agensi dan bisnis tertentu untuk mengadopsi praktik terbaik umum yang membantu mempertahankan diri dari serangan cyber biasa. Misalnya, organisasi mungkin diharuskan menggunakan otentikasi multifaktor (MFA) untuk memastikan bahwa penjahat dunia maya yang berhasil menebak atau mencuri nama pengguna dan kata sandi karyawan masih diblokir untuk mengakses sistem pemerintah.

Namun perwakilan pemerintah daerah memperingatkan terhadap peraturan baru tentang kota, terutama yang memaksa mereka untuk mengambil langkah-langkah tertentu.

Geoff Beckwith, CEO dan direktur eksekutif dari Massachusetts Municipal Association nirlaba, sebuah organisasi advokasi pemerintah daerah, mengatakan beragamnya platform digital dari berbagai daerah menimbulkan tantangan untuk menyusun peraturan yang relevan di seluruh papan. Plus, kewajiban juga bisa dengan mudah menjadi “tidak dapat dilaksanakan [dan] tidak terjangkau,” jika tidak dipasangkan dengan dana untuk memungkinkan lembaga menerapkan langkah-langkah tersebut, katanya.

Beberapa kotamadya mungkin memiliki sistem yang terlalu tua untuk mengaktifkan MFA dan karenanya memerlukan pengecualian atau uang untuk peningkatan, kata Tewksbury, Mass., Selectman James Mackey. Dia juga menyarankan pembuat kebijakan untuk menawarkan tenggat waktu kepatuhan yang lunak.

Laju cepat evolusi teknologi juga berarti bahwa undang-undang yang terkait dengan alat dan teknik tertentu dapat dengan cepat menjadi usang, kata Shiner. Dalam diskusi selanjutnya tentang mendorong perubahan sektor swasta, Shiner merekomendasikan agar negara bagian mengamanatkan hasil tertentu yang diinginkan, seperti menolak serangan berbasis kata sandi, sambil membiarkan entitas bebas memilih strategi untuk memenuhi tujuan ini.

Baca Juga: Wisata hiu tumbuh di Cape Cod Massachusetts, 3 tahun setelah serangan

MENINGKATKAN LOKALITAS

Beberapa pedoman sukarela yang ada dapat membantu mengarahkan upaya perbaikan daerah, kata Mackey. Dia mencatat bahwa kotanya pertama-tama mengejar perbaikan yang murah dan “bergantung rendah” dan mencari empat tujuan keamanan siber dasar yang digariskan oleh Mass Cyber Center (MCC) negara bagian itu. Kotamadya bertujuan untuk pada akhirnya maju untuk memenuhi kerangka kerja yang lebih kompleks dan terperinci yang disediakan oleh Institut Nasional Standar dan Teknologi (NIST).

“Kami telah bekerja melalui proses triase-pertama,” kata Mackey. “Tapi itu jalan yang sangat panjang, terutama tanpa sumber daya.”

Negara bagian dapat membantu daerah dengan menyediakan audit keamanan siber untuk memandu perbaikan mereka, kata Beckwith, meskipun dia meminta agar evaluasi dikecualikan dari permintaan catatan publik sehingga peretas tidak dapat melihat laporan untuk mempelajari tentang sasaran empuk.

Upaya lain untuk menyediakan layanan yang menghilangkan tugas dari daftar tugas pegawai kota bisa berjalan jauh. Beberapa upaya telah membantu, dengan Mackey mengatakan bahwa MCC menawarkan template kebijakan dunia maya yang dapat diadopsi dan diubah oleh kota-kota seperti kotanya untuk memenuhi kebutuhan. Direktur MCC Stephanie Helm menambahkan bahwa organisasinya menyediakan daftar vendor TI yang telah disetujui sebelumnya untuk membebaskan kota dari pekerjaan ini dan membantu mereka mengidentifikasi mitra dengan cepat.

Baca Juga: Mesir Merencanakan Lompatan Teknologi Tinggi Dengan Ibu Kota Baru

PERLUASAN TENAGA KERJA

Badan-badan kota dan negara bagian di seluruh AS berusaha keras untuk merekrut dan mempertahankan cukup banyak pekerja keamanan siber.

Wood mengatakan program magang yang ditargetkan pada profesional karir awal dapat membantu agensi merekrut talenta yang terjangkau sementara pekerja magang mendapat manfaat dari beberapa tahun pelatihan keterampilan sebelum beralih ke gaji sektor swasta yang lebih kaya.

Pejabat juga bertujuan untuk melengkapi dan meningkatkan tenaga kerja yang ada.

Vinny deMacedo, direktur kemitraan regional Bridgewater State University dan mantan senator negara bagian, berbicara tentang upaya negara yang sedang berlangsung untuk menciptakan konsorsium keamanan siber publik-swasta untuk membantu mengkoordinasikan dan menyediakan pemantauan ancaman dan pelatihan langsung. Berbekal dana awal tahun fiskal 2022 senilai $1,5 juta, konsorsium akan mendirikan dan mengelola empat hingga enam pusat yang mencakup jangkauan siber dan pusat operasi keamanan siber (SOC). Pusat akan tersebar di seluruh negara bagian, termasuk tenggara, utara dan tengah Massachusetts serta wilayah Greater Boston.

Mackey mengatakan konsorsium semacam itu dapat mendukung kota-kota seperti ini yang berjuang dengan biaya personel yang terlibat dalam deteksi ancaman terus-menerus.

“Anda dapat memiliki firewall atau perlindungan endpoint terbaik dan termahal di dunia, tetapi jika tidak ada yang melihat log Anda atau bertindak berdasarkan itu, itu tidak masalah,” katanya.

Massachusetts bukan satu-satunya negara bagian yang mengumpulkan beragam pemangku kepentingan untuk memeriksa postur dunia maya di seluruh negara bagian, dan Idaho meluncurkan Gugus Tugas Keamanan Sibernya sendiri bulan lalu.