Kerentanan Akses Kontrol di Sistem IT Pemerintah AS

pibitek.biz -Sistem teknologi informasi (IT) yang digunakan oleh lembaga pemerintah di Amerika Serikat menghadapi ancaman serius akibat kerentanan akses kontrol dan validasi input pengguna. Kerentanan ini tersebar luas dan berdampak signifikan pada platform yang melindungi data sensitif warga Amerika, termasuk Nomor Jaminan Sosial (SSN), identitas, catatan hukum dan medis, serta data pemilih. Sistem pemerintahan, yang dikenal sebagai "Govtech", bertanggung jawab untuk menyimpan dan melindungi informasi pribadi yang sangat sensitif.

Kerentanan pada sistem ini dapat mengakibatkan pencurian identitas, manipulasi data, dan gangguan pada proses pemerintahan. Peneliti keamanan Jason Parker telah mengungkap sejumlah besar kerentanan dengan tingkat keparahan tinggi dan kritis pada 19 platform software yang digunakan oleh lembaga pemerintah di seluruh Amerika Serikat. Temuan ini mengungkap sejumlah kelemahan serius yang dapat dieksploitasi oleh aktor jahat untuk mengakses dan memanipulasi data sensitif. Salah satu contohnya adalah kerentanan pada portal pembatalan pendaftaran pemilih di negara bagian Georgia.

Kerentanan ini memungkinkan siapa pun untuk mengajukan permintaan pembatalan hanya dengan menggunakan informasi publik yang mudah diakses, seperti nama, tanggal lahir, dan kabupaten tempat tinggal. Kerentanan ini dinilai memiliki skor Common Vulnerability Scoring System (CVSS) yang tinggi, yaitu 8,6 dari 10, dan telah diperbaiki setelah pengumuman awal. Namun, sebelum diperbaiki, kerentanan ini telah dimanfaatkan oleh sejumlah pihak, termasuk upaya untuk membatalkan pendaftaran Wakil Perwakilan Marjorie Taylor Greene dan Sekretaris Negara bagian Georgia Brad Raffensperger.

Upaya ini meskipun tidak berhasil, tetapi menunjukkan betapa seriusnya kerentanan ini. Kerentanan serupa juga ditemukan pada sistem manajemen permintaan catatan publik GovQA, yang digunakan oleh lebih dari sepertiga kota terbesar di Amerika Serikat, lebih dari 80 lembaga negara bagian, dan hampir setengah dari kabupaten "terbaik" di Amerika Serikat. Kerentanan ini memungkinkan penyerang untuk membocorkan informasi sensitif, memblokir akses pengguna, memodifikasi akun tanpa otorisasi, dan meningkatkan hak istimewa.

cari Google Map

Platform serupa, Thomson Reuters' C-Track eFiling, juga memiliki kerentanan yang memungkinkan penyerang untuk meningkatkan hak istimewa dari akun pengguna biasa ke akun administrator pengadilan dengan memanipulasi bidang tertentu dalam proses pendaftaran. Selain platform-platform tersebut, sejumlah sistem catatan pengadilan di berbagai negara bagian, termasuk Florida, Arizona, Georgia, Carolina Selatan, dan lainnya, juga ditemukan memiliki kerentanan serupa. Kerentanan pada sistem teknologi informasi pemerintah sebagian besar disebabkan oleh penggunaan teknologi lama dan kurangnya pendanaan untuk pembaruan sistem, layanan, dan solusi keamanan.

Kurangnya investasi dalam teknologi baru dan solusi keamanan yang lebih kuat menciptakan lingkungan yang rawan terhadap eksploitasi. Kerentanan ini tidak hanya mengancam keamanan data sensitif tetapi juga dapat memicu ketidakpercayaan publik terhadap pemerintahan. Pemerintah federal dan negara bagian perlu mengambil langkah-langkah konkret untuk meningkatkan keamanan sistem teknologi informasi mereka. Program Federal Risk and Authorization Management Program (FedRAMP) dan StateRAMP merupakan upaya penting untuk mengatasi kerentanan ini.

Kedua program ini menyediakan standar keamanan yang lebih ketat dan upaya pengawasan yang berkelanjutan. Penerapan FedRAMP dan StateRAMP merupakan langkah penting dalam melindungi data sensitif warga negara dan membangun kepercayaan publik terhadap keamanan sistem pemerintahan. Sistem IT pemerintahan perlu dibarui dengan teknologi yang lebih canggih dan aman. Perlindungan data yang lebih baik juga diperlukan, termasuk enkripsi data yang sensitif dan penggunaan autentikasi multi-faktor. Peningkatan keamanan sistem IT pemerintahan akan memerlukan komitmen dan investasi yang besar dari pemerintah federal dan negara bagian.

Perlu ada perubahan budaya di pemerintahan untuk menjadikan keamanan sebagai prioritas utama. Kegagalan dalam menanggapi ancaman keamanan sistem IT pemerintahan dapat berakibat fatal. Serangan siber yang berhasil dapat menyebabkan kerugian finansial yang besar, kerusakan reputasi, dan gangguan layanan pemerintahan. Pemerintah harus memahami bahwa keamanan sistem IT merupakan investasi yang penting, bukan biaya tambahan. Meskipun pemerintah federal dan negara bagian telah berupaya meningkatkan keamanan sistem IT mereka, namun upaya ini belum cukup.

Kerentanan yang terus terungkap menunjukkan bahwa pemerintah harus melakukan lebih banyak untuk menghilangkan kelemahan pada sistem IT. Penyerang siber terus-menerus mengembangkan teknik baru untuk menyerang sistem IT pemerintah. Pemerintah harus berinvestasi dalam riset dan pengembangan teknologi baru untuk menanggulangi ancaman siber yang terus berkembang. Sistem IT yang usang dan kurang terpelihara merupakan ancaman serius bagi keamanan nasional. Pemerintah harus membuat program yang menargetkan sistem IT usang dan mengganti sistem tersebut dengan sistem yang lebih aman dan modern.

Lembaga pemerintah harus bekerja sama dengan perusahaan teknologi dan pakar keamanan siber untuk meningkatkan keamanan sistem IT mereka. Sistem IT pemerintah harus diperlakukan seperti aset nasional yang penting. Pemerintah harus melakukan segala sesuatu untuk melindungi sistem IT mereka dari ancaman siber. Kegagalan dalam melindungi sistem IT pemerintah dapat berakibat fatal. Penyerang siber dapat mengakses data sensitif yang dapat digunakan untuk merusak ekonomi atau mengacaukan pemilu. Semua orang harus berperan dalam melindungi sistem IT pemerintah.

Warga negara harus diberi informasi tentang ancaman siber dan cara untuk melindungi diri dari ancaman tersebut. Pemerintah harus mengambil langkah yang lebih tegas untuk melindungi sistem IT mereka. Jika tidak, konsekuensinya akan sangat serius.