- CISA dan FBI merilis Katalog Praktik Buruk Keamanan Produk untuk komentar publik.
- Katalog ini mengidentifikasi praktik pengembangan software yang berisiko tinggi.
- Produsen software diharapkan menghindari praktik buruk untuk meningkatkan keamanan.
pibitek.biz -Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) dan Biro Investigasi Federal (FBI) telah mengambil langkah penting dalam mempromosikan pengembangan software yang aman dengan merilis Katalog Praktik Buruk Keamanan Produk untuk komentar publik. Dokumen ini mengidentifikasi praktik pengembangan software yang dianggap sangat berisiko dan memberikan panduan untuk mengurangi risiko ini. Dokumen ini menyerukan produsen software, khususnya yang memproduksi software untuk infrastruktur penting atau fungsi penting nasional (NCFs), untuk menghindari praktik buruk ini guna memperkuat keamanan siber secara keseluruhan.
2 – Kebocoran Data Asuransi Globe Life dan Upaya Pemerasan 2 – Kebocoran Data Asuransi Globe Life dan Upaya Pemerasan
3 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi 3 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi
Periode komentar publik dibuka hari ini dan berlangsung hingga Senin, 2 Desember 2024, memberi para pemangku kepentingan kesempatan untuk memberikan masukan dan berkontribusi pada penyempurnaan panduan ini. Rilis katalog ini selaras dengan Strategi Keamanan Siber Nasional, yang bertujuan untuk mengalihkan tanggung jawab untuk mempertahankan dunia maya kepada entitas yang paling siap untuk mengelola?yaitu produsen software. Seperti yang disoroti oleh strategi tersebut, banyak kerentanan keamanan siber yang paling berbahaya berasal dari praktik pengembangan software yang buruk.
Untuk mewujudkan infrastruktur digital yang aman secara penuh, produsen harus menghindari praktik ini, terutama ketika produk mereka digunakan dalam sistem kritis. Direktur CISA Jen Easterly menekankan urgensi untuk mengatasi risiko ini, dengan mencatat bahwa "tahun 2024, dan cacat software dasar yang dapat dicegah terus memungkinkan serangan yang melumpuhkan terhadap rumah sakit, sekolah, dan infrastruktur penting lainnya. Ini harus dihentikan". Easterly menekankan bahwa panduan yang diberikan dalam katalog bersifat sukarela, tetapi dirancang untuk mendorong produsen software untuk mengambil kepemilikan atas keamanan pelanggan mereka dan berkontribusi pada masa depan di mana keamanan dibangun ke dalam software sejak awal.
Direktur Siber Nasional Gedung Putih Harry Coker Jr. Menggemakan sentimen ini, menunjuk pada konsekuensi luas dari praktik keamanan software yang buruk dan dampaknya terhadap keamanan nasional dan kehidupan sehari-hari orang Amerika. Ia mendesak sektor swasta untuk menanggung tanggung jawabnya dengan serius, dengan mengatakan, "Mitra sektor swasta kita harus menanggung tanggung jawab mereka dan membangun produk yang aman". Bryan Vorndran, Asisten Direktur Divisi Siber FBI, juga menggarisbawahi pentingnya menghindari praktik buruk dalam pengembangan software.
Menurut Vorndran, software yang digunakan dalam infrastruktur penting harus dipegang pada standar tinggi karena kerentanan dalam sistem semacam itu dapat membahayakan keamanan nasional dan pengguna sehari-hari. FBI, seperti CISA, mendesak produsen software untuk menghindari praktik berisiko yang diuraikan dalam katalog untuk mencegah kerentanan dari dieksploitasi oleh aktor jahat. Rilis Katalog Praktik Buruk Keamanan Produk merupakan kelanjutan dari inisiatif Secure by Design CISA, upaya global yang didukung oleh 18 lembaga AS dan internasional.
Inisiatif ini mendorong produsen software untuk mengadopsi praktik terbaik dalam keamanan dan telah mendapatkan komitmen dari lebih dari 220 produsen melalui Secure by Design Pledge CISA. Katalog baru ini dibangun di atas upaya sebelumnya, seperti Kerangka Kerja Pengembangan software Aman NIST (SSDF), dan dimaksudkan untuk berfungsi sebagai dokumen panduan pusat. Katalog ini dibagi menjadi tiga kategori utama, antara lain :
– Desain dan Arsitektur: Keamanan software harus dimasukkan ke dalam desain dan arsitektur software dari awal, bukan sebagai renungan.
– Pengembangan: Praktik pengembangan software yang aman harus diterapkan sepanjang siklus hidup pengembangan, mulai dari penulisan kode hingga pengujian dan penyebaran.
– Operasi: software harus dikonfigurasi dan dioperasikan dengan cara yang aman, dengan tambalan dan pembaruan keamanan yang diterapkan tepat waktu.
Katalog ini tidak mengklaim bersifat lengkap; melainkan, katalog ini berfokus pada praktik buruk paling berbahaya dan mendesak yang harus dihindari oleh produsen software berdasarkan lanskap ancaman saat ini. Ketidakhadiran praktik dari daftar ini tidak berarti bahwa itu dapat diterima? CISA hanya memprioritaskan masalah paling kritis untuk dimasukkan dalam dokumen ini. Beberapa praktik buruk yang patut dicatat termasuk:
– Pengembangan software yang tidak aman: Ini mencakup penggunaan kode yang tidak aman, tidak melakukan pengujian keamanan, dan tidak menerapkan praktik terbaik keamanan pengembangan software lainnya.
– Kerentanan yang tidak ditangani: Ini mencakup kegagalan untuk mengidentifikasi dan memperbaiki kerentanan dalam software, termasuk kerentanan yang diketahui dan kerentanan yang belum diketahui.
– Konfigurasi yang tidak aman: Ini mencakup penggunaan pengaturan default yang tidak aman, kegagalan untuk menerapkan kontrol keamanan yang memadai, dan kegagalan untuk memperbarui software secara teratur.
Katalog Praktik Buruk Keamanan Produk merupakan alat penting untuk meningkatkan keamanan software di seluruh industri, terutama di sektor yang terkait dengan infrastruktur penting. Dengan menguraikan praktik paling berbahaya untuk dihindari, CISA dan FBI bertujuan untuk memandu produsen software menuju praktik pengembangan yang lebih aman. Komentar publik didorong untuk memastikan bahwa katalog tetap relevan dan efektif. Seringkali, kita mendengar tentang berbagai upaya untuk meningkatkan keamanan software, namun, realitanya adalah, upaya-upaya ini hanyalah tetesan air di lautan. Software yang rentan masih banyak ditemukan di mana-mana, dan para pelaku kejahatan siber memanfaatkan celah ini dengan mudah. Jelas sekali, produsen software tidak menunjukkan komitmen yang kuat terhadap keamanan, dan mereka lebih memilih untuk mengejar keuntungan daripada melindungi pengguna mereka.
Tidak peduli berapa banyak panduan dan pedoman yang diterbitkan, tampaknya tidak akan ada perubahan besar dalam praktik pengembangan software. Sebagian besar produsen software akan tetap mengabaikan panduan ini dan terus memprioritaskan keuntungan di atas keamanan. Software yang aman adalah hal yang penting, dan hal itu harus menjadi prioritas bagi semua orang yang terlibat dalam pengembangan dan penggunaan software. Namun, mengingat kurangnya komitmen yang nyata dari produsen software dan kurangnya regulasi yang ketat, masa depan software yang aman tampak suram.
