Bisnis Butuh Dukungan Keamanan Siber, Kongres Memberi

Kongres AS harus mencari untuk memberikan insentif bagi perusahaan swasta untuk mengadopsi praktik cybersecurity yang lebih kuat daripada membuat mandat baru, seorang pakar keamanan informasi mengatakan kepada subkomite kongres pekan lalu.

Delapan puluh persen hingga 90 persen dari masalah cybersecurity dapat diperbaiki jika bisnis mengikuti praktik terbaik yang telah ditetapkan., dan pemerintah dapat membantu dengan menawarkan insentif seperti pinjaman bisnis kecil, asuransi dan program penghargaan, kata Larry Clinton, presiden dan CEO dari Internet Security Alliance, kelompok advokasi keamanan.

Dalam beberapa pekan terakhir beberapa anggota parlemen dan pakar keamanan cyber telah menyerukan peraturan keamanan dunia maya baru, tetapi peraturan akan statis dalam bidang yang berubah dengan cepat dan dapat menempatkan U. S. industri pada kerugian kompetitif, kata Clinton. Selain itu, peraturan AS hanya akan menjangkau perbatasan negara, tambahnya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Ini adalah masalah internasional," kata Clinton selama persidangan sebelum Subkomite Komite Energi dan Perdagangan DPR di Komunikasi, Teknologi, dan Internet. "Kami membutuhkan sistem yang lebih baik - sistem abad ke-21."

Kemitraan Pemerintah-Swasta Didesak

Di bawah administrasi mantan Presiden AS George W. Bush, pemerintah mengambil pendekatan yang sangat lepas tangan dan menunggu insentif pasar swasta yang tidak pernah terwujud, kata Clinton. Sebaliknya, pemerintah harus bekerja dengan industri swasta untuk memberikan insentif bagi keamanan dunia maya, termasuk perlindungan tanggung jawab dan penghargaan pengadaan, katanya.

"Apa yang kami coba lakukan di sini adalah mengubah ekonomi cybersecurity dengan membangun pasar yang membuat organisasi swasta ingin terus berinvestasi dalam cybersecurity dalam kepentingan ekonomi mereka sendiri, "kata Clinton. "Hanya dengan begitu kita dapat menciptakan semacam sistem cybersecurity yang berkelanjutan dan berkembang yang kita butuhkan."

Clinton dan Greg Nojeim, penasihat senior di Pusat Demokrasi dan Teknologi, tidak menyebutkan nama itu, tetapi keduanya tampaknya mengambil bertujuan untuk undang-undang keamanan dunia maya yang diperkenalkan 1 April oleh Senator Jay Rockefeller, seorang Demokrat Virginia Barat, dan Olympia Snowe, seorang Republik Maine.

Undang-undang Cybersecurity akan, antara lain, menetapkan standar cybersecurity yang dapat diberlakukan untuk bisnis swasta dan akan memungkinkan Presiden AS mengumumkan keadaan darurat cybersecurity dan menutup jaringan publik dan beberapa swasta yang dikompromikan.

AS menghadapi konsekuensi besar karena kurangnya fokus pada cybersecurity, kata Rockefeller dalam sidang di bulan Maret. "Saya menganggap [cybersecurity] sebagai masalah yang sangat dalam dan sangat mengganggu yang tidak terlalu kami perhatikan," katanya kemudian. "Masalahnya adalah Amerika tidak dapat menerima cybercrime besar-besaran."

Keseimbangan Kekuatan

Tapi memungkinkan pemerintah untuk menutup jaringan pribadi, dan berpotensi memantau lalu lintas di jaringan pribadi, memberi terlalu banyak kekuatan, kata Nojeim. Kekuasaan seperti itu akan menimbulkan pertanyaan tentang kebebasan berbicara di AS, katanya.

"Langkah-langkah yang mungkin sesuai untuk mengamankan sistem kontrol saluran pipa mungkin tidak tepat untuk mengamankan Internet," tambah Nojeim. "[Pemerintah] tidak boleh berada dalam bisnis memantau jaringan swasta itu sendiri, dan pemerintah tidak seharusnya berada dalam bisnis mematikan lalu lintas Internet ke sistem informasi … yang dikompromikan di sektor swasta."

Jika seorang presiden dapat menutup sistem swasta, dia bisa menggunakan kekuatan itu untuk paksaan, kata Nojeim. "Sepengetahuan kami, belum ada keadaan yang muncul yang akan membenarkan perintah presiden untuk memotong lalu lintas Internet ke sistem infrastruktur kritis pribadi," katanya.

Satu peran untuk pemerintah adalah terus mendorong pengembangan Keamanan DNS. Extensions, atau DNSSec, paket perbaikan keamanan untuk Sistem Nama Domain Internet, kata Dan Kaminsky, direktur pengujian penetrasi pada vendor cybersecurity IOActive.

DNSSec akan memungkinkan organisasi untuk lebih percaya pada lalu lintas internet yang berasal dari luar, katanya. "Ini akan membutuhkan beberapa pekerjaan; itu akan membutuhkan banyak pekerjaan," Kaminsky menambahkan.