1. Risiko Sebenarnya dari Keamanan Siber: Memilih untuk Tidak Menyadarinya
Sejak 2016, pemerintah federal telah menerapkan berbagai peraturan pengadaan dan klausul kontrak terkait untuk mengatasi keamanan siber dengan mewajibkan kontraktor untuk mengadopsi berbagai kontrol dan standar guna melindungi informasi sensitif dan tidak rahasia, serta memperkuat sistem teknologi informasi (TI) agar lebih tangguh terhadap segala jenis peretasan siber. Bagian yang mudah (bukan berarti mudah sama sekali) adalah mengembangkan kontrol dan standar – NIST SP 800-171 (saat ini hingga Rev. 3), dan klausul kontrak (terutama, FAR 52.204-21, dan DFARS 252.204-7012, 7019, 7020, 7021, dan lainnya). Bagian yang sulit adalah membuat kontraktor menganggap serius kewajiban untuk berinvestasi dalam keamanan siber.
Menurut Kantor Akuntabilitas Pemerintah (GAO), selama periode 2015-2021, DOD dan Pangkalan Industri Pertahanan (DIB) melaporkan lebih dari 12.000 “insiden siber” yang terdeteksi. [1] Meskipun angka tersebut mungkin tampak cukup kecil pada pandangan pertama, sebenarnya itu hanyalah puncak gunung es. Seperti yang dibahas lebih lengkap di bawah ini, berdasarkan klausul kontrak, kontraktor diwajibkan untuk melaporkan “insiden siber” dan mengambil sejumlah tindakan setelah mendeteksi insiden siber.
Kata kuncinya adalah “deteksi”. Sebelum kontraktor dapat memenuhi kewajibannya untuk melaporkan insiden siber, kontraktor harus terlebih dahulu berada dalam posisi untuk benar-benar mendeteksi insiden siber. Untuk mendeteksi insiden siber, kontraktor harus memiliki kerangka kerja kontrol TI, prosedur pemantauan dan deteksi, serta protokol komunikasi dan fungsi pelaporan yang cukup kuat. Dengan kata lain, kontraktor harus memiliki program keamanan siber yang efektif. Sebagaimana diukur berdasarkan DFARS 252.204-7012 – Safeguarding Covered Defense Information and Cyber Incident Reporting (Mei 2024), sebagian besar kontraktor tidak memiliki program keamanan siber yang efektif. Banyak kontraktor memiliki sedikit demi sedikit program keamanan siber, misalnya, mereka mungkin telah menyiapkan alat pelacak Project Objectives and Milestones (POAM), tetapi kemajuan dalam mencapai tujuan dan milestone secara efektif terhenti.
Memiliki POAM saja tidak cukup. Kontraktor harus membuat kemajuan yang terukur dari tahun ke tahun untuk mengisi celah keamanan siber. Jika tidak ada program keamanan siber yang cukup kuat, dapat diperkirakan bahwa ribuan peretasan, serangan phishing, intrusi malware, serangan ransomware, trojan horse, dan intrusi sistem TI serupa, tidak terdeteksi oleh kontraktor setiap hari, selama berminggu-minggu, mungkin berbulan-bulan dan mungkin bertahun-tahun. Jadi, sekarang adalah waktu yang tepat untuk melihat kembali kerangka kerja keamanan siber yang, mungkin, menjadi subjek sebagian besar kontraktor pemerintah setiap kali mereka menerima kontrak utama atau menerima subkontrak untuk mendukung orang lain yang merupakan kontraktor utama.
2. Peraturan Keamanan Siber untuk Kontraktor Federal – FAR dan DFARS
a. FAR 52.204-21 - Pengamanan Dasar Sistem Informasi Kontraktor yang Tercakup (NOV 2021)
FAR 52.204-21 menetapkan dasar lima belas (15) kontrol keamanan siber dasar untuk sistem TI kontraktor yang menyimpan, mengirimkan, atau memproses “informasi kontrak federal.” Informasi kontrak federal adalah informasi yang diterima dari atau dihasilkan untuk pemerintah federal dalam pelaksanaan kontrak pengadaan. Ke-15 kontrol keamanan siber dasar ini sesuai dengan keamanan Level 1 di bawah program Sertifikasi Model Kematangan Keamanan Siber (CMMC), yang terus bergerak maju menuju realisasi dan implementasi (lebih lanjut tentang hal itu di bawah).
Berdasarkan FAR 52.204-21, informasi kontrak federal didefinisikan sebagai informasi apa pun, yang tidak ditujukan untuk rilis publik, yang disediakan oleh atau dibuat untuk pemerintah berdasarkan kontrak untuk mengembangkan atau memberikan produk atau layanan kepada pemerintah. “Persyaratan perlindungan” ini mencakup kontrol yang berkaitan dengan akses pengguna, otorisasi, pembuangan informasi yang sesuai, perlindungan sistem, pemindaian dan pencatatan sistem, dan lain-lain. Daripada mencantumkan semua kontrol tersebut, kontraktor didorong untuk meninjau klausul tersebut sebagaimana tercantum dalam kontrak federal mereka.
Banyak kontraktor yang melaksanakan kontrak lembaga sipil juga berpartisipasi dalam kontrak DOD, dan hal itu membuat mereka tunduk pada serangkaian persyaratan yang lebih ketat. Haruskah kontraktor mematuhi kedua klausul keamanan siber ini (FAR dan DFARS) jika keduanya disertakan dalam satu atau beberapa kontrak? Jika kontraktor tunduk pada klausul DFARS, meskipun hanya dalam satu kontrak, ia harus mematuhi klausul tersebut dan, dengan demikian, ia juga akan mematuhi serangkaian kontrol yang tidak terlalu luas yang ditetapkan dalam FAR 52.204-21. Tentu saja, kontraktor yang cerdas akan meninjau dengan cermat hasil kinerjanya (COTS?) untuk menentukan apakah klausul tersebut secara keliru telah disertakan dalam kontrak ( lihat FAR 4.1902).
b. DFARS 252.204-7012, Pengamanan Informasi Pertahanan Tertutup dan Pelaporan Insiden Siber (DES 2019)
Sejak 2017, DOD telah menerapkan persyaratan keamanan sibernya melalui DFARS 252.204-7012. Di antara hal-hal lain, klausul DOD mengharuskan kontraktor untuk memenuhi masing-masing dari 110 kontrol keamanan siber yang ditetapkan dalam NIST SP 800-171 (saat ini, Rev. 3) - Melindungi Informasi Tak Terklasifikasi yang Dikendalikan dalam Sistem dan Organisasi Nonfederal. Klausul DOD dan NIST SP 800 171, secara gabungan, diarahkan untuk melindungi semua jenis informasi pertahanan tertutup (CDI) yang tidak diklasifikasikan, seperti Informasi Tak Terklasifikasi yang Dikendalikan (CUI) atau Informasi Teknis yang Dikendalikan (CTI) yang diterima, dibuat, dikirimkan, dan/atau disimpan pada sistem informasi “kontraktor tertutup”. Sistem seperti itu secara luas didefinisikan untuk mencakup “sistem informasi tidak terklasifikasi yang dimiliki, atau dioperasikan, oleh atau untuk kontraktor dan yang menerima, memproses, menyimpan, atau mengirimkan” CDI. DFARS 252.204-7012(a). Di dunia yang sempurna, pada saat pemberian dan selanjutnya, badan kontrak, secara teoritis, diharapkan untuk mengidentifikasi berbagai kategori informasi yang akan diperlakukan sebagai CUI atau CDI selama masa kontrak. Secara praktis, badan kontrak telah berjuang untuk memberi tahu kontraktor secara tepat waktu dan/atau memadai tentang kategori informasi yang akan dicakup sebagai CDI atau CUI sehingga kontraktor tidak punya pilihan selain meminta petunjuk dan arahan dari pejabat badan kontrak.
Ada beberapa klausul keamanan siber DOD lain yang mungkin juga berlaku, seperti berikut ini:
DFARS 252.204-70 08 , Kepatuhan terhadap Kontrol Informasi Pertahanan Tertutup yang Dilindungi (OCT 2016). Ini adalah ketentuan permintaan yang mengharuskan kontraktor untuk menyertakan sebagai bagian dari penawarannya pernyataan bahwa mereka akan menerapkan persyaratan keamanan yang ditentukan dalam NIST SP 800-171 selambat-lambatnya tanggal 31 Desember 2017, atau meminta varians tepat waktu darinya. DoD diharuskan untuk mengadili permintaan varians sebelum kontrak diberikan. Kontraktor secara rutin tidak mematuhi ketentuan permintaan ini, atau mereka akan memilih untuk memberikan pernyataan dalam penawaran mereka tanpa mengetahui apakah sistem TI mereka tepat waktu mematuhi NIST SP 800-171, yang dapat dikatakan sebagai dasar untuk dugaan misrepresentasi.
DFARS 252.204-7019, Pemberitahuan Persyaratan Penilaian DoD NIST SP 800-171 (NOV 2023). Ini adalah ketentuan permintaan yang relatif baru yang diperlukan setiap kali kontrak akan melibatkan CDI. Persyaratan yang terkandung dalam ketentuan ini tampaknya wajib, sebagai berikut:
(b) Persyaratan. Agar dapat dipertimbangkan untuk mendapatkan penghargaan, jika Penawar diharuskan untuk menerapkan NIST SP 800–171, Penawar harus memiliki penilaian terkini (yaitu, tidak lebih dari 3 tahun, kecuali jika jangka waktu yang lebih pendek ditentukan dalam permintaan) (lihat 252.204–7020) untuk setiap sistem informasi kontraktor yang tercakup yang relevan dengan penawaran, kontrak, perintah tugas, atau perintah pengiriman. Penilaian NIST SP 800–171 DoD Dasar, Sedang, dan Tinggi dijelaskan dalam Metodologi Penilaian NIST SP 800–171 DoD (Penekanan ditambahkan).
Kemungkinannya sangat besar bahwa jika permintaan tersebut mencakup DFARS 252.204-7012, maka DOD tidak hanya menyediakan persediaan atau layanan COTS, dan dengan demikian, kontraktor harus mematuhi NIST SP 800-171 dan harus memiliki penilaian terkini (dasar, sedang, atau tinggi) berdasarkan standar khusus tersebut. Jika, selama evaluasi, pemilihan, dan pemberian kontrak, ditentukan bahwa kontraktor tidak memiliki penilaian terkini, maka kontraktor tersebut mungkin tidak memenuhi syarat untuk mendapatkan penghargaan.
DFARS 252.204-7020 , Persyaratan Penilaian NIST SP 800-171 DoD (NOV 2023). Ini juga merupakan klausul yang relatif baru yang diwajibkan untuk dimasukkan dalam permintaan serta kontrak yang dihasilkan. Klausul ini mengharuskan kontraktor untuk secara berkala memberikan skor tingkat ringkasan kepatuhan mereka terhadap NIST SP 800-171 kepada DoD untuk setiap sistem informasi kontraktor yang relevan, dan untuk meneruskan kewajiban pelaporan yang sama kepada kontraktor tingkat yang lebih rendah. Kontraktor juga harus memberikan akses kepada pemerintah ke fasilitas, sistem, dan personelnya jika DoD perlu melakukan atau memperbarui penilaian tingkat yang lebih tinggi.
c. Sertifikasi Model Kematangan Keamanan Siber (CMMC)
Sementara Program CMMC DOD semakin mendekati implementasi final, program tersebut belum dalam bentuk final untuk implementasi kontrak. Pada bulan September 2024, aturan final Office of Management and Budget (OMB) sebagaimana ditetapkan pada tanggal 27 Juni 2024, telah melalui proses peninjauan antarlembaga melalui Office of Information and Regulatory Affairs (OIRA) OMB dan disetujui oleh OIRA pada tanggal 13 September 2024. Aturan tersebut pada akhirnya akan dipublikasikan di 32 CFR sehingga menjadikan CMMC sebagai program resmi DOD.
Ada pula usulan aturan mengenai CMMC yang saat ini menerima komentar publik hingga 15 Oktober 2024. Usulan aturan tersebut membuat perubahan pada ketentuan DFARS yang berkaitan dengan CMMC, dan usulan pembuatan aturan ini tidak perlu difinalisasi agar DOD dapat secara resmi meluncurkan CMMC sebagai program aktif. Beberapa orang mungkin ingat bahwa pemerintahan Biden menghentikan inisiatif program CMMC pada tahun 2021 untuk memungkinkan peninjauan dan penyesuaian tambahan. Masih menjadi pertanyaan terbuka apakah pergantian pemerintahan akan memilih untuk menerapkan CMMC dalam bentuknya saat ini atau memilih untuk membuat perubahan tambahan atau membuangnya sama sekali. Untuk saat ini, ada klausul permintaan dan kontrak DOD yang menetapkan persyaratan CMMC:
DFARS 252.204-7021 , Persyaratan Sertifikasi Model Kematangan Keamanan Siber (CMMC) (JAN 2023) :
(a) Cakupan. Sertifikasi Model Kematangan Keamanan Siber (CMMC) adalah kerangka kerja yang mengukur kematangan keamanan siber kontraktor, termasuk penerapan praktik keamanan siber dan pelembagaan proses.
(b) Persyaratan. Kontraktor harus memiliki sertifikat CMMC terkini (yaitu, tidak lebih dari 3 tahun) pada tingkat CMMC yang dipersyaratkan dalam kontrak ini dan mempertahankan sertifikat CMMC pada tingkat yang dipersyaratkan selama durasi kontrak.
(c) Subkontrak. Kontraktor harus—
(1) Memasukkan substansi dari klausul ini, termasuk paragraf (c) ini, dalam semua subkontrak dan instrumen kontrak lainnya, termasuk subkontrak untuk perolehan produk komersial atau layanan komersial, tidak termasuk barang-barang yang tersedia secara komersial di pasaran; dan
(2) Sebelum memberikannya kepada subkontraktor, pastikan bahwa subkontraktor tersebut mempunyai sertifikat CMMC terkini (yaitu, tidak lebih dari 3 tahun) pada tingkat CMMC yang sesuai untuk informasi yang dialirkan ke subkontraktor.
Tampaknya, DOD belum menegakkan klausul CMMC, yang berarti, meskipun klausul tersebut diharuskan untuk dicantumkan dalam permintaan dan kontrak, DOD dalam aktivitas pembeliannya memilih untuk tidak mencantumkan klausul tersebut atau, jika tercantum, memilih untuk tidak mengawasi kontraktor yang terkait dengan sertifikasi CMMC saat ini.
Comments
Post a Comment