RUU Amerika Akan Paksa Perusahaan Teknologi Mengungkapkan Penyelidikan Perangkat Lunak oleh Tiongkok dan Rusia

WASHINGTON — Perusahaan-perusahaan teknologi AS akan dipaksa untuk memberitahukan jika mereka memperbolehkan musuh-musuh Amerika, seperti Rusia dan Tiongkok, untuk memeriksa cara kerja perangkat lunak yang dijual ke militer AS di bawah undang-undang yang diusulkan, staf Senat mengatakan kepada Reuters pada hari Kamis.

RUU tersebut, yang disetujui oleh Komite Angkatan Bersenjata Senat pada Kamis, terjadi setelah investigasi yang dilakukan Reuters selama satu tahun telah menemukan para pembuat perangkat lunak telah mengizinkan agensi pertahanan Rusia mencari celah keamanan dalam perangkat lunak yang sudah tertanam kuat di beberapa bagian paling sensitif milik pemerintah AS, termasuk Pentagon, Biro Investigasi Federal (FBI), dan badan-badan intelijen.

Para ahli keamanan mengatakan dengan mengizinkan pihak berwenang Rusia untuk melakukan tinjauan atas instruksi perangkat lunak internal, yang dikenal sebagai kode sumber (kode program), dapat membantu Rusia menemukan kerentanan dan lebih mudah menyerang sistem kunci yang melindungi Amerika Serikat.

Aturan pengungkapan kode sumber baru dimasukkan dalam versi Senat untuk Undang-Undang Otorisasi Pertahanan Nasional, RUU pengeluaran Pentagon, menurut staf dari Senator Demokrat, Jeanne Shaheen.

Dalam sebuah pernyataan, Shaheen mengatakan bahwa perusahaan-perusahaan teknologi memiliki kewajiban untuk membantu melindungi sistem perangkat lunak federal.

“Inilah sebabnya mengapa Departemen Pertahanan dan lembaga federal lainnya harus tahu tentang potensi kerentanan yang berkaitan dengan praktik bisnis perusahaan mitra di luar negeri,” katanya. Bahasa di dalam RUU tersebut memberikan amanat penyingkapan-penyingkapan tersebut dan “akhirnya membuat pembaruan-pembaruan yang terlambat untuk  memperkeras Departemen melawan serangan-serang siber.”

Rincian tentang RUU, yang lolos komite 25-2, belum dipublikasikan. Dan pembuatan undang-undang tersebut masih perlu divoting oleh seluruh Senat dan dicocokkan dengan pembuatan undang-undang versi DPR sebelum dapat ditandatangani menjadi undang-undang oleh Presiden Donald Trump.

Jika disahkan menjadi undang-undang, undang-undang tersebut akan mengharuskan perusahaan-perusahan yang melakukan bisnis dengan militer AS untuk memberitahukan setiap peninjauan kode sumber dari perangkat lunak yang dilakukan oleh musuh, staf untuk Shaheen mengatakan kepada Reuters.

Jika Pentagon menganggap suatu peninjauan kode sumber mengandung risiko, para pejabat militer dan perusahaan perangkat lunak akan perlu menyepakati bagaimana cara menangani ancaman tersebut. Itu bisa, misalnya, menerapkan pembatasan penggunaan perangkat lunak untuk pengaturan yang tidak diklasifikasikan.

Rincian tentang tinjauan-tinjauan kode sumber oleh asing, dan langkah-langkah apa saja yang telah disetujui perusahaan tersebut untuk mengurangi risikonya, akan disimpan dalam basis data yang dapat diakses oleh pejabat militer, kata staf Shaheen. Untuk sebagian besar produk, pemberitahuan militer hanya akan berlaku untuk negara-negara yang ditetapkan sebagai ancaman keamanan siber, seperti Tiongkok dan Rusia.

Financial Times melaporkan kembali pada bulan Maret bahwa Kementerian Keamanan Negara Tiongkok, sebuah badan intelijen, mengatakan pada peretas negara tersebut untuk melaporkan secara langsung setiap kerentanan yang mereka temukan pada badan intelijer atau kepada perusahaan itu sendiri.

Perusahaan keamanan siber, ​​FireEye, menemukan bahwa peretas Tiongkok berada di balik penemuan kerentanan di beberapa perusahaan teknologi multinasional yang berbasis di AS seperti Google, Apple, dan Microsoft.

Selain itu, untuk menjual di pasar Rusia, perusahaan-perusahaan teknologi termasuk Hewlett Packard, SAP, dan McAfee telah mengizinkan agen pertahanan Rusia untuk menjelajahi kode sumber perangkat lunak untuk menemukan kerentanannya, Reuters menemukan.

Dalam banyak kasus, Reuters menemukan bahwa perusahaan-perusahaan perangkat lunak sebelumnya tidak menginformasikan kepada agensi AS bahwa pihak berwenang Rusia telah diizinkan untuk melakukan tinjauan kode sumber. Dalam sebagian besar kasus, militer AS tidak memerlukan tinjauan kode sumber yang sebanding sebelum membeli perangkat lunak, para ahli pengadaan mengatakan kepada Reuters. (ran)

ErabaruNews