FCC Cabut Aturan Keamanan Siber untuk Operator Telekomunikasi Meski Risiko Peretasan Negara Tetap Tinggi

Federal Communications Commission (FCC) melakukan pembatalan terhadap keputusan sebelumnya yang mewajibkan operator telekomunikasi AS menerapkan langkah-langkah keamanan siber lebih ketat, meski ancaman infiltrasi oleh aktor negara seperti kelompok Salt Typhoon dinilai masih nyata.

Keputusan awal, yang diambil pada Januari 2025 dan diberlakukan segera berdasarkan Communications Assistance for Law Enforcement Act (CALEA), mengharuskan penyedia layanan telekomunikasi untuk menyusun rencana manajemen risiko siber, mengajukan sertifikasi tahunan kepada FCC, dan memperlakukan keamanan jaringan sebagai kewajiban hukum. Langkah itu dipicu oleh serangkaian peretasan besar yang dikaitkan dengan Salt Typhoon, yang berhasil menembus beberapa operator untuk mengintai komunikasi privat.

Namun, setelah menerima tekanan dari industri yang menilai kerangka aturan tersebut memberatkan operasional, FCC menyatakan bahwa aturan sebelumnya bersifat kaku dan tidak efektif, lalu memilih untuk mencabutnya. Dalam pengumuman resminya, komisi menyebutkan bahwa NPRM (Notice of Proposed Rulemaking) yang menyertai deklarasi tersebut juga ditarik karena landasan hukum dan persyaratan keamanannya dianggap cacat.

Jajaran kepemimpinan FCC yang baru menegaskan bahwa para penyedia layanan komunikasi telah mengambil langkah-langkah signifikan untuk memperkuat postur keamanan mereka pasca-insiden Salt Typhoon, dan bersepakat melanjutkan upaya peningkatan secara terkoordinasi tanpa kewajiban regulasi yang dipaksakan. FCC menyatakan pembatalan ini sebagai upaya untuk “mengoreksi arah” dan menghapus ketentuan yang dinilai tidak sah.

Reaksi dan kekhawatiran publik
Keputusan tersebut menuai kritik dari sejumlah pihak. Komisaris Anna M. Gomez menjadi satu-satunya anggota komisi yang menolak langkah itu, mengingatkan bahwa mengandalkan penilaian mandiri operator saja tidak cukup untuk menghadapi ancaman yang diduga bersifat negara-negara dan terorganisir. “Ini bukan strategi keamanan siber — ini sekadar harapan bahwa penyedia akan melakukan hal yang benar,” tegas Gomez. Ia memperingatkan bahwa Salt Typhoon bukanlah kejadian tunggal, melainkan bagian dari kampanye yang lebih luas untuk menginfiltrasi infrastruktur telekomunikasi dalam jangka panjang.

Kekhawatiran serupa juga disuarakan oleh beberapa anggota Senat, termasuk Maria Cantwell dan Gary Peters, yang sebelumnya mengirimkan surat ke FCC untuk mempertahankan persyaratan keamanan yang lebih ketat. Mereka menilai bahwa penyedia layanan komunikasi merupakan target bernilai tinggi bagi aktor asing yang melakukan pengintaian dan eksploitasi.

Latar belakang serangan Salt Typhoon
Insiden Salt Typhoon, yang terungkap pada Oktober 2024, dikaitkan dengan kampanye spionase yang menargetkan sejumlah operator besar seperti Verizon, AT&T, Lumen, T-Mobile, Charter Communications, Consolidated Communications, dan Windstream. Menurut laporan, peretas berhasil mengakses sistem inti yang digunakan pemerintah AS untuk permintaan penyadapan berizin pengadilan, berpotensi membuka celah bagi kompromi informasi sensitif setingkat pejabat pemerintah.

Dalam menghadapi ancaman tersebut, syarat-syarat yang diusulkan pada Januari 2025 bertujuan mendorong transparansi dan akuntabilitas operator melalui sertifikasi dan rencana mitigasi formal. Pendukung aturan berargumen bahwa pendekatan terukur semacam itu penting untuk memperkuat ketahanan infrastruktur komunikasi nasional.

Argumen industri dan jalan tengah yang diambil FCC
Telekomunikasi komersial berpendapat bahwa kerangka aturan yang diusulkan terlalu membebani dan dapat mengganggu operasional inti layanan. Surat-surat dari legislatif mencerminkan kekhawatiran perusahaan-perusahaan besar terkait beban administrasi dan implikasi pelaporan yang luas. Menanggapi hal ini, FCC memilih menghapus regulasi yang diproposed dan mendorong langkah-langkah koordinasi sukarela bersama industri sebagai alternatif.

Kendati demikian, para pengkritik menilai bahwa solusi berbasis kesanggupan sendiri berisiko menghasilkan standar yang tidak konsisten dan potensi celah keamanan yang tetap terbuka. Mereka menyerukan agar pemerintah mempertimbangkan mekanisme pengawasan yang lebih kuat, tetap menjaga keseimbangan antara kebutuhan operasional industri dan perlindungan aset kritis nasional.

Implikasi bagi keamanan nasional dan langkah mitigasi yang disarankan
Para pakar keamanan menyoroti bahwa meski pembatalan ini mungkin mengurangi beban regulatori pada penyedia layanan, hal itu tidak mengubah kenyataan bahwa telekomunikasi tetap menjadi target utama aktor negara. Untuk mengurangi risiko, perusahaan dan regulator dianjurkan mempertimbangkan langkah-langkah berikut secara proaktif:

• Memperkuat kerja sama intelijen ancaman antara sektor publik dan swasta.
• Meningkatkan audit dan penilaian pihak ketiga terhadap praktik keamanan operator.
• Menerapkan pembatasan akses administratif dan segmentasi jaringan pada sistem inti.
• Menjaga cadangan prosedur pengawasan dan respons insiden yang dapat diaktifkan secara cepat.

Kesimpulan
Keputusan FCC untuk mencabut aturan keamanan siber yang lebih ketat mencerminkan ketegangan antara kebutuhan regulasi untuk melindungi infrastruktur kritis dan keberatan praktis dari penyedia layanan telekomunikasi. Sementara operator mungkin berupaya memperkuat postur keamanannya secara sukarela, pakar dan pembuat kebijakan menilai bahwa tanpa mekanisme pengawasan dan akuntabilitas yang jelas, negara tetap menghadapi risiko berkelanjutan terhadap kampanye spionase dan infiltrasi jaringan skala besar.