CISA Tutup 10 Emergency Directive Sekaligus dalam Langkah Langka
Badan Keamanan Siber dan Infrastruktur Amerika Serikat, CISA, secara resmi menutup sekaligus 10 Emergency Directive yang diterbitkan antara 2019 hingga 2024. Penutupan massal ini disebut sebagai yang terbesar sepanjang sejarah CISA dan dilakukan setelah lembaga tersebut menilai bahwa seluruh tindakan yang diwajibkan telah diselesaikan atau kini telah tercakup dalam kebijakan lain yang masih berlaku.
CISA menjelaskan bahwa Emergency Directive diterbitkan untuk merespons ancaman siber yang mendesak dan bersifat sementara. Sesuai mandat hukum, arahan darurat ini hanya berlaku selama benar-benar dibutuhkan untuk menekan risiko dan meminimalkan dampak serangan.
Setelah melakukan peninjauan menyeluruh terhadap seluruh Emergency Directive yang masih aktif, CISA menyimpulkan bahwa kewajiban yang diatur di dalamnya telah berhasil diterapkan oleh lembaga federal sipil, atau sudah terakomodasi dalam Binding Operational Directive 22-01. Kebijakan tersebut berfokus pada pengurangan risiko signifikan dari kerentanan yang telah diketahui dan dieksploitasi secara aktif.
Binding Operational Directive 22-01 mengandalkan Known Exploited Vulnerabilities (KEV) Catalog sebagai acuan utama. Melalui katalog ini, CISA memberi peringatan kepada lembaga federal mengenai celah keamanan yang sedang dieksploitasi di dunia nyata, sekaligus menetapkan tenggat waktu wajib untuk melakukan penambalan sistem.
Sebanyak 10 Emergency Directive yang kini resmi ditutup mencakup berbagai insiden dan kerentanan besar yang pernah mengguncang lanskap keamanan siber, mulai dari manipulasi infrastruktur DNS, kerentanan kritis pada sistem Windows dan Microsoft Exchange, hingga kompromi besar seperti SolarWinds Orion dan produk Pulse Connect Secure. Beberapa arahan juga terkait dengan mitigasi kerentanan VMware serta respons terhadap dugaan kompromi oleh aktor negara terhadap sistem email korporat Microsoft.
CISA menegaskan bahwa banyak dari kerentanan yang menjadi dasar penerbitan Emergency Directive tersebut kini telah masuk ke dalam KEV Catalog. Dengan demikian, pengelolaannya dapat dilakukan secara berkelanjutan melalui mekanisme BOD 22-01, tanpa perlu mempertahankan status darurat terpisah.
Di bawah BOD 22-01, lembaga federal sipil diwajibkan menambal kerentanan sesuai tenggat waktu yang ditetapkan CISA. Secara umum, kerentanan dengan CVE sebelum 2021 harus diperbaiki dalam waktu hingga enam bulan, sementara celah yang lebih baru biasanya memiliki batas waktu dua minggu. Namun, CISA tetap memiliki kewenangan untuk menetapkan tenggat yang jauh lebih singkat jika tingkat risikonya dinilai sangat tinggi.
Sebagai contoh terbaru, beberapa lembaga federal pernah diwajibkan menambal kerentanan aktif pada perangkat Cisco hanya dalam waktu satu hari. Pendekatan ini mencerminkan fleksibilitas CISA dalam menyesuaikan kebijakan mitigasi berdasarkan tingkat ancaman aktual.
Langkah penutupan massal Emergency Directive ini menandai pergeseran menuju kerangka kerja mitigasi yang lebih terpusat dan berkelanjutan. CISA menilai bahwa pendekatan berbasis katalog kerentanan aktif memberikan keseimbangan antara respons cepat terhadap ancaman dan pengelolaan risiko jangka panjang bagi infrastruktur federal.
