CISA Perintahkan Lembaga Federal Ganti Perangkat Edge yang Sudah End-of-Life

CISA mengeluarkan binding operational directive terbaru yang mewajibkan seluruh lembaga federal Amerika Serikat untuk mengidentifikasi dan mengganti perangkat jaringan di sisi edge yang telah mencapai status end-of-life atau tidak lagi menerima pembaruan keamanan dari pabrikan.

Dalam peringatannya, CISA menegaskan bahwa perangkat edge yang sudah end-of-support—seperti router, firewall, dan switch jaringan—meninggalkan sistem federal dalam kondisi rentan terhadap eksploitasi terbaru. Perangkat tersebut dinilai menimbulkan risiko yang tidak proporsional dan tidak dapat diterima, terutama karena banyak di antaranya menjadi sasaran kampanye serangan aktif oleh aktor ancaman tingkat lanjut.

CISA menyebut ancaman eksploitasi terhadap sistem yang masih menjalankan perangkat edge end-of-support bersifat konstan dan signifikan. Kerentanan yang baru ditemukan kerap tidak dapat ditambal karena perangkat tersebut tidak lagi mendapatkan dukungan dari produsen, sehingga membuka peluang serangan siber yang berkelanjutan terhadap aset dan data pemerintah.

Arahan ini dituangkan dalam Binding Operational Directive 26-02 (BOD 26-02). Melalui kebijakan tersebut, lembaga federal diwajibkan untuk melakukan dekomisioning perangkat keras dan perangkat lunak jaringan yang telah mencapai akhir masa dukungan guna mencegah penyalahgunaan oleh aktor ancaman canggih.

BOD 26-02 mengatur beberapa tenggat waktu penting. Lembaga diwajibkan segera mengambil tindakan terhadap perangkat yang masih didukung vendor tetapi menjalankan perangkat lunak end-of-support selama pembaruan masih tersedia. Selain itu, dalam waktu tiga bulan, setiap lembaga harus menyusun inventaris seluruh perangkat yang tercantum dalam daftar end-of-support milik CISA.

Perangkat yang telah mencapai status end-of-support sebelum kebijakan ini diterbitkan harus dinonaktifkan dalam waktu maksimal 12 bulan. Selanjutnya, dalam jangka waktu 18 bulan, seluruh perangkat edge end-of-support yang teridentifikasi wajib diganti dengan perangkat baru yang masih menerima pembaruan keamanan resmi dari vendor.

CISA juga mengharuskan lembaga federal untuk membangun proses penemuan berkelanjutan dalam waktu 24 bulan. Proses ini bertujuan memastikan identifikasi dini terhadap perangkat edge yang mendekati masa end-of-support, sekaligus menjaga inventaris perangkat keras dan perangkat lunak tetap mutakhir.

Meski kebijakan ini secara khusus berlaku bagi lembaga di bawah Federal Civilian Executive Branch (FCEB), CISA mendorong seluruh pengelola jaringan, termasuk sektor swasta dan infrastruktur kritis, untuk mengikuti panduan yang sama. Langkah tersebut dinilai penting guna melindungi sistem, data, dan operasional dari kelompok ancaman yang secara aktif menargetkan perangkat jaringan di sisi edge.

Kebijakan terbaru ini melanjutkan pendekatan tegas CISA dalam mengamankan infrastruktur pemerintah. Sebelumnya, pada 2023, CISA juga mewajibkan pengamanan antarmuka manajemen jaringan yang salah konfigurasi atau terekspos ke internet, serta memperkenalkan program peringatan kerentanan ransomware bagi organisasi infrastruktur kritis.