CISA Perintahkan Agen Pemerintah AS Tambal Celah Keamanan Kritis dalam 3 Hari

Badan Keamanan Siber dan Infrastruktur AS (Cybersecurity and Infrastructure Security Agency atau CISA) resmi menerbitkan direktif operasional mengikat baru bernama Binding Operational Directive (BOD) 26-04. Aturan ketat ini mewajibkan seluruh agen eksekutif sipil federal (Federal Civilian Executive Branch / FCEB) untuk mempercepat proses penambalan (patching) celah keamanan berisiko tinggi guna menekan potensi serangan siber di sektor publik.

Melalui direktif baru ini, beberapa kerentanan kritis yang dinilai sangat berbahaya wajib diperbaiki dalam kurun waktu yang sangat singkat, bahkan hingga paling lambat tiga hari setelah diumumkan. Langkah ini diambil karena CISA melihat taktik kelompok peretas yang kini jauh lebih agresif dalam mengeksploitasi sistem pemerintahan. BOD 26-04 ini secara resmi menggantikan dan mencabut aturan lama, yaitu BOD 19-02 (rilisan 2019) dan BOD 22-01 (rilisan 2021).

Empat Parameter Penentu Urgensi Patching

CISA merancang skala prioritas penambalan sistem ini berdasarkan kombinasi dari empat faktor pertimbangan utama:

1. Eksposur Publik: Apakah aset atau infrastruktur digital tersebut terhubung dan terekspos langsung ke jaringan internet publik.
2. Katalog KEV CISA: Apakah celah keamanan tersebut sudah terdaftar di dalam katalog Known Exploited Vulnerabilities (KEV) milik CISA, yang menandakan celah tersebut sedang aktif dieksploitasi oleh peretas di dunia nyata.
3. Potensi Otomatisasi: Apakah eksploitasi celah keamanan tersebut dapat diotomatisasi menggunakan skrip/bot untuk melancarkan serangan siber skala masif secara acak.
4. Tingkat Kendali Sistem: Apakah keberhasilan eksploitasi memberikan kontrol sebagian atau kendali penuh (total control) bagi penyerang atas sistem yang disusupi.

Jika suatu celah memenuhi kriteria kritis di atas, agen pemerintah wajib menyelesaikan penambalan dalam waktu 3 hari. Sementara untuk kasus yang dinilai kurang mendesak—seperti eksploitasi yang tidak bisa diotomatisasi atau hanya memberikan kendali sistem sebagian—CISA memberikan tenggat waktu yang sedikit lebih longgar, yaitu dua minggu.

Cakupan Aturan dan Tahapan Implementasi

Direktif BOD 26-04 ini mengikat secara hukum bagi seluruh sistem informasi yang dioperasikan oleh kementerian dan lembaga sipil federal AS. Aturan ini mencakup infrastruktur komputer lokal (on-premise), sistem yang dikelola oleh pihak ketiga, hingga lingkungan komputasi awan baik yang bersertifikasi FedRAMP maupun non-FedRAMP.

Kendati demikian, aturan siber ini tidak berlaku untuk sistem militer tertentu di bawah Departemen Perang AS, komunitas intelijen, perusahaan swasta, dan vendor kontraktor independen. Meskipun demikian, standar CISA ini biasanya kerap diadopsi secara sukarela oleh industri keamanan siber swasta global sebagai acuan manajemen risiko.

Guna memastikan kepatuhan, CISA menetapkan lini masa adaptasi bagi agen federal sebagai berikut:

• 60 Hari Pertama: Setiap agen harus memperbarui kebijakan manajemen kerentanan internal mereka dan mengintegrasikan basis data CVE (Common Vulnerabilities and Exposures) serta KEV CISA sebagai landasan keputusan mitigasi.
• 180 Hari (6 Bulan): Seluruh agen wajib sepenuhnya mematuhi tenggat waktu penambalan baru (3 hari atau 2 minggu), serta mengotomatisasikan pelaporan metadata aset secara berkala ke pusat pemantauan CISA.

Sumber: Cybersecurity and Infrastructure Security Agency (CISA) Official Directive