WASHINGTON, D.C. – Direktur Cybersecurity Infrastructure Security Agency (Badan Keamanan Infrastruktur Siber atau CISA), Jen Easterly, mengumumkan inisiatif transformatif yang bertujuan mengubah lanskap keamanan siber global dengan mengalihkan tanggung jawab keamanan dari konsumen individu kepada produsen perangkat lunak. Inisiatif "Security by Design and Default" (Keamanan Sejak Desain dan Bawaan) ini diperkenalkan dalam diskusi fireside chat (obrolan santai) di Aspen Institute pada Juni 2023, menandai perubahan paradigma fundamental dalam pendekatan keamanan teknologi.1
Pergeseran Beban Keamanan Siber
Selama bertahun-tahun, konsumen dan usaha kecil menanggung beban terberat dalam menghadapi ancaman siber. Easterly menegaskan bahwa norma industri yang ada telah menerima begitu saja bahwa teknologi dipasarkan dengan kerentanan bawaan.1 Pola pikir ini menciptakan situasi tidak adil di mana individu tanpa kapasitas teknis memadai dipaksa menangani ancaman kompleks. Hasilnya? Respons tidak efektif terhadap ancaman siber yang terus berkembang.
Konsep "secure by design and default" menuntut produsen perangkat lunak mempertimbangkan kerentanan sejak tahap awal pengembangan. Produk harus hadir dalam kondisi aman sehingga konsumen justru perlu melakukan tindakan proaktif untuk mengurangi keamanan, bukan sebaliknya.1 Misalnya, penggunaan bahasa pemrograman memory-safe (aman memori) seperti Rust, Python, dan Java dapat mengurangi kerentanan terkait memory unsafety (ketidakamanan memori) yang bertanggung jawab atas hampir dua pertiga dari seluruh kerentanan perangkat lunak.
Multi-Factor Authentication sebagai Standar Bawaan
Salah satu implementasi konkret adalah Multi-Factor Authentication (Autentikasi Multi-Faktor atau MFA) yang diaktifkan secara bawaan pada produk.1 Dengan pendekatan ini, pengguna harus secara sengaja menonaktifkan MFA jika menginginkan keamanan lebih rendah, berbeda dengan praktik saat ini yang mengharuskan pengguna mengaktifkan MFA secara manual. MFA sendiri telah terbukti menjadi standar baru dalam keamanan siber, dengan pasar global diproyeksikan mencapai 53 miliar dolar AS pada tahun 2030.2
| Aspek 🔐 | Pendekatan Lama ❌ | Secure by Design ✅ |
|---|---|---|
| Tanggung Jawab Keamanan | Konsumen dan usaha kecil | Produsen perangkat lunak |
| Kondisi Produk | Rentan secara bawaan | Aman sejak awal |
| Bahasa Pemrograman | Bahasa konvensional dengan risiko tinggi | Memory-safe languages (Rust, Python, Java) |
| Autentikasi | MFA harus diaktifkan manual | MFA aktif secara default |
| Insentif Pasar 💰 | Kecepatan ke pasar | Keamanan dan kualitas |
| Informasi Konsumen 📊 | Minim transparansi keamanan | Label keamanan yang jelas |
| Respons Ancaman | Individual dan reaktif | Kolaboratif dan proaktif |
Transformasi Insentif Pasar melalui Edukasi Konsumen
CISA bertujuan mengubah dinamika pasar dengan membantu konsumen mengenali dan menuntut keamanan dari produsen. Ketidakselarasan historis antara insentif bisnis—yang mengutamakan kecepatan peluncuran produk dibanding keamanan—telah meninggalkan perangkat lunak penuh kerentanan.1 Untuk mengatasi hal ini, CISA dan Gedung Putih mendorong perusahaan mengimplementasikan langkah proaktif seperti pelabelan keamanan yang menginformasikan konsumen tentang fitur keamanan perangkat lunak dan perangkat yang mereka beli.
Dengan informasi tersebut, konsumen dapat menilai tingkat keamanan produk sebelum pembelian dan menggeser permintaan pasar ke produk yang secara desain lebih aman. Easterly membuat analogi dengan sabuk pengaman pada mobil: seiring waktu, secure by design and default akan menjadi hal lumrah dan konsumen akan memahami seperti apa keamanan yang sesungguhnya serta menuntutnya.1 Tren global menunjukkan peningkatan kesadaran ini, dengan Ghana misalnya, baru saja meluncurkan buku yang merayakan transformasi mereka menjadi negara tier one (tingkat satu) dalam keamanan siber.3
Kolaborasi Publik-Swasta dalam Menghadapi Ancaman
Kemitraan proaktif dengan model "default to share" (berbagi secara bawaan) antara sektor publik dan swasta menjadi krusial dalam melawan ancaman siber yang disponsori negara maupun aktor non-negara. Merespons ancaman seperti LOG4J, kerentanan MOVEit, dan serangan VOLT TYPHOON dari China, CISA fokus membangun respons komunitas dengan entitas sektor swasta.1 Prinsipnya sederhana: ancaman terhadap satu pihak adalah ancaman terhadap semua pihak.
CISA berupaya menormalisasi kerja sama dan pertukaran informasi antara sektor publik dan swasta melalui kampanye seperti SHIELDS UP serta kolaborasi dengan pemangku kepentingan pemilu untuk memperkuat ketahanan siber, operasional, dan sosial.1 Pendekatan kolaboratif ini semakin relevan mengingat 82 persen sekolah K-12 mengalami insiden siber yang menargetkan data siswa, seperti dilaporkan dalam pelatihan keamanan siber terbesar di Amerika yang diselenggarakan CCISD.4 Amazon juga baru-baru ini mengeluarkan peringatan tentang kelompok negara yang menggabungkan intrusi siber dengan penargetan kinetik.5
Tantangan Artificial Intelligence Generatif
Easterly membahas pandangan CISA bahwa diperlukan langkah regulasi seputar Generative AI (Kecerdasan Buatan Generatif) dan perusahaan harus menerapkan regulasi mandiri seputar kasus penggunaan hingga keseimbangan tepat antara inovasi dan regulasi ditemukan.1 Potensi revolusioner AI generatif terhadap masyarakat juga membuka pintu penyalahgunaan. Keinginan untuk "bergerak cepat dan merusak hal-hal" dapat menghasilkan konsekuensi negatif yang tidak terduga, memerlukan kehati-hatian dalam ruang ini.
Rekomendasi Implementasi untuk Perusahaan
Sebagai respons terhadap inisiatif CISA, perusahaan disarankan melakukan beberapa tindakan strategis. Pertama, evaluasi risiko dalam software development life cycle (siklus hidup pengembangan perangkat lunak) produk mereka dengan membiasakan diri dengan standar NIST untuk secure-by-design dan Secure Software Development Framework (Kerangka Kerja Pengembangan Perangkat Lunak Aman atau SSDF).1 SSDF merupakan kerangka kerja yang direkomendasikan untuk mengurangi risiko kerentanan perangkat lunak dengan menambahkan praktik pengembangan perangkat lunak aman tingkat tinggi ke setiap siklus hidup pengembangan.6
Kedua, konsumen—termasuk perusahaan dan individu—perlu meninjau kembali perjanjian pembelian dalam lisensi perangkat lunak untuk memahami garansi dan ganti rugi serta menilai opsi untuk memastikan persyaratan menguntungkan.1 Ketiga, perusahaan harus mengembangkan rencana pengungkapan kerentanan dan mempertimbangkan menggabungkan proses tersebut ke dalam rencana respons insiden yang ada. Program pengungkapan kerentanan dan bug bounty programs (program hadiah atas temuan bug) tetap menjadi alat berharga yang harus dipertimbangkan sebagai bagian dari program penilaian kerentanan komprehensif.
Keempat, sosialisasikan konsep security by design and default kepada dewan direksi dan manajemen senior. Mengingat posisi SEC dalam regulasi siber baru untuk penerbit, peran dewan dalam keamanan siber dipastikan akan berkembang.1 Meskipun dewan kemungkinan tidak akan menyelami detail teknis mengenai security by design, baik dewan maupun manajemen senior perlu memahami prinsip dan dampaknya terhadap pengembangan produk.
Kesimpulan
Inisiatif CISA menandai titik balik penting dalam sejarah keamanan siber dengan mengalihkan tanggung jawab fundamental dari konsumen kepada produsen teknologi. Pendekatan ini sejalan dengan National Cybersecurity Strategy (Strategi Keamanan Siber Nasional) Gedung Putih dan Executive Order (Perintah Eksekutif) Mei 2021 tentang Peningkatan Keamanan Siber Bangsa. Dengan menormalisasi keamanan sebagai fitur bawaan—bukan tambahan opsional—CISA membuka jalan menuju ekosistem digital yang lebih aman bagi semua pengguna, dari individu hingga institusi besar. Transformasi budaya ini memerlukan kerja sama semua pemangku kepentingan: produsen yang berkomitmen pada keamanan sejak desain, konsumen yang sadar akan hak mereka atas produk aman, dan pemerintah yang memfasilitasi transisi melalui regulasi dan edukasi. Masa depan keamanan siber tidak lagi bertumpu pada bahu konsumen individual, melainkan pada tanggung jawab bersama dengan produsen teknologi sebagai garda terdepan.
Daftar Pustaka
- Thomas, S.D. (2023, 14 Agustus). Security by Design and Default: CISA Looks to Drive Changes in Manufacturer Responsibility, Consumer Education and Private-Public Information Sharing. Debevoise Data Blog. https://www.debevoisedatablog.com/2023/08/14/security-by-design-and-default-cisa-looks-to-drive-changes-in-manufacturer-responsibility-consumer-education-and-private-public-information-sharing/
- Global Multi-Factor Authentication (MFA) Market to Reach $53 Billion by 2030. (2023, 9 Maret). Yahoo Finance. https://finance.yahoo.com/news/global-multi-factor-authentication-mfa-131400167.html
- Ghana's Cybersecurity Status Celebrated in New Book. (2025, 4 Desember). Graphic Online. https://www.graphic.com.gh/news/general-news/ghana-news-ghanas-cybersecurity-status-celebrated-in-new-book.html
- CCISD Hosts Nation's Largest Cybersecurity Training as 82% of Schools Face Cyber Incidents. (2025, 3 Desember). KRIS TV. https://www.kristv.com/news/local-news/in-your-neighborhood/corpus-christi/westside/ccisd-hosts-nations-largest-cybersecurity-training-as-82-of-schools-face-cyber-incidents
- Amazon Sounds Alarm as Nation-State Groups Blend Cyber Intrusion With Kinetic Targeting. (2025, 3 Desember). Homeland Security Today. https://www.hstoday.us/subject-matter-areas/cybersecurity/amazon-sounds-alarm-as-nation-state-groups-blend-cyber-intrusion-with-kinetic-targeting/
- Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF). (2019, 10 Juni). Homeland Security Today. https://www.hstoday.us/subject-matter-areas/cybersecurity/mitigating-the-risk-of-software-vulnerabilities-by-adopting-a-secure-software-development-framework-ssdf/
