Sistem senjata yang dikembangkan oleh Departemen Pertahanan AS rentan terhadap serangan dunia maya, yang berarti beberapa pelaku kejahatan dengan kemampuan meretas berpotensi mengendalikan senjata-senjata tersebut tanpa diketahui, menurut sebuah laporan baru oleh Kantor Akuntabilitas Pemerintah AS (GAO), yang dirilis Oktober 9.
Dan DOD tampaknya tidak menyadari ancaman: Meskipun tes yang dilakukan oleh DOD sendiri telah menunjukkan kerentanan seperti itu, pejabat departemen mengatakan kepada GAO bahwa mereka "percaya sistem mereka aman dan mengabaikan beberapa hasil tes sebagai tidak realistis," menurut laporan itu, yang didasarkan pada analisis uji cybersecurity DOD, kebijakan dan pedoman, serta wawancara DOD.
"Dengan menggunakan alat dan teknik yang relatif sederhana, penguji dapat mengendalikan sistem dan sebagian besar beroperasi tanpa terdeteksi, sebagian karena masalah dasar seperti manajemen kata sandi yang buruk dan komunikasi yang tidak terenkripsi," kata laporan itu.
Faktanya, satu tim pengujian memecahkan kata sandi administrator hanya dalam 9 detik. Seorang pejabat DOD mengatakan bahwa waktu pemecahan kata sandi bukanlah ukuran yang berguna untuk keamanan suatu sistem karena penyerang dapat menghabiskan waktu berbulan-bulan atau bertahun-tahun untuk mencoba masuk ke dalam sistem; dengan garis waktu itu, apakah perlu beberapa jam atau beberapa hari untuk menebak kata sandi tidak berarti. Namun, GAO mengatakan contoh seperti itu mengungkapkan betapa mudahnya melakukannya di DOD. (Penulis kabel Emily Dreyfuss melaporkan retakan kata sandi 9 detik pada 10 Oktober)
Analisis dan laporan itu diminta oleh Komite Angkatan Bersenjata Senat untuk mengantisipasi $ 1,66 triliun yang akan dikeluarkan DOD untuk mengembangkan "portofolio" sistem senjata utama saat ini.
Semakin lama, sistem senjata bergantung pada perangkat lunak untuk menjalankan fungsinya. Senjata-senjata itu juga terhubung ke internet dan senjata lain, menjadikannya lebih canggih, menurut GAO. Kemajuan ini juga membuat mereka "lebih rentan terhadap serangan cyber," kata GAO.
Setiap bagian dari sistem senjata yang didorong oleh perangkat lunak dapat diretas. "Contoh fungsi yang diaktifkan oleh perangkat lunak - dan berpotensi rentan terhadap kompromi - termasuk menyalakan dan mematikan sistem, menargetkan rudal, mempertahankan tingkat oksigen pilot, dan pesawat terbang," kata laporan GAO.
Meskipun DOD telah mulai melakukan perbaikan dalam cybersecurity selama beberapa tahun terakhir, GAO mengatakan, ia menghadapi beberapa tantangan, salah satunya adalah kurangnya berbagi informasi lintas program. Misalnya, "jika sistem senjata mengalami serangan dunia maya, pejabat program DOD tidak akan diberikan perincian spesifik tentang serangan itu dari komunitas intelijen karena jenis klasifikasi informasi itu," kata laporan itu.
Selain itu, DOD mengalami kesulitan dalam merekrut dan mempertahankan para ahli keamanan siber, kata laporan itu.
Meskipun GAO mengatakan tidak memiliki rekomendasi sekarang, agensi berpikir kerentanan yang terlihat dalam analisisnya "mewakili sebagian dari kerentanan total karena keterbatasan pengujian. Misalnya, tidak semua program telah diuji dan pengujian tidak mencerminkan jangkauan penuh dari ancaman. "
Artikel asli aktif Sains Langsung.