Ketua Komite Intelijen Senat Amerika Serikat, Tom Cotton, menyuarakan kekhawatiran serius mengenai peran yang terlalu besar dari pihak asing, khususnya negara-negara musuh, dalam ekosistem perangkat lunak sumber terbuka (open-source software/OSS). Senator dari Arkansas ini secara resmi meminta Direktur Siber Nasional, Sean Cairncross, untuk mengambil langkah-langkah konkret guna menanggulangi risiko yang ditimbulkan oleh potensi penyusupan dan eksploitasi ini. Kekhawatiran ini muncul di tengah laporan yang menunjukkan bahwa pengembang perangkat lunak yang disponsori negara dan kelompok spionase siber telah mulai memanfaatkan lingkungan komunal OSS, yang secara inheren mengasumsikan niat baik dari para kontributor, untuk menyisipkan kode berbahaya ke dalam basis kode sumber terbuka yang digunakan secara luas.
Dalam suratnya kepada Direktur Siber Nasional Sean Cairncross pada hari Kamis, Senator Cotton secara spesifik menyoroti beberapa insiden dan tren yang mengkhawatirkan. Ia merujuk pada peringatan tahun lalu tentang seorang peretas bayangan yang diduga disponsori negara, Jia Tan, yang berhasil menyisipkan pintu belakang (backdoor) ke dalam versi beta utilitas kompresi XZ Utils. Selain itu, Cotton juga mencatat kasus seorang pengembang yang berbasis di Rusia yang menjadi satu-satunya pemelihara (sole maintainer) sebuah perangkat lunak sumber terbuka yang digunakan dalam paket perangkat lunak Departemen Pertahanan AS. Kekhawatiran juga diperparah dengan fakta bahwa perusahaan teknologi raksasa Tiongkok seperti Alibaba dan Huawei tercatat sebagai kontributor utama dalam proyek-proyek OSS global, menimbulkan pertanyaan tentang potensi pengaruh asing.
Menyadari peran krusial Kantor Direktur Siber Nasional (ONCD) dalam mengoordinasikan implementasi kebijakan siber nasional dan keamanan siber di seluruh pemerintahan, Senator Cotton mendesak Cairncross untuk memimpin upaya pemerintah AS dalam mengatasi kerentanan lintas sektor ini. “Sebagai Kantor Direktur Siber Nasional yang bertanggung jawab untuk mengoordinasikan implementasi kebijakan siber nasional dan keamanan siber di seluruh pemerintahan, Anda berada dalam posisi yang tepat untuk memimpin pemerintah AS dalam mengatasi kerentanan lintas sektor ini,” tulis Cotton. Ia secara hormat meminta Cairncross untuk mengambil langkah-langkah guna membangun kemampuan pemerintah federal dalam menjaga kesadaran akan asal-usul (provenance) dan pengaruh asing pada OSS, serta melacak kontribusi dari pengembang di negara-negara musuh.
Surat dari Senator Cotton ini menambah daftar panjang peringatan yang telah disuarakan oleh Kongres AS tahun ini mengenai risiko yang ditimbulkan oleh keterlibatan Tiongkok dalam teknologi sumber terbuka. Sebelumnya, komite seleksi DPR AS untuk Tiongkok juga telah mengirimkan surat kepada Menteri Perdagangan era Biden, Gina Raimondo, mengenai masalah serupa. Meskipun ada upaya legislatif untuk meningkatkan keamanan siber sumber terbuka, rancangan undang-undang yang dirancang untuk tujuan ini gagal maju di Senat setelah diperkenalkan oleh para pembuat undang-undang terkemuka pada tahun 2023, menunjukkan tantangan dalam menerjemahkan kekhawatiran menjadi tindakan legislatif yang konkret.
Senator Cotton menekankan bahwa perangkat lunak sumber terbuka merupakan komponen integral dari sistem pemerintahan dan pertahanan yang kritis. Pentingnya masalah ini juga telah diakui oleh Departemen Pertahanan. Pada bulan Juli, Menteri Pertahanan Pete Hegseth memerintahkan kepala informasi Pentagon untuk mengambil langkah-langkah guna menjaga dari pengaruh asing dalam teknologi departemen. Hegseth secara tegas menyatakan, “DoD tidak akan mengadakan perangkat keras atau perangkat lunak apa pun yang rentan terhadap pengaruh asing yang bermusuhan yang menimbulkan risiko terhadap pencapaian misi dan harus mencegah musuh-musuh tersebut memperkenalkan kemampuan berbahaya ke dalam produk dan layanan yang digunakan oleh Departemen.”
Namun, di tengah seruan untuk memperkuat pertahanan siber, sebuah perintah eksekutif dari pemerintahan Trump tahun ini justru membingungkan para ahli dengan menghapus bahasa dari perintah eksekutif pemerintahan Biden sebelumnya yang menekankan pentingnya perangkat lunak sumber terbuka. Kontradiksi kebijakan ini menyoroti kompleksitas dan perdebatan yang sedang berlangsung di Washington mengenai pendekatan terbaik untuk mengelola risiko dan memanfaatkan potensi perangkat lunak sumber terbuka dalam konteks keamanan nasional.
Secara keseluruhan, peringatan dari Senator Cotton menggarisbawahi urgensi untuk mengembangkan strategi nasional yang komprehensif dan terkoordinasi guna melindungi infrastruktur kritis dan sistem pemerintahan dari eksploitasi perangkat lunak sumber terbuka oleh aktor asing. Dengan semakin dalamnya integrasi OSS ke dalam setiap aspek teknologi modern, kemampuan untuk mengidentifikasi, melacak, dan menetralkan ancaman yang berasal dari lingkungan ini menjadi sangat penting bagi keamanan siber Amerika Serikat.
Sumber: cyberscoop.com