Peretasan SolarWinds yang baru-baru ini terungkap terbuka seperti adegan dari film horor: Para korban dengan panik membarikade pintu, hanya untuk menemukan bahwa musuh telah bersembunyi di dalam rumah sepanjang waktu. Selama berbulan-bulan, penyusup telah berkeliaran liar di dalam jaringan pemerintah negara, hampir di semua Nasib 500, dan ribuan perusahaan dan organisasi lain. Pelanggaran — diyakini sebagai pekerjaan agen mata-mata elit Rusia — menembus Pentagon, laboratorium nuklir, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri (DHS), dan kantor lain yang menggunakan perangkat lunak pemantau jaringan yang dibuat oleh SolarWinds yang berbasis di Texas . Badan intelijen dan prajurit cyber Amerika tidak pernah mendeteksi adanya masalah. Sebaliknya, pembobolan tersebut ditangkap oleh firma keamanan siber FireEye, yang juga menjadi korbannya.

Tingkat kerusakan sepenuhnya tidak akan diketahui selama berbulan-bulan, mungkin bertahun-tahun. Yang jelas, ini sangat besar— “risiko besar bagi pemerintah federal… serta entitas infrastruktur penting dan organisasi sektor swasta lainnya,” kata Badan Keamanan Siber dan Keamanan Infrastruktur DHS, sebuah organisasi yang tidak dikenal hiperbola.

[Amy Zegart: America’s misbegotten cyber strategy]

Pertanyaan langsungnya adalah bagaimana menanggapinya. Presiden terpilih Joe Biden mengeluarkan pernyataan yang bersumpah untuk “mengganggu dan mencegah musuh kita melakukan serangan dunia maya yang signifikan sejak awal” dengan “mengenakan biaya yang substansial.” Anggota Kongres jauh lebih tidak terukur, mengeluarkan ancaman pembalasan yang semakin kuat. Itu adalah momen bipartisan yang aneh di mana Senat Demokrat liberal terdengar seperti House of Republicans yang hawkish, mengeluarkan pernyataan tentang “hampir sebuah deklarasi perang” dan kebutuhan untuk “tanggapan besar-besaran.”

Semua pembicaraan yang sulit ini terasa meyakinkan, terutama dengan jangkrik yang datang dari Gedung Putih. Tetapi berasumsi bahwa menghukum Rusia sekarang akan menghentikan Rusia nanti adalah kesalahan. Pencegahan dunia maya kemungkinan besar akan gagal.

Satu-satunya hal yang universal tentang pencegahan adalah keyakinan yang salah arah pada penerapannya. Pada kenyataannya, pencegahan bekerja dalam keadaan yang sangat terbatas: ketika pelakunya dapat diidentifikasi dengan cepat, ketika perilakunya telah melewati garis merah yang jelas yang mendefinisikan perilaku yang tidak dapat diterima, dan ketika hukuman untuk melewatinya dapat dipercaya dan diketahui sebelumnya oleh calon penyerang. Kondisi seperti ini jarang terjadi di dunia maya.

Atribusi pelanggaran seringkali sulit dan memakan waktu. Mendefinisikan garis merah itu menjengkelkan: Ketika serangan siber Korea Utara di studio film Hollywood disebut sebagai tindakan perang, tetapi campur tangan Rusia dalam pemilihan presiden tidak memicu banyak hal, wajar untuk mengatakan bahwa garis merah tidak cukup jelas. Dan karena persenjataan senjata siber Amerika — peretasan, virus, dan cara lain untuk menargetkan kerentanan jaringan — bisa menjadi tidak berguna jika terungkap, hukuman tit-for-tat yang secara kredibel mengancam untuk menimbulkan rasa takut ke dalam hati para peretas tidaklah mungkin. Yang pasti, suatu negara bisa merespon serangan siber dengan cara lain. Tetapi jika Anda mencari tahu sanksi apa yang mungkin akan Anda berikan atau berapa banyak diplomat yang mungkin Anda keluarkan setelah itu, Anda tidak menghalangi. Anda hanya menanggapi. Agar pencegahan berhasil, pelaku kejahatan harus tahu hukuman apa yang akan datang — dan takut akan hal itu — sebelum mereka bertindak.

[David A. Graham: There’s a reason the election went so smoothly]

Terlebih lagi, sejauh ini peretasan baru-baru ini tampak seperti jenis pelanggaran yang paling tidak dapat dihindari — cyberespionage. Meskipun beberapa mata-mata di dunia maya adalah tindakan pembuka untuk perilaku yang lebih agresif, indikasi awal menunjukkan bahwa operasi SolarWinds adalah upaya pengumpulan intelijen, bukan serangan dunia maya yang dimaksudkan untuk mengganggu, merusak, atau menghancurkan. Spionase hampir tidak mungkin untuk dicegah di dunia maya karena alasan yang sama yang tidak dapat dicegah di tempat lain: Semua orang melakukannya. Semua negara memata-matai. Spionase tidak pernah dilarang oleh hukum internasional. Selama 3.300 tahun, sejak orang-orang di Timur Dekat memahat laporan intelijen pertama yang diketahui tentang tablet tanah liat, mata-mata dianggap sebagai permainan yang adil.

Amerika Serikat terlibat dalam spionase dunia maya dalam skala besar sepanjang waktu. Pada 2015, setelah Tiongkok meretas Kantor Manajemen Personalia dan mencuri 22 juta catatan izin keamanan yang sangat rahasia, James Clapper, yang saat itu menjabat sebagai direktur intelijen nasional, menyatakan, “Anda harus memberi hormat kepada Tiongkok atas apa yang mereka lakukan. Jika kami memiliki kesempatan untuk melakukan itu, saya rasa kami tidak akan ragu-ragu sebentar. ” Sulit untuk menetapkan garis merah yang meyakinkan terhadap spionase ketika setiap negara telah melewatinya selamanya.

Maklum, pejabat Amerika menghadapi tekanan politik dalam negeri yang intens untuk berbicara keras sekarang dan mencari tahu detailnya nanti. Tetapi ancaman kosong dapat merusak kredibilitas musuh di masa depan. Seperti yang suka dikatakan mantan Menteri Luar Negeri George Shultz, dia belajar di Korps Marinir untuk tidak pernah mengarahkan senapannya ke seseorang kecuali dia bermaksud menembak.

Pendekatan yang lebih efektif untuk administrasi Biden yang masuk adalah kembali ke dasar dan fokus pada pencegahan intrusi dunia maya dan bangkit kembali dengan lebih mudah dari yang pasti berhasil lolos. Meskipun upaya keamanan siber telah menjadi jauh lebih baik dalam dekade terakhir, mereka masih kurang bertenaga, kekurangan sumber daya, dan terlalu terfragmentasi. Banyak lembaga pemerintah masih berjuang untuk memenuhi standar kebersihan dunia maya dan manajemen risiko. Badan Keamanan Siber dan Infrastruktur yang masih muda telah meningkatkan koordinasi keamanan siber sektor publik dan swasta (termasuk melindungi pemilu 2020). Namun badan tersebut baru berusia dua tahun dan hanya memiliki 2.200 karyawan untuk membantu mengamankan jaringan vital Amerika. National Park Service, sebaliknya, memiliki hampir 10 kali lebih banyak orang untuk mengamankan tujuan liburan Amerika. Mungkin yang paling penting, uang pertahanan siber saat ini tidak berhenti di mana-mana: Pemerintahan Trump menghapuskan kantor direktur siber Gedung Putih, sebuah langkah yang sangat keliru sehingga komisi bipartisan dan pemungutan suara bipartisan Kongres baru-baru ini menyerukan untuk membangunnya kembali.

Keamanan siber yang lebih baik juga membutuhkan peningkatan permainan intelijen Amerika sendiri. Ini termasuk memprioritaskan upaya kontraintelijen untuk menembus dinas intelijen negara lawan dan operasi dunia maya mereka — untuk lebih memahami cara mereka bekerja; untuk pincang aktivitas mereka; dan untuk membuat mereka meragukan keterpercayaan orang-orang, sistem, dan informasi mereka sendiri. Sukses tidak hanya membutuhkan teknologi tetapi juga bakat — operator yang dapat membujuk orang asing untuk mengkhianati negara mereka untuk melayani negara kita. Malware SolarWinds tidak hanya membuat dirinya sendiri. Manusia menciptakannya. Dan dimanapun ada manusia, kecerdasan manusia dapat membuat perbedaan.

Sejarah intelijen juga menyarankan pendekatan lain untuk menangani Rusia: membuat versi dunia maya dari apa yang oleh veteran CIA Jack Devine disebut sebagai “aturan Moskow”. Sebagai produk dari Perang Dingin, ini adalah norma informal yang diterima bersama yang secara bertahap dibentuk oleh kepala mata-mata Soviet dan Amerika untuk saling berhubungan. Aturan Moskow tidak berhenti memata-matai atau konflik. Tetapi mereka mencegah ketegangan meningkat dan memicu perang nuklir.

Ketika petugas CIA yang menyamar sebagai diplomat AS ditangkap di Uni Soviet, mereka tidak dieksekusi atau dijatuhi hukuman seumur hidup di gulag — tindakan yang bisa membuat Perang Dingin memanas. Sebaliknya, mereka “PNG’d” – menyatakan persona non grata dan dipaksa meninggalkan negara itu. Hal yang sama terjadi pada perwira intelijen Rusia yang menyamar sebagai diplomat di Washington jika ketahuan melakukan spionase. Aturan Moskow juga melibatkan pertukaran mata-mata sesekali, di mana masing-masing pihak membebaskan orang-orang yang ditangkap bekerja untuk pihak lain. Terakhir kali ini terjadi adalah pada tahun 2010, ketika AS memperdagangkan 10 “agen tidur” Rusia yang ditemukan di Amerika Serikat untuk empat aset Amerika dan Inggris. Aturan Moskow jelas tidak sempurna dan tidak selalu diikuti. Namun selama Perang Dingin, aturan membuat perbedaan.

Khususnya, peraturan Moskow tidak memerlukan deklarasi formal tentang norma, perjanjian, atau pertemuan puncak. Ini adalah pengaturan yang tenang, bukan pernyataan yang keras. Mereka hanya melibatkan dua negara, bukan lembaga multilateral. Dan mereka dibentuk oleh insentif yang keras, bukan angan-angan. Masing-masing pihak tahu bahwa itu akan menguntungkan jika keduanya mematuhi aturan dan berdiri untuk kalah jika tidak. Karena kegiatan memata-matai adalah konstan, semua orang tahu mereka sedang memainkan apa yang oleh para ahli teori keputusan disebut “permainan berulang”; jika satu pihak melanggar aturan Moskow kali ini, pihak lain dapat membalas di masa depan, dan semuanya bisa terurai.

Di dunia saat ini, orang Rusia dan Amerika tidak memiliki kepentingan yang sama dalam mengelola semua potensi konflik dunia maya mereka. Tapi satu bidang menonjol: sistem komputer yang terkait dengan senjata nuklir. Peretasan yang menembus sistem semacam itu dapat mengubah cara mereka beroperasi, membuat kecelakaan nuklir lebih mungkin terjadi. Dan bahkan jika peretasan tidak mengubah apa pun, pihak lain tidak akan pernah bisa memastikan. Hanya dengan menemukan bukti pelanggaran dapat merusak kepercayaan bahwa sistem nuklir akan berfungsi sebagaimana mestinya, membuat kesalahan perhitungan lebih mungkin terjadi dan memberikan insentif yang lebih kuat kepada negara yang dilanggar untuk membangun lebih banyak senjata dan menyerang lebih dulu — untuk berjaga-jaga. Aturan era siber Moskow untuk menempatkan jaringan dan sistem yang berhubungan dengan nuklir di luar batas untuk intervensi dari luar — termasuk spionase dunia maya — adalah tempat yang menjanjikan untuk memulai.

Konflik siber akan terus ada, dan pembuat kebijakan harus mengetahui dengan jelas langkah-langkah apa yang sebenarnya akan membuat kita lebih aman. Kedengarannya sulit. Bertindak dengan niat yang kuat — melalui pertahanan dan ketahanan yang lebih kuat, intelijen yang lebih baik, dan, jika memungkinkan, aturan informal keterlibatan dunia maya untuk menjaga ketegangan agar tidak lepas kendali.

.