
Departemen Pertahanan Amerika Serikat (Pentagon) mengumumkan penundaan implementasi Fase 2 Cybersecurity Maturity Model Certification (CMMC) sambil membentuk tim tugas baru untuk melakukan peninjauan menyeluruh terhadap program sertifikasi keamanan siber bagi kontraktor pertahanan. Keputusan ini menandakan perubahan signifikan dalam pendekatan AS terhadap keamanan siber supply chain pertahanan di tengah meningkatnya ancaman dari aktor negara bagian.
APA YANG TERJADI?
Pentagon mengumumkan penundaan Fase 2 CMMC, yang dijadwalkan mulai berlaku untuk kontrak pertahanan baru. Sebagai gantinya, Pentagon membentuk tim tugas review dan reformasi baru yang akan melakukan peninjauan menyeluruh terhadap seluruh program CMMC — termasuk evaluasi terhadap efektivitas, beban biaya bagi kontraktor, dan kesesuaian dengan ancaman keamanan siber yang terus berkembang. Keputusan ini muncul di tengah meningkatnya kekhawatiran bahwa standar keamanan siber yang ada belum cukup untuk menghadapi teknik serangan yang semakin canggih, sementara di sisi lain kontraktor kecil dan menengah mengeluhkan beban biaya kepatuhan yang terlalu tinggi.
DETALIH TEKNIS
CMMC adalah framework sertifikasi keamanan siber yang dikembangkan oleh Pentagon untuk memastikan bahwa kontraktor pertahanan memenuhi standar keamanan yang memadai dalam melindungi Controlled Unclassified Information (CUI). Fase 1 yang berlaku saat ini hanya mencakup persyaratan dasar, sementara Fase 2 diharapkan membawa persyaratan yang lebih ketat termasuk third-party assessments. Penundaan ini berarti bahwa ribuan kontraktor pertahanan yang sudah menyiapkan diri untuk Fase 2 harus menunggu lebih lama, sementara ancaman terhadap supply chain pertahanan terus meningkat. Keputusan ini juga berimplikasi pada ribuan perusahaan keamanan siber yang mengembangkan solusi kepatuhan CMMC.
DAMPAK TERHADAP INDONESIA
Indonesia, sebagai negara yang mulai mengembangkan industri pertahanan dan siber militer, perlu memperhatikan perkembangan CMMC di AS karena beberapa alasan. Pertama, standar CMMC dapat menjadi referensi bagi pengembangan framework sertifikasi keamanan siber Indonesia di masa depan. Kedua, perusahaan Indonesia yang bermitra dengan kontraktor pertahanan AS harus memahami implikasi penundaan ini terhadap kontrak yang sedang berjalan. Ketiga, ini menjadi pelajaran penting bagi BSSN dan Kementerian Pertahanan Indonesia dalam mengembangkan framework sertifikasi keamanan siber yang seimbang antara efektivitas dan beban biaya bagi pelaku industri.
REKOMENDASI MITIGASI
Bagi organisasi Indonesia yang bermitra dengan sektor pertahanan AS, pantau perkembangan program CMMC secara berkala dan pertahankan persiapan kepatuhan meskipun ada penundaan. Manfaatkan waktu penundaan ini untuk memperkuat postur keamanan siber secara keseluruhan, bukan hanya untuk kepatuhan. Untuk organisasi Indonesia secara umum, gunakan perkembangan CMMC sebagai referensi dalam mengembangkan program keamanan siber yang terstruktur dan terukur.
Penundaan CMMC menunjukkan dilema klasik dalam keamanan siber: bagaimana menyeimbangkan perlindungan yang ketat dengan beban operasional yang realistis. Bagi Indonesia, ini menjadi pengingat bahwa framework keamanan siber harus dirancang dengan mempertimbangkan kapabilitas industri lokal.
Sumber: SecurityWeek
