Aturan Baru Cyber Essentials Tutup Celah Keamanan MFA, Namun Tinggalkan Sejumlah Organisasi dalam Kebingungan
Baca dalam 60 detik
- Mulai 27 April, pembaruan Cyber Essentials v3.3 mewajibkan penggunaan Multi-Factor Authentication (MFA) sebagai syarat mutlak kelulusan sertifikasi tanpa pengecualian.
- Aturan ketat ini mengancam organisasi yang tidak bisa menggunakan MFA konvensional (SMS/Aplikasi) karena alur kerja mereka, seperti pekerja terminal sistem kereta api yang memburu waktu dan relawan yayasan amal yang berganti-ganti.
- Solusi yang cepat dan sesuai aturan sebenarnya tersedia melalui autentikasi FIDO2 (seperti pemindaian lencana NFC), namun kurangnya panduan dari pihak penyelenggara membuat banyak organisasi kebingungan dan berisiko kehilangan sertifikasi penting mereka.
Mulai 27 April mendatang, skema sertifikasi keamanan yang didukung pemerintah Inggris, Cyber Essentials v3.3, akan resmi berlaku. Untuk pertama kalinya, multi-factor authentication (MFA) menjadi persyaratan mutlak yang menentukan kelulusan sebuah organisasi untuk mendapatkan sertifikasi tersebut.
Fakta Kunci Aturan Baru Cyber Essentials:
- Syarat Mutlak: Jika layanan komputasi awan yang digunakan organisasi menawarkan MFA namun tidak diaktifkan, organisasi tersebut otomatis gagal mendapatkan sertifikasi tanpa ada pengecualian.
- Langkah Tepat: Kebijakan dari National Cyber Security Centre (NCSC) dan IASME ini dinilai sebagai langkah yang tepat karena MFA adalah kontrol paling efektif terhadap serangan pencurian kredensial.
- Dampak Tak Terduga: Aturan ketat ini mengancam sejumlah organisasi dengan lingkungan kerja spesifik yang tidak cocok menggunakan metode MFA konvensional (seperti SMS atau aplikasi autentikator di ponsel pribadi).
Meski secara konsep sangat krusial dan baik, implementasi kebijakan ini berpotensi membentur tembok realitas di lapangan. Beberapa organisasi yang sebelumnya lulus pada versi 3.2 (di mana ketiadaan MFA hanya dicatat sebagai ketidakpatuhan ringan), kini dipastikan akan gagal karena perbedaan metode kerja karyawan mereka.
"Organisasi ini bukannya mengabaikan keamanan. Mereka membuat keputusan yang matang berdasarkan cara orang-orang mereka bekerja. Masalahnya bukanlah mereka tidak ingin patuh. Melainkan standar MFA... tidak cocok untuk terminal yang digunakan bersama oleh enam orang yang harus tersedia dalam hitungan detik, atau tenaga sukarelawan yang berganti setiap minggu," tulis pakar keamanan siber Jonathan Krause.
Kasus Organisasi yang Terdampak
Krause menyoroti dua contoh nyata organisasi yang akan kesulitan memenuhi tenggat waktu aturan baru ini tanpa adanya opsi penyesuaian teknis:
| Sektor Organisasi | Kendala Penerapan MFA Konvensional |
|---|---|
| Perusahaan Kereta Api | Ruang operasi stasiun berjalan di terminal PC bersama tempat staf berganti giliran (shift) secara cepat. Pihak serikat pekerja khawatir proses login MFA akan memicu penundaan di depan layar yang dapat mengganggu operasional dan keselamatan pergerakan kereta. |
| Yayasan Amal (Charity) | Memiliki ratusan toko dengan tingkat pergantian sukarelawan yang tinggi. Memaksa relawan yang hanya bekerja beberapa jam seminggu untuk menginstal aplikasi autentikator di ponsel pribadi mereka dianggap terlalu membebani secara operasional dan manajemen. |
Sebenarnya, solusi untuk masalah ini sudah tersedia dan terbukti di sektor kesehatan maupun ritel, yakni menggunakan Autentikasi FIDO2 (seperti ketukan lencana NFC yang dipadukan dengan PIN singkat). Sayangnya, minimnya panduan dan sosialisasi mengenai ketersediaan solusi alternatif ini membuat banyak organisasi kehabisan waktu dan terancam kehilangan sertifikasi Cyber Essentials mereka—yang sering kali menjadi syarat wajib untuk mendapatkan kontrak dari pemerintah.
