Dapatkan Info Terbaru

Mengkaji Rancangan Undang-undang Federal Amerika untuk Mengatur Keamanan Routing

Sep, 06 2024|Aris C. Risdianto

Pada awal bulan April yang lalu, Komisi Komunikasi Federal Amerika Serikat atau Federal Communication Commission (FCC) US merilis draft Putusan dan Perintah Deklaratif dalam Proses Internet Terbuka. Dalam dokumen lengkap setebal 435 halaman, FCC secara tersirat menunjukkan niatnya untuk mengatur keamanan perutean Internet dengan protokol Border Gateway Protocol (BGP).

Secara ringkas poin-poin yang penting dalam draft tersebut adalah:

  • FCC mempertimbangkan bahwa koneksi internet berkecepatan tinggi sangat diperlukan untuk setiap aspek kehidupan sehari-hari, mulai penggunaan untuk pekerjaan, pendidikan, dan perawatan kesehatan, bahkan hingga perdagangan, komunitas, komunikasi, dan kebebasan berekspresi.
  • FCC mengklasifikasikan layanan akses Internet pita lebar atau Internet Broadband sebagai sebuah layanan telekomunikasi, dan layanan akses Internet pita lebar melalui jaringan seluler sebagai sebuah layanan seluler yang komersial.
  • FCC menjelaskan bahwa pengklasifikasian tersebut akan memberi FCC kewenangan tambahan untuk menjaga keamanan nasional, memajukan keselamatan publik, melindungi konsumen, serta memfasilitasi penyebaran Broadband Internet.
  • FCC juga akan menetapkan kerangka kerja penegakan hukum secara multi-aspek yang terdiri dari pendapat penasihat (Opinion Advisory ), nasihat penegakan hukum (Enforcement Advisory), investigasi yang diprakarsai Komisi, serta pengaduan layanan secara informal dan formal.

Menanggapi rancangan draft ini, Global Cyber ​​Alliance (GCA) sebagai salah satu komunitas yang bergerak dalam keamanan global termasuk keamanan Internet, menyatakan ketidaksetujuan dengan gagasan dari FCC untuk mengatur keamanan routing Internet berbasis BGP. Ada lima alasan utama ketidaksetujuan terhadap draft tersebut, sebagaimana yang diuraikan dalam komentar formal yang diajukan GCA bersama mitra mereka yaitu Internet Society (ISOC), seperti yang tertulis dibawah ini:

  1. Jaringan Internet Amerika Serikat yang dioperasikan oleh sektor swasta sudah dan akan terus membuat langkah besar dalam meningkatkan keamanan perutean jaringan, sehingga mandat keamanan perutean tidak diperlukan lagi.
  2. Mandat dari Komisi tentu akan memperlambat kemajuan terkini dalam keamanan perutean selama proses ini masih berlangsung dan tantangan hukum apa pun yang akan dihadapi berikutnya.
  3. Jika Komisi tetap menyelesaikan mandat tindakan keamanan perutean, maka jaringan di Amerika Serikat kemungkinan akan tertinggal dari praktik keamanan terbaik Internet global, yang akan berkembang dan meningkat jauh lebih cepat daripada peraturan yang diajukan oleh Komisi. 
  4. Tergantung pada cakupan mandat Komisi yang diajukan, ada kemungkinan regulasi perutean yang dapat membahayakan akan kemampuan penyedia layanan Internet skala kecil untuk beroperasi, dan menyebabkan kekurangan konsolidasi jaringan atau akses di daerah pedesaan.
  5. Dalam perspektif internasional, jika Komisi memberlakukan langkah-langkah amanat keamanan perutean dalam draft tersebut, maka sangat mungkin sejumlah negara lain akan mengikuti amanat tersebut sebagai acuan, dan ada kemungkinan untuk memberlakukan standar yang berbeda dan saling bertentangan. Adanya keberagaman persyaratan keamanan perutean global kemungkinan besar akan menurunkan keamanan dan interoperabilitas di Internet.

Keamanan perutean sama halnya dengan banyak masalah teknis Internet lainnya, dimana masalah tersebut harus diselesaikan secara tim sebagaimana layaknya dalam sebuah team sport atau olahraga tim. Diperlukan suatu program yang terintegrasi dalam Internet untuk menyatukan para pelaku utama dalam operasi infrastruktur Internet dan pemangku kepentingan lainnya untuk mengidentifikasi prioritas utama dalam mengatasi masalah keamanan siber (termasuk Internet) yang tidak dapat diselesaikan oleh satu aktor atau sekelompok aktor secara independen. Sejauh ini Mutually Agreed Norms for Routing Security (MANRS), sebuah inisiatif Internet global, yang sejak sepuluh tahun lalu sudah mendukung dan menerapkan praktik terbaik keamanan perutean yang mengandalkan kemampuan komunitas operator jaringan internasional untuk bekerja secara terkoordinasi dan kolaboratif untuk terus meningkatkan praktik keamanan perutean Internet. 

Selaras dengan ketidaksetujuan GCA akan draft ini, Doug Madory (Direktur Analisa Internet dari Kentik), menjelaskan apabila usulan komite saat ini hanya berfokus pada ISP terbesar, maka perlu diperjelas bagaimana nantinya persyaratan ini dapat diperluas ke ISP yang lebih kecil, karena menyerahkan implementasi perutean keamanan seperti RPKI kepada ISP kecil akan sangat memberatkan bagi mereka. Selain itu adanya kemungkinan perlindungan lebih yang bisa diperoleh bagi ISP kecil apabila mereka menggunakan transit dari ISP yang lebih besar yang telah menerapkan RPKI. 

Lebih jauh lagi komite mensyaratkan bahwa 90% dari semua rute ISP harus sudah memiliki ROA. Sedangkan apabila dilihat semua rute yang berasal dari ISP besar di Amerika, misalnya seperti AT&T dan Verizon, rute-rute dengan ROA dari mereka berada di bawah ambang batas 90%. Hal ini disebabkan karena ISP ini menyediakan sejumlah layanan-layanan yang lain selain layanan seluler, yang termasuk didalamnya layanan transit untuk mengumumkan rute dari perusahaan-perusahaan lainnya. Oleh karena itu komite perlu memberikan lebih banyak panduan terlebih dahulu tentang rute-rute mana yang perlu dihitung dalam metrik ini, karena apabila hanya menghitung layanan seluler maka AT&T dan verizon, bisa saja memenuhi syarat minimal rute dengan ROA sebesar 90%.

Namun sebaiknya tidak ada satu entitas pun yang dapat "menetapkan hukum" untuk Internet dan penggunaannya termasuk keamanan perutean Internet itu sendiri. Langkah-langkah koordinasi yang lebih baik dalam diskusi dan praktik, serta kolaborasi antara pemangku kepentingan dalam ekosistem Internet, sangat diperlukan untuk memastikan Internet yang berfungsi penuh dan lebih aman di masa depan. Selain itu, ISP lebih memerlukan pendekatan "belt & suspenders" untuk menjaga kebersihan perutean yang menggabungkan berbagai macam tool seperti RPKI ROA/ROV, Autonomous Service Provider Authorization (ASPA), dan jenis mekanisme penyaringan rute lainnya. Dan selama dekade terakhir ini, ISP telah melakukan pekerjaan yang sangat baik dalam menerapkan tool-tool ini dengan bantuan/rekomendasi dari komunitas seperti MANRS dan ISOC, sehingga keamanan perutean telah meningkat secara pesat dari beberapa tahun yang lalu!

Tentu saja pertanyaannya untuk kita di Indonesia, apakah kita perlu regulasi seperti yang dilakukan FCC di atas atau kita harus lebih percaya dengan langkah-langkah kolaborasi dari pemangku kepentingan Internet di Indonesia seperti yang dijelaskan oleh lembaga-lembaga dan para pakar Internet diatas. 

Sumber:

https://docs.fcc.gov/public/attachments/DOC-401676A1.pdf
https://globalcyberalliance.org/bgp-regulation-wont-help/
https://www.helpnetsecurity.com/2024/08/07/doug-madory-kentik-bgp-security/