CISA Perintahkan Agensi Federal AS Patch Celah Kritis dalam 3 Hari, Ini Aturan Barunya
CISA Perintahkan Agensi Federal AS Patch Celah Kritis dalam 3 Hari, Ini Aturan Barunya
CLB.my.id - Badan Keamanan Siber dan Infrastruktur AS (CISA) menerbitkan Binding Operational Directive (BOD) 26-04 pada 10 Juni 2026, yang mengharuskan semua agensi federal sipil untuk menambal kerentanan kritis dalam waktu tiga hari kalender. Ini adalah mandat patching paling agresif dalam sejarah kebijakan siber federal AS.
Direktif baru ini menggantikan BOD 19-02 dan BOD 22-01 yang sebelumnya memberikan jendela remediasi dua hingga tiga minggu untuk kerentanan yang sudah dieksploitasi. Dengan BOD 26-04, CISA secara resmi beralih dari model patching berbasis waktu tetap ke manajemen kerentanan berbasis risiko.
Empat Kriteria Penentu Kecepatan Patch
Kecepatan remediasi kini ditentukan oleh evaluasi empat kriteria biner terhadap setiap kerentanan. Kriteria pertama adalah paparan aset, apakah aset yang rentan dapat diakses publik melalui internet. Kedua, status KEV, apakah CVE tercatat dalam katalog Known Exploited Vulnerabilities milik CISA. Ketiga, otomatisasi eksploit, apakah penyerang dapat sepenuhnya mengotomatiskan langkah-langkah eksploitasi. Keempat, dampak teknis, apakah eksploitasi memberikan penyerang kendali penuh atau hanya parsial atas aset.
Ketika sebuah kerentanan memenuhi keempat kriteria pada level risiko tertinggi, jendela remediasi menyusut dari dua hingga tiga minggu menjadi hanya tiga hari kalender. Lebih lagi, agensi wajib melakukan forensic triage untuk menentukan apakah sistem sudah dikompromikan sebelum patch diterapkan.
Untuk kerentanan yang hanya memenuhi sebagian kriteria, timeline diperpanjang menjadi 14 atau 60 hari kalender. Kerentanan yang tidak terekspos publik, tidak masuk katalog KEV, dan tidak dapat diotomatisasi ditunda hingga peningkatan sistem terjadwal berikutnya.
Tiga Fase Implementasi
CISA menyusun implementasi BOD 26-04 dalam tiga fase. Fase I berlaku segera, agensi harus memperbarui kebijakan manajemen kerentanan, memantau katalog KEV, dan mengotomatiskan pelaporan melalui Continuous Diagnostics and Mitigation (CDM) Dashboard.
Fase II, dalam 60 hari, mengharuskan agensi menyelaraskan seluruh proses manajemen kerentanan dengan database CVE dan katalog KEV. Fase III, dalam 180 hari, mengharuskan kepatuhan penuh terhadap timeline remediasi yang tercantum dalam direktif serta penandaan berkelanjutan terhadap semua aset yang dapat dijangkau publik dengan metadata organisasi, lingkungan, dan tipe aset.
Pendorong Utama: Ancaman AI dari Aktor Negara
Dalam dokumen BOD 26-04, CISA secara eksplisit menyebut penggunaan AI yang berkembang oleh aktor ancaman sebagai salah satu pendorong utama kebijakan ini. Badan tersebut memperingatkan bahwa AI dapat secara signifikan mempersingkat jendela antara rilis patch dan eksploitasi aktif.
Peringatan ini bukan tanpa dasar. Pada Juni 2026, Patch Tuesday Microsoft memecahkan rekor dengan 198 kerentanan yang ditambal, termasuk tiga zero-day yang sudah dieksploitasi secara aktif. Salah satunya, CVE-2026-49160, ditemukan oleh OpenAI Codex, menunjukkan bagian AI kini berperan ganda baik sebagai alat pertahanan maupun potensi ancaman.
Dampak untuk Organisasi di Luar Pemerintah AS
Meskipun BOD 26-04 secara hukum hanya mengikat agensi federal sipil AS, kerangka kerja empat kriterianya bisa menjadi acuan praktis bagi organisasi manapun di dunia. Pertanyaan sederhana apakah aset terekspos publik, apakah sudah ada eksploit aktif, apakah bisa diotomatisasi, dan apakah dampaknya total, bisa membantu tim keamanan memprioritaskan patch dengan lebih efektif.
Bagi organisasi Indonesia yang menggunakan produk Microsoft, Cisco, atau perangkat lunak enterprise lainnya, pendekatan berbasis risiko ini layak dipertimbangkan. Alih-alih menambal semua kerentanan secara merata, fokuskan sumber daya pada celah yang memenuhi kriteria risiko tertinggi.
CISA juga akan melakukan penilaian ulang berbasis data secara tahunan terhadap timeline remediasi, yang berarti standar ini bisa menjadi lebih ketat seiring waktu. Organisasi yang sudah menerapkan kerangka kerja serupa akan lebih siap menghadapi lanskap ancaman yang terus berkembang.
Kontak resmi CISA untuk panduan berkelanjutan tersedia melalui alamat email CyberDirectives@cisa.dhs.gov. Badan ini juga menyediakan data status KEV, otomatisasi eksploit, dan dampak teknis melalui program Vulnrichment, yang bisa dimanfaatkan oleh tim keamanan di seluruh dunia sebagai referensi prioritas patching.***
