Takut Kena Serangan Siber di Kendaraan Listrik, AS Larang Impor Produk China dan Rusia
Gedung Putih mengumumkan rencana minggu ini untuk melarang penjualan atau impor kendaraan terhubung yang mengandung perangkat keras buatan China dan Rusia.
IDXChannel - Gedung Putih mengumumkan rencana minggu ini untuk melarang penjualan atau impor kendaraan terhubung yang mengandung perangkat keras dan perangkat lunak tertentu yang dapat dibuat di China atau Rusia.
Dengan alasan kekhawatiran keamanan nasional. Sementara ancaman serangan siber pada kendaraan yang terhubung sangat nyata, waktu pengumuman AS tidak biasa.
Pihak berwenang AS mengatakan mereka khawatir bahwa kendaraan yang berisi komponen, termasuk truk dan bus, bisa menjadi kuda Troya untuk sabotase China.
Ini adalah pengumuman kedua yang menargetkan kendaraan listrik dalam enam bulan dari pemerintah AS.
Washington memberlakukan pajak perbatasan 100 persen pada kendaraan listrik dari China di Mei, sebuah tindakan yang menurut Gedung Putih ditujukan untuk melindungi pekerjaan Amerika Utara dari industri otomotif China, yang didukung oleh subsidi negara.
Meskipun larangan baru yang diumumkan pada hari Senin akan melanda Moskow dan Beijing, industri otomotif China kembali menjadi target utama.
China dan AS adalah rumah bagi perusahaan kendaraan listrik terbesar di dunia. Hanya sebagian kecil dari perangkat keras dan perangkat lunak yang ditargetkan yang "memungkinkan konektivitas eksternal dan kemampuan mengemudi otonom di kendaraan yang terhubung" yang dibuat di Rusia.
Mobil Troya?
Jika disetujui oleh Kongres, larangan baru AS akan mulai berlaku pada tahun 2027 untuk perangkat lunak dan pada tahun 2030 untuk perangkat keras.
"Akses berbahaya ke sistem ini dapat memungkinkan musuh untuk mengakses dan mengumpulkan data kami yang paling sensitif dan memanipulasi mobil dari jarak jauh di jalan-jalan Amerika," menurut sebuah pernyataan dari Departemen Perdagangan.
"Kendaraan yang terhubung dan teknologi yang mereka gunakan membawa kerentanan dan ancaman baru, terutama dalam kasus kendaraan atau komponen yang dikembangkan di RRC (Republik Rakyat Tiongkok) dan negara-negara lain yang menjadi perhatian," kata Jake Sullivan, penasihat keamanan nasional AS, selama konferensi pers pada hari Minggu.
Sullivan mengacu pada kelompok peretas China Volt Typhoon, yang menurut pejabat intelijen AS pada bulan Februari telah menargetkan sistem komunikasi, energi, transportasi, air dan air limbah di Amerika Serikat.
Risikonya, menurut intelijen AS, adalah bahwa kelompok-kelompok tersebut dapat memasukkan kode yang tidak aktif ke dalam jaringan penting yang kemudian dapat diaktifkan untuk menyabotase infrastruktur dari jarak jauh jika ketegangan meningkat antara AS dan China.
Kendaraan yang terhubung menggunakan jaringan infrastruktur yang relatif baru, tetapi "risiko mobil yang terhubung menjadi target peretasan telah diketahui selama sekitar 10 tahun", kata Jean-Christophe Vitu, wakil presiden solusi teknik untuk CyberArk, sebuah perusahaan keamanan siber AS.
Data, sabotase
Namun sejauh ini, sebagian besar contoh kendaraan yang diretas tidak menunjukkan bahwa mereka adalah alat spionase internasional. "Untuk saat ini, kami pada dasarnya memiliki kasus peretasan untuk melewati sistem keamanan kendaraan untuk mencurinya," kata Vitu.
Tapi bahayanya bukan hanya teoritis. "Ada demonstrasi kendaraan yang terhubung dikendalikan dari jarak jauh," kata Sébastien Viou, direktur keamanan siber untuk perusahaan Prancis Stormshield.
Kendaraan yang terhubung juga menawarkan beberapa titik masuk bagi peretas – sebagian besar melalui perangkat lunak yang ditargetkan oleh larangan AS terbaru.
"Setiap kendaraan yang terhubung memiliki, misalnya, modem atau kartu SIM yang belum dibuat oleh perusahaan yang membangun kendaraan yang memungkinkannya terhubung ke jaringan dan mengirimkan data ke server," kata Matthieu Dierick, seorang ahli keamanan siber di F5, sebuah perusahaan keamanan AS.
Kerentanan pada tingkat ini dapat memungkinkan peretas untuk mencegat data yang sedang dikirimkan.
Mata-mata siber juga dapat menargetkan "multiplexer, yang merupakan semacam menara kontrol untuk menggunakan antarmuka elektronik dan terhubung kendaraan, seperti GPS atau radio", tambah Vitu.
Vitu juga menunjukkan bahwa "jumlah data pribadi yang dikumpulkan oleh kendaraan ini dan pabrikannya sangat besar".
Mendapatkan akses dapat mengungkapkan, misalnya, rute jalan yang tepat yang diambil oleh individu terkenal jika mereka menerima telepon saat transit dan pengemudi menggunakan peralatan seperti kit handsfree.
Kendaraan terhubung yang disusupi juga dapat dimanipulasi secara fisik.
Meskipun ini belum diketahui terjadi di luar demonstrasi di konferensi keamanan siber, Viou mengatakan, "mobil yang terhubung dapat disabotase untuk memaksanya berhenti, misalnya", atau untuk memaksa "mematikan sistem mengemudi berbantuan atau akselerasi kendaraan dari jarak jauh".
Pertanyaan tentang kontrol
Saat ini hanya ada sedikit kendaraan yang terhubung dengan suku cadang buatan China di Amerika Utara, dan meretas kendaraan yang terhubung membutuhkan keterampilan penjahat dunia maya tingkat lanjut.
"Jika Anda menargetkan kendaraan tertentu, mungkin perlu melakukan pengumpulan intelijen awal untuk mengetahui merek mana yang membuat perangkat lunak berbeda yang ingin Anda aktifkan atau hentikan dari jarak jauh," kata Dierick.
Meskipun ancaman saat ini di AS mungkin kecil, "belum terlalu dini untuk mengambil minat," tambah Dierick. "Dengan semua ketegangan geopolitik saat ini, ini adalah pertanyaan tentang kontrol digital. Sangat penting untuk memiliki kendali penuh atas semua perangkat lunak yang digunakan dan percaya pada perusahaan yang memproduksinya dan [menyiapkannya] bisa memakan waktu."
Tetapi menghapus semua elemen risiko dari kendaraan yang terhubung di tanah AS berarti "menempatkan rantai produksi hanya menggunakan perangkat lunak yang dibuat di Amerika Utara atau Eropa", kata Dierick.
Siaran pers Gedung Putih mengatakan pihaknya bertujuan untuk memberlakukan larangan pada komponen perangkat lunak dan perangkat keras berisiko tinggi yang dibuat di China pada tahun 2030.
Namun fokus pada kendaraan yang terhubung tampaknya sempit jika AS bertujuan untuk memberantas potensi serangan siber skala besar. "Risiko kerentanan terhadap serangan jarak jauh ada, apa pun asal perangkat lunaknya," kata Viou.
Hanya karena bagian dari mobil listrik dibuat oleh Huawei di China daripada oleh perusahaan di Barat, tidak berarti kurang lebih rentan terhadap upaya peretasan oleh penjahat dunia maya China atau Rusia.
Secara realistis, mengendalikan rantai produksi "adalah, di atas segalanya, cara untuk mengurangi risiko memperkenalkan 'pintu belakang' ke dalam kendaraan yang terhubung", kata Viou, referensi ke metode terselubung untuk melewati otentikasi normal atau enkripsi yang sering digunakan untuk mengamankan akses jarak jauh.
Meski begitu, apakah mungkin untuk memastikan bahwa tidak ada komponen buatan China di kendaraan yang terhubung? Dalam rantai pasokan yang kompleks, bukankah layak bahwa subkontraktor dapat merakit bagian dari suku cadang di pabrik mobil Guangdong? "Sangat sulit untuk memastikannya," kata Vitu.
Pada akhirnya, "mobil yang terhubung mungkin bukan prioritas utama dalam hal menutup pintu digital yang dapat dilalui mata-mata Tiongkok. Misalnya, ada lebih banyak ponsel dengan komponen Cina yang beredar," kata Dierick.
Larangan baru AS juga bisa menjadi cara "untuk memberikan keuntungan kepada produsen komponen elektronik Amerika", kata Viou, "Terutama setelah Undang-Undang Chip dan Sains" – inisiatif pemerintahan Biden 2022 yang bertujuan untuk meningkatkan manufaktur teknologi baru AS.
Dengan hanya lebih dari sebulan sebelum pemilihan presiden AS, larangan itu juga mungkin merupakan momen oportunisme politik, sebuah isyarat untuk menggambarkan bahwa Partai Demokrat tidak takut dengan kekuatan China.
China, pada gilirannya, mengatakan pada hari Selasa bahwa mereka "dengan tegas menentang" larangan AS, menyatakan bahwa itu "melanggar prinsip-prinsip ekonomi pasar dan persaingan yang adil, dan merupakan tindakan proteksionis yang khas".
(Dian Kusumo Hapsari)