28 Mei 2026

Peringatan Dini

Dalam kurun waktu satu tahun, insiden siber berskala nasional yang menargetkan sektor publik Inggris meningkat lebih dari dua kali lipat – dari 89 menjadi 204. Serangan serangan terhadap Synnovis menghentikan tes darah di seluruh rumah sakit di London, memaksa pembatalan lebih dari 10.000 janji temu dan 1.700 prosedur elektif, serta berkontribusi pada kematian seorang pasien. Pelanggaran di Badan Bantuan Hukum membahayakan data pribadi yang sensitif. serangan ransomware terhadap British Library telah menghancurkan salah satu lembaga budaya terpenting di negara ini. Pembaruan perangkat lunak CrowdStrike yang tidak disengaja telah membuat ribuan layanan tidak berfungsi dalam semalam.

Ini bukanlah risiko-risiko yang abstrak, melainkan kegagalan yang berdampak langsung bagi warga negara. Penilaian yang dilakukan pemerintah Inggris sendiri secara jujur mengungkap kenyataan bahwa pendekatan keamanan siber mereka terfragmentasi dan membutuhkan reformasi mendasar serta tindakan segera.

Perubahan Apa Saja yang Sebenarnya Dibawa oleh Rencana Siber Inggris

Pemerintah Inggris menerbitkan Rencana Aksi Siber Pemerintah, yang didukung oleh investasi pusat sebesar £210 juta. Dikembangkan oleh Departemen Ilmu Pengetahuan, Inovasi, dan Teknologi (DSIT), rencana ini menggantikan model yang terdesentralisasi secara longgar dan berorientasi pada panduan dengan model yang jauh lebih terpusat dan bersifat direktif.

Inti dari semua ini adalah sebuah Unit Siber Pemerintah (GCU) yang bertanggung jawab untuk menetapkan standar, mengoordinasikan manajemen risiko, dan memastikan adanya kemajuan yang terukur di seluruh departemen. Tinjauan Kondisi Pemerintahan Digital telah dengan jelas menunjukkan hasil penilaiannya: risiko siber yang dihadapi pemerintah sangat tinggi, 28% aset digital masih mengandalkan teknologi usang, dan target ketahanan tahun 2030 yang semula ditetapkan kini tidak lagi dapat dicapai.

Rencana tersebut akan dilaksanakan dalam tiga tahap:

  • Fase 1 (hingga April 2027) berfokus pada pembentukan landasan: mendirikan GCU, menerapkan kerangka kerja akuntabilitas, dan menerbitkan Rencana Tanggap Insiden.
  • Fase 2 (2027–2029) akan memperluas penerapan model ini dengan pengambilan keputusan berbasis data dan layanan dukungan terpusat.
  • Fase 3 (mulai April 2029) berfokus pada peningkatan berkelanjutan dan jaminan rantai pasokan yang proaktif.

Bagian-bagian dan pemasok mereka kini harus membuktikan kepatuhan terhadap kerangka kerja jaminan yang terstruktur – terutama GovAssure dan Kerangka Penilaian Siber NCSC (CAF) – serta mengadopsi prinsip .

Peran Verifikasi Identitas

Kata Pengantar Menteri menetapkan arahnya, dengan mencantumkan verifikasi identitas bersama layanan kesehatan dan tunjangan sebagai bagian dari “infrastruktur kritis kehidupan modern di Inggris.” Namun, yang paling penting bagi penyedia layanan identitas adalah apa yang dijelaskan dalam bab-bab operasional.

Pertama, Identitas dan Pengendalian Akses merupakan hasil utama dalam Kerangka Penilaian Siber – standar yang akan digunakan untuk mengevaluasi setiap departemen melalui GovAssure. Prinsip B2 mewajibkan departemen untuk membuktikan bahwa pengguna yang mengakses layanan telah “diverifikasi, diautentikasi, dan diberi otorisasi dengan tepat.” Jangan salah: ini adalah persyaratan jaminan yang dapat diukur dengan pengawasan pusat.

Kedua, rencana tersebut secara eksplisit mengidentifikasi otentikasi warisan sebagai kerentanan sistemik. Sistem lama bukan hanya soal server lama – melainkan juga mencakup kata sandi, token perangkat keras, dan metode verifikasi berbasis pengetahuan yang masih menjadi fondasi sebagian besar infrastruktur identitas pemerintah. Kewajiban untuk mengganti sistem yang rentan berlaku secara langsung di sini.

Ketiga, model model akuntabilitas rantai pasokan berarti penyedia identitas yang melayani pemerintah akan menghadapi pengawasan yang semakin ketat. Penyedia yang memberikan layanan dalam skala besar mungkin akan ditetapkan sebagai “strategis,” sehingga harus menjalin kemitraan resmi dengan GCU dan memenuhi harapan jaminan langsung.

Dampak gabungannya sangat signifikan: mekanisme jaminan dan pengadaan kini membuat semakin sulit untuk membenarkan penggunaan solusi identitas yang lemah, dan semakin mudah untuk memperjuangkan penerapan sistem otentikasi modern yang otentikasi yang tahan terhadap phishing. Bagi penyedia identitas, ini merupakan pergeseran yang lebih bermakna daripada kutipan tunggal apa pun dalam kata pengantar.

Ketahanan + Keamanan: Menghadapi Ancaman yang Terus Berkembang

Rencana tersebut secara konsisten mendefinisikan tujuannya sebagai “keamanan siber dan ketahanan,” dengan memperlakukan keduanya sebagai hal yang setara. Namun, penekanan pada ketahanan patut diperhatikan, dan mencerminkan apa yang disebut rencana itu sendiri sebagai “pergeseran budaya dan operasional dalam cara pemerintah memandang ketahanan.” Dalam praktiknya, hal ini berarti pemerintah tidak lagi hanya bertanya, “apakah kita bisa menghentikan serangan?” tetapi juga “apakah kita bisa memastikan layanan tetap berjalan dan dapat diandalkan ketika terjadi masalah?”

Hal ini memiliki implikasi khusus terkait identitas. Pertimbangkan dua skenario berikut:

  • Yang pertama adalah kegagalan layanan. Insiden yang tidak disengaja, seperti gangguan layanan CrowdStrike, disejajarkan dengan serangan ransomware dan serangan yang didukung negara karena dampaknya bagi masyarakat sama saja: layanan terhenti, dan kepercayaan pun merosot. Sistem identitas yang tidak dapat menunjukkan arsitektur terdistribusi, redundansi, dan pemulihan cepat kini menjadi titik kegagalan tunggal yang secara eksplisit menjadi sasaran rencana tersebut.
  • Yang kedua adalah penyalahgunaan identitas. Semakin sering, serangan menargetkan kepercayaan manusia daripada infrastruktur secara langsung. Misalnya, seorang petugas keuangan mungkin menerima panggilan video yang meyakinkan yang seolah-olah berasal dari pejabat senior yang meminta otorisasi pembayaran darurat. Pemeriksaan berbasis pengetahuan, pengenalan penelepon, dan otentikasi tradisional mungkin semuanya tampak valid. Kegagalan di sini bukanlah pada keamanan perbatasan — melainkan ketidakmampuan untuk memverifikasi bahwa orang di balik interaksi tersebut benar-benar orang yang mereka klaim. Itu adalah celah ketahanan, bukan hanya celah keamanan.

Bagi tim pengadaan, hal ini mengubah perspektif terhadap kriteria evaluasi. Pertanyaannya kini bukan lagi sekadar “apakah ini aman?”, melainkan “apa yang terjadi jika terjadi kegagalan — dan apakah kita masih bisa mempercayai pihak yang kita ajak bekerja sama?” Sistem identitas yang mampu menunjukkan pemantauan ancaman secara aktif dan pemulihan cepat akan lebih mampu memenuhi harapan rencana tersebut dibandingkan dengan alat-alat lama yang secara eksplisit disebutkan dalam rencana sebagai sistem yang rentan.

Apa yang Tidak Dilakukan oleh Rencana Siber Inggris

Sebaiknya kita melihatnya secara jernih terkait cakupannya. Rencana ini dibuat oleh pemerintah, untuk pemerintah. Rencana ini tidak menetapkan persyaratan baru secara langsung bagi sektor swasta atau infrastruktur kritis nasional – itu adalah tugas dari RUU Keamanan Siber dan Ketahanan, yang diajukan ke Parlemen pada hari yang sama. RUU tersebut memperluas kewajiban ketahanan kepada penyedia layanan bagi pemerintah di sektor energi, air, kesehatan, dan pusat data, namun implikasi penuhnya baru akan jelas seiring berjalannya proses.

Beberapa pengamat industri juga mempertanyakan apakah dana sebesar £210 juta cukup mengingat besarnya tantangan yang dihadapi. Strategi tahun 2021 mengalokasikan dana sebesar £2,6 miliar, namun berbagai masalah masih tetap ada.

Dalam Praktiknya: Apa Artinya Rencana Siber Inggris bagi Anda?

Terlepas dari berbagai keterbatasan tersebut, arahnya sudah sangat jelas — dan tidak hanya bagi kementerian dan lembaga pemerintah. Setiap organisasi dalam rantai pasok sektor publik akan merasakan dampaknya. Terdapat tiga perubahan yang menonjol.

Standar terpusat mengubah model pembelian. Unit Siber Pemerintah yang menetapkan standar lintas kementerian menciptakan prasyarat bagi layanan bersama dan infrastruktur identitas yang menganut prinsip “bangun sekali, gunakan berkali-kali”. Masa-masa pengadaan yang terfragmentasi dan dilakukan secara terpisah oleh masing-masing kementerian sudah hampir berakhir.

Bukti jaminan menjadi syarat wajib dalam proses pengadaan. Pergeseran menuju kepatuhan terhadap GovAssure dan CAF berarti tim pengadaan akan semakin mengharapkan para penyedia untuk menyerahkan dokumentasi jaminan yang telah disusun sebelumnya, yang menunjukkan kesesuaian dengan standar sertifikasi yang diakui secara internasional. Hal ini sebaiknya dipertimbangkan sejak tahap perencanaan awal, bukan pada tahap penandatanganan kontrak.

Jadwal penggantian sistem lama semakin ketat. Mengingat metode otentikasi yang rentan telah secara eksplisit diidentifikasi sebagai kerentanan sistemik, organisasi yang masih bergantung pada kata sandi, token perangkat keras, atau verifikasi berbasis pengetahuan sebaiknya mulai merencanakan peta jalan transisi sekarang juga, bukan menunggu hingga mandat Tahap 2 mulai berlaku. Penggantian sistem lama kini sudah tak terelakkan, bukan sekadar disarankan. Departemen yang mengganti metode otentikasi yang rentan akan semakin mencari mitra yang dapat mempercepat transisi yang aman sekaligus mengurangi risiko operasional. Sistem identitas yang dapat menunjukkan ketahanan terhadap phishing, ketangguhan operasional, dan pemantauan ancaman secara aktif akan lebih selaras dengan persyaratan migrasi ini.

Melihat ke Depan

Rencana Aksi Siber Pemerintah melakukan hal yang tidak dilakukan oleh strategi-strategi sebelumnya: rencana ini mengintegrasikan verifikasi identitas ke dalam kerangka kerja jaminan inti pemerintah, mengaitkan kinerja siber dengan ketahanan alih-alih sekadar kepatuhan, serta menciptakan mekanisme penegakan terpusat yang disertai pertanggungjawaban yang nyata.

Rencana tersebut mencerminkan pergeseran paradigma yang lebih luas dalam pemikiran pemerintah: ketahanan siber tidak lagi diukur semata-mata berdasarkan kemampuan untuk mencegah penyerang masuk, melainkan berdasarkan kemampuan layanan-layanan kritis untuk tetap dapat diandalkan selama terjadi gangguan. Dalam konteks tersebut, sistem identitas menjadi bagian dari infrastruktur operasional, bukan sekadar lapisan otentikasi.

Bagi siapa pun yang sedang merencanakan siklus pengadaan berikutnya — baik di lingkungan pemerintah maupun dalam rantai pasokannya — pertanyaannya bukan lagi apakah perlu memodernisasi sistem otentikasi, melainkan seberapa cepat hal itu harus dilakukan.

Upaya kebijakan akan terus berlanjut, terutama seiring dengan perkembangan Rancangan Undang-Undang Keamanan Siber dan Ketahanan serta pembentukan GCU itu sendiri. Kami akan terus memantau keduanya dengan cermat.

Jelajahi laporan terbaru kami Laporan Intelijen Ancaman 2026 untuk mendapatkan wawasan tentang lanskap ancaman yang terus berkembang, atau hubungi kami untuk mendiskusikan bagaimana organisasi Anda dapat menyesuaikan diri dengan kerangka kerja jaminan baru.

Pertanyaan Umum tentang Rencana Keamanan Siber Inggris

T: Apa arti Rencana Aksi Siber Inggris bagi verifikasi identitas?
J: Rencana tersebut menjadikan Identitas dan Pengendalian Akses sebagai hasil jaminan utama dalam Kerangka Penilaian Siber (CAF). Kini, setiap departemen wajib membuktikan bahwa pengguna telah “diverifikasi, diautentikasi, dan diberi otorisasi secara tepat” melalui penilaian GovAssure, dan metode otentikasi lama seperti kata sandi serta token perangkat keras secara eksplisit diidentifikasi sebagai kerentanan sistemik yang perlu diganti.

T: Apa itu GovAssure dan bagaimana pengaruhnya terhadap pemasok pemerintah?
A: GovAssure adalah kerangka kerja jaminan siber pemerintah Inggris, yang digunakan untuk mengevaluasi departemen-departemen berdasarkan Kerangka Kerja Penilaian Siber NCSC. Berdasarkan Rencana Aksi Siber 2026, 90% Departemen Pemerintah Utama harus memastikan rantai pasokannya memenuhi standar ini pada Fase 2 (2027–2029). Pemasok yang menyediakan layanan identitas dalam skala besar dapat ditetapkan sebagai “strategis,” yang tunduk pada kemitraan formal dengan Unit Siber Pemerintah.