Daftar Instansi pemerintah AS yang dikompromikan dalam peretasan SolarWinds terus berkembang, dengan laporan infiltrasi di Departemen Keuangan, Perdagangan, Keamanan Dalam Negeri, dan kemungkinan Negara Bagian, Pertahanan, dan CDC. Ini adalah masalah besar bagi keamanan nasional: Ini adalah pelanggaran data terbesar yang diketahui dari informasi pemerintah AS sejak peretasan Office of Personnel Management pada tahun 2014, dan dapat memberi peretas banyak informasi orang dalam.

Meskipun cakupan peretasan ini masih ditentukan, pelanggaran luar biasa seperti itu menimbulkan pertanyaan yang cukup jelas: Apakah strategi dunia maya AS berhasil? AS secara historis mengandalkan, pertama, strategi pencegahan dan, baru-baru ini, gagasan “mempertahankan ke depan” untuk mencegah dan menanggapi perilaku jahat di dunia maya. Apakah kegagalan strategi ini harus disalahkan? Jawabannya (seperti semua hal politik) itu rumit.

Pertama, penting untuk menetapkan apa peretasan ini dulu. Fakta bahwa aktor negara-bangsa (kemungkinan besar Rusia) mampu berkompromi dengan pihak ketiga (SolarWinds) untuk mendapatkan akses ke sejumlah jaringan pemerintah AS yang belum diketahui dan data yang diambil adalah pencapaian spionase yang signifikan. Dan itu menggambarkan bagaimana vendor pihak ketiga dapat memberikan jalan bagi pelaku ancaman untuk melakukan kampanye spionase pada lingkup dan skala yang biasanya tidak terlihat di luar dunia maya.

Tetapi untuk menyebut kejadian ini a serangan cyber akan melenceng. Pada titik ini, operasi tersebut tampaknya merupakan spionase untuk mencuri informasi keamanan nasional, alih-alih mengganggu, menyangkal, atau menurunkan data atau jaringan pemerintah AS. Meskipun mungkin tampak seperti membelah rambut, terminologi penting karena memiliki kebijakan, dan seringkali konsekuensi hukum. Spionase diterima sebagai bagian dari tata negara internasional, yang sering ditanggapi oleh negara dengan penangkapan, diplomasi, atau kontraintelijen. Sebaliknya, serangan (bahkan serangan dunia maya) memiliki konsekuensi hukum internasional dan domestik yang memungkinkan negara merespons dengan kekerasan. Setidaknya sejauh ini, peretasan ini bukan itu.

Pertanyaan tentang apa arti insiden ini bagi pencegahan dunia maya, di sisi lain, kurang mudah. Untuk memahami mengapa ini adalah pertanyaan yang rumit, sangat membantu untuk memahami bagaimana strategi ini bekerja (dan tidak). Pencegahan adalah tentang meyakinkan musuh tidak melakukan sesuatu dengan mengancam hukuman atau membuatnya tampak tidak mungkin operasi akan berhasil. Ini adalah hal yang sulit dilakukan karena beberapa alasan. Pertama, negara perlu mengancam respons yang menakutkan dan dapat dipercaya. Ancaman mungkin tidak dapat dipercaya karena negara tidak memiliki kemampuan untuk melaksanakannya. Atau, seperti yang lebih sering terjadi di Amerika Serikat, ancaman mungkin tidak memiliki kredibilitas karena musuh tidak percaya akan ada tindak lanjut. Misalnya, AS mungkin mengancam untuk menggunakan senjata nuklir sebagai tanggapan terhadap spionase dunia maya, tetapi tidak ada negara yang percaya bahwa AS akan benar-benar meluncurkan serangan nuklir sebagai tanggapan atas pelanggaran data. Itu bukan ancaman yang kredibel.

Untuk membuat masalah menjadi lebih rumit, juga sulit untuk mengatakan kapan pencegahan benar-benar berhasil karena, jika berhasil, tidak ada terjadi. Begitu pun jika sebuah negara dulu terhalang oleh pertahanan yang baik, hampir tidak mungkin untuk mengetahui apakah negara tidak menindaklanjuti serangan itu hanya karena tidak tertarik untuk mengambil tindakan pada awalnya.

Ada beberapa, jika ada, mekanisme pencegahan yang berfungsi untuk mencegah spionase dunia maya. Karena negara secara rutin memata-matai satu sama lain — teman dan musuh — ada sejumlah hukuman kredibel yang dapat digunakan negara untuk mengancam orang lain agar tidak memata-matai. AS telah mencoba menggunakan beberapa opsi untuk pencegahan dunia maya, seperti mengeluarkan surat perintah untuk peretas yang disponsori negara atau mengancam sanksi untuk intelijen dunia maya. Tetapi keberhasilannya terbatas. Ini tidak berarti, bagaimanapun, kita harus membuang bayi pencegahan dengan air mandi. Sebagai Jon Lindsay, seorang profesor di Universitas Toronto, menunjukkan, keberhasilan pencegahan di luar dunia maya dapat mendorong dan membentuk perilaku negara di dunia maya. Dan, ada bukti kuat pencegahan itu bisa bekerja di dunia maya. Tidak ada musuh yang pernah melakukan serangan dunia maya terhadap Amerika Serikat yang menciptakan kekerasan atau efek signifikan yang berkelanjutan pada infrastruktur atau kemampuan militer. Bisa dibilang, ini karena kekuatan militer konvensional AS yang besar dan mematikan adalah pencegah yang kredibel di ambang dunia maya yang lebih tinggi. Tantangan strategis yang lebih menjengkelkan bagi AS berada di ruang antara spionase keamanan nasional (di mana pencegahan tidak cukup berlaku) dan serangan dunia maya besar (di mana pencegahan tampaknya berlangsung).