VVDP

BSSN Hentikan Sementara Program untuk White Hacker

Faisal Hafis, Andi Nugroho
 Jumat, 19 Juni 2020 - 14:26 WIB   7365

Ilustrasi | Foto: freepik.com

Jakarta Cyberthreat.id – Badan Siber dan Sandi Negara (BSSN) menghentikan sementara Voluntary Vulnerability Disclosure Program (VVDP).

Pengumuman tersebut disampaikan BSSN di akun media sosialnya (Instagram dan Twitter) pada Kamis (18 Juni 2020).

Saat  menjelaskan pengertian pentesting, BSSN menyampaikan, “Sayang sekali saat ini program VVDP BSSN sementara waktu dihentikan,” demikian tulis BSSN.

Alasan dihentikan karena sedang menyempurnakan peraturan BSSN dan mekanisme VVDP.

VVDP adalah program yang menampung para pemburu cacat aplikasi (bug hunter)—tergolong sebagai peretas topi putih (white hat hacker). Melalui program itu, para hacker tersebut membantu para pemilik sistem informasi dari ancaman siber.

Mereka yang tergabung di VVPD wajib melaporkan temuannya kepada BSSN, selanjutnya laporan akan dilaporkan BSSN kepada pemilik sistem untuk diperbaiki.

Di sisi lain, aktivitas bug hunter juga terancam hukuman pidana karena termasuk aktivitas melanggar hukum menurut Undang-Undang Informasi dan Transaksi Elektronik (ITE).

Sesuai dengan Pasal 30 UU ITE, seseorang dilarang untuk mengakses sistem informasi institusi tertentu tanpa izin baik di dalam jaringan maupun di luar jaringan.

Oleh karena itu, BSSN sedang mengkaji dan meninjau terkait dengan regulasi VVDP tersebut.

Alur pelaporan bug yang bisa dilakukan oleh individu atau komunitas siber kepada BSSN.

Sebelumnya, pada Mei 2019, Cyberthreat.id sempat mengikuti acara pertemuan para bug hunter dengan BSSN. Mayoritas mereka adalah anggota komunitas hacking di Indonesia; rata-rata berusia muda antara 15 hingga 30 tahun.

Kala itu, Kasubdit Proteksi Infrastruktur Kritis Nasional BSSN, Adi Nugroho, mengatakan, program VVDP atau bug bounty belum banyak dikenal oleh pemilik sistem di Indonesia sehingga sangat sedikit yang menyelenggarakan program itu karena terkendala sumber daya manusia dan biaya.

Program tersebut, menurut Adi, memungkinkan penemu cacat aplikasi (bug hunter) bekerja sama dengan pemilik sistem untuk menemukan solusi sebelum terjadi peretas mengeksploitasi bug tersebut.

Berita Terkait:

Menurut Adi, tujuan VVDP untuk menjembatani pelapor kerentanan, tapi pemilik sistem tidak memberikan respons dan perbaikan.

“Hal ini penting dilakukan apalagi jika kerentanan ditemukan pada sistem yang kritikal atau digunakan publik secara luas,” kata Adi.

Selain itu, menurut Adi, VVDP juga sebagai bentuk “pembinaan dan pengawasan” BSSN terhadap komunitas bug hunter atau hacker Indonesia.

“(Ini juga) sebagai salah satu jalan untuk mengarahkan energi berlebih (bug hunter) dan kemampuan yang dimiliki untuk tujuan positif,” kata Adi.

Keuntungan bagi pelapor adalah selain apresiasi dari pemilik sistem juga peluang pekerjaan di sektor cybersecurity.

Berita Terkait:

Jangan asal pentesting

BSSN juga mengingatkan agar para bug hunter jangan asal melakukan pengujian pada sistem informari atau aplikasi.

Jika ingin menguji sistem (pentesting), izin terlebih dahulu kepada pemilik sistem.

Langkah pertama yang dilakukan pentester sebelum melakukan seperti footprinting, scannig fingerprinting, enumeration, gaining access, privilege, escalation, pilfering, covering tracks, backdooring, denial of service dan berbagai langkah lain adalah, “mendapatkan izin dan mendaftarkan alamat IP kepada otoritas pengelola sistem," kata BSSN.

BSSN mengatakan pengujian hanya dilakukan dalam batas yang sudah disepakati oleh pemilik sistem atau pengelola sistem.

Hasil dari pentesting juga harus dilaporkan sepenuhnya pada akhir pengujian serta tidak boleh mengungkapkan hasilnya kepada pihak ketiga.

"Pentester juga harus bertanggung jawab atas semua kerusakan yang disebabkan oleh kesalahan dari tes," tambah BSSN.

Menurut BSSN, filosofi pentesting biasa disebut sebagai ethical hacking, serangan beretika berdasar dokumen kontrak kesepakatan batasan lingkup dan waktu tertentu.[]

Tags