Pusat Keamanan Siber Inggris Dorong Swasta Rangkul Bug Hunter

Tenri Gobel
 Selasa, 15 September 2020 - 20:08 WIB   1748

Ilustrasi | Foto: freepik.com

Cyberthreat.id – Pusat Keamanan Siber Nasional (NCSC) Inggris mendorong agar perusahaan-perusahaan swasta baik kecil maupun besar membuka jalur “bug reporting” atau pelaporan kerentanan.

Prosedur pelaporan itu, menurut NCSC, dianggap tepat di tengah serangan dunia maya yang tinggi; apalagi sebagian besar insiden siber berasal dari kerentanan.

"Kerentanan keamanan ditemukan setiap saat dan orang ingin melaporkannya langsung ke lembaga yang bertanggung jawab," kata NCSC seperti dikutip dari BleepingComputer, diakses Selasa (15 September 2020).

Untuk membantu perusahaan-perusahaan, NCSC merilis panduan “The Vulnerability Disclosure Toolkit” tentang proses pengungkapan kerentanan atau cara memperbaikinya.

“Memiliki proses pelaporan yang ditandai dengan jelas menunjukkan bahwa organisasi Anda menangani keamanan dengan serius,” kata NCSC.

“Dengan memberikan proses yang jelas, organisasi dapat menerima informasi secara langsung sehingga kerentanan dapat diatasi, dan risiko peretasan.”

Dokumen yang diterbitkan oleh NCSC tersebut bukanlah buku aturan pengungkapan kerentanan yang lebih mudah, hanya “memberikan informasi penting untuk proses yang lebih baik untuk menerapkannya.”

NCSC merekomendasikan untuk menyiapkan kontak khusus (alamat email atau formulir web aman) dan membuatnya mudah ditemukan.

NCSC juga meminta agar perusahaan menghindari atau memaksa peneliti/pemburu kerentanan (bug hunter) untuk menandatangani perjanjian non-disclosure "karena individu hanya mencari untuk memastikan kerentanan diperbaiki," kata NCSC.

Selanjutnya, perusahaan harus terus-menerus memberi informasi kepada para peneliti yang menemukan bug tentang kemajuan yang dibuat untuk memperbaiki masalah tersebut. Ini menunjukkan transparansi dan penghargaan atas upaya yang dilakukan peneliti.

“Manfaat lain dari ini adalah bahwa penemunya mungkin dapat menguji ulang dan memastikan bahwa masalahnya sudah tidak ada lagi,” tulis BleepingComputer.[]

Baca selengkapnya panduan The Vulnerability Disclosure Toolkit.

Redaktur: Andi Nugroho

Tags