Hai Bug Hunter Tak Perlu Takut UU ITE, Ini Kuncinya
Antusiasme peserta seminar bertajuk "Cybersecurity For Personal" saat mendaftar program VVDP di MNC Hall Conference, Jakarta, Rabu (3 Juli 2019) | Foto: Cyberthreat.id/Rahmat Herlambang
Jakarta, Cyberthreat.id – Akhir Februari lalu menjadi hari-hari bahagia bagi Deni Tri Permana. Remaja itu baru saja menerima penghargaan dari Ombudsman Republik Indonesia (ORI).
Alvin Lie, anggota ORI, datang langsung menyerahkan sertifikat yang disaksikan guru dan teman-temannya di SMA Negeri Majenang, Kabupaten Cilacap, Jawa Tengah.
Di mata Alvin Lie, siswa kelas XII itu dianggap telah berjasa membantu ORI, yaitu menemukan dan melaporkan celah keamanan (bug) pada situs web ORI.
Ini bukan kali pertama Deni sebagai pemburu bug (bug hunter) mendapatkan penghargaan. Ia telah menguji banyak situs web baik pemerintah maupun swasta. Ketika mendapati kerentanan, ia melaporkan kepada sang pemilik situs web.
Jauh hari sebelum Alvin Lie memberikan sertifikat, sekitar April 2019, Deni telah dikirimi sertifkat dari Badan Siber dan Sandi Negara (BSSN)—lembaga pemerintah yang memiliki tugas dan kewenangan menilai dan memberi rekomendasi kepada kementerian/lembaga terkait keamanan siber.
“Saya mendapatkan sertifikat itu karena saya beberapa kali melaporkan tentang bug di situs web pemerintahan,” kata Deni yang menerima dua sertifikat dari BSSN saat berbincang dengan Cyberthreat.id, Jumat (28 Februari 2020).
Awalnya, ia termotivasi oleh salah satu temannya di Facebook yang mendapatkan sertifikat dari BSSN. Setelah itu, ia mencoba-coba menguji keamanan atau penetration test pada situs web pemerintah.
“Setelah saya mengirimkan detail laporan bug yang saya temukan kepada BSSN, kemudian dari BSSN mengecek temuan saya. Karena valid, saya langsung dihubungi melalui WhatsApp,” tutur Deni.
“Di situ saya dimintai data diri lengkap dan alamat rumah yang nantinya digunakan oleh BSSN untuk memberikan apresiasi berupa sertifikat,” ia menceritakan.
Berita Terkait:
- Siswa SMA Hacker Baik Hati Ungkap Kelemahan Web Ombudsman
- Sekelas Pentagon Saja Sewa Bug Hunter, loh!
- BSSN Siapkan Regulasi Pasukan Bug Hunter
- BSSN Akan Bentuk Bug Hunter sebagai Talenta Cybersecurity
- Ini Dia Bug Hunter Termuda yang Direkrut BSSN
- VVDP Jaring 92 Bug Hunter di Acara Diskusi Cyberthreat.id
Di luar sana, banyak orang yang memiliki keahlian seperti Deni. Tak sedikit dari mereka masih berstatus siswa SMP dan SMA; mereka belajar dunia hacking secara autododik dengan membaca di internet.
BSSN sendiri memiliki program khusus bernama Voluntary Vulnerability Disclosure Program (VVDP) yang mengajak dan mengumpulkan para bug hunter untuk membantu pemerintah mencari kerentanan. Ini program sukarela dan hadiahnya sebatas: sertifikat dari BSSN. Namun, kelebihan mereka yang masuk program ini, ketika melakukan pentest sebuah sistem informasi, mereka terbilang “aman karena di bawah perlindungan BSSN”.
Perlakuan BSSN tersebut memang baik, tetapi ada masalah lain yang mengganjal. Dari segi regulasi, lembaga yang kini dikepalai oleh Letjen (Purn) Hinsa Siburian itu belum juga memiliki dasar hukum kuat untuk VVDP.
Sementara, bug hunter itu terancaman hukuman pidana, karena termasuk aktivitas melanggar hukum menurut Undang-Undang Informasi dan Transaksi Elektronik (ITE).
Artinya, siapa pun mereka entah itu para peretas topi putih (white hacker), lebih-lebih peretas topi hitam (black hat) terlarang, dan bisa dijerat hukum, ketika mengakses sistem informasi milik pemerintah atau swasta tanpa izin.
Lantas, menjadi pertanyaan: bagaimana status peretas putih—dalam hal ini bug hunter—yang menemukan dan melaporkan celah keamanan (bug)?
Pasalnya, sesuai dengan Pasal 30 UU ITE, seseorang dilarang untuk mengakses sistem informasi institusi tertentu tanpa izin baik di dalam jaringan maupun di luar jaringan.
Dalam pasal tersebut terdiri atas tiga ayat. Pada Ayat 1 berbunyi: “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara apapun.”
Selanjutnya, Ayat 2 berisi: “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apapun dengan tujuan untuk memperoleh informasi elektronik dan/atau dokumen elektronik.”
Terakhir, Ayat 3 yang tertulis,”Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.”
Dosen Hukum Siber Universitas Bina Nusantara, Bambang Pratama mengatakan, secara aturan yang berlaku akses sistem informasi tanpa izin, termasuk akses ilegal. Yang dilakukan Deni tersebut secara hukum jelas melanggar Pasal 30, kata dia.
Dalam Pasal 46 UU ITE, pelaku bisa dikenai hukuman penjara maksimal enam tahun dan/atau denda maksimal Rp 600 juta (pelanggaran ayat 1), penjara tujuh tahun dan/atau denda Rp 700 juta (pelanggaran ayat 2), dan penjara delapan tahun dan/atau denda Rp 800 juta (pelanggaran ayat 3).
Namun, kata Bambang, kunci dari aturan yang ada ialah izin. Jika Deni tidak izin terlebih dulu, meski memiliki niat baik, tetap aktivitas tersebut berpotensi melanggar UU ITE.
"Ilegal akses itu terjadi ketika seseorang memasuki sebuah sistem tanpa izin. Kuncinya adalah izin. Apabila seseorang memasuki sebuah sistem dan tidak izin, si pengembang atau pemilik sistem berhak untuk melaporkannya," kata Bambang kepada Cyberthreat.id, Kamis (5 Maret).
Kecuali, kata Bambang, Deni sedang mengikuti program sayembara mencari bug atau dikenal bug bounty; para pencari bug ini telah diizinkan sejak awal.
"Secara yuridis tindakan seorang bug hunter kan memang tanpa izin. Jadi, kategorinya ke tindakan akses ilegal secara UU ITE," ujar Bambang.
Namun, Bambang mengatakan, pemidanaan dalam UU ITE termasuk dalam kategori ultimum remedium, yaitu salah satu asas dalam hukum pidana Indonesia, di mana hukuman hendaklah dijadikan upaya terakhir dalam penegakan hukum.
"Pidana UU ITE itu termasuk ultimum remedium, yaitu upaya terakhir. Analoginya, selama bisa damai kenapa harus ribut," kata Bambang.
Oleh karenanya, terlepas izin atau tidaknya seorang bug hunter—ketika sebuah kementerian/lembaga, organisasi, atau perusahaan merasa terbantu atas temuan mereka,—menurut Bambang, pemidanaan bukanlah ancaman bagi para bug hunter.[]
