Pakar: Bug Hunter Jadi Tanggung Jawab BSSN
Antusiasme peserta seminar bertajuk "Cybersecurity For Personal" saat mendaftar program VVDP di MNC Hall Conference, Jakarta, Rabu (3 Juli 2019) | Foto: Cyberthreat.id/Rahmat Herlambang
Jakarta, Cyberthreat.id – Sesuai aturan hukum yang berlaku, aktivitas para pemburu celah keamanan (bug hunter) tergolong aktivitas ilegal karena mengakses sistem informasi milik institutsi tertentu tanpa izin. Namun, sebaiknya aktivitas mereka bisa dikelola dalam satu wadah resmi, seperti halnya sayembara bug berhadiah (bug bounty).
Dosen Hukum Siber Universitas Bina Nusantara, Bambang Pratama mengatakan, para bug hunter di Indonesia sebaiknya masuk dalam program yang diselenggarakan oleh Badan Siber dan Sandi Negarai (BSSN), yaitu Voluntary Vulnerability Disclosure Program (VVDP).
"Jadi, BSSN itu bertindak sebagai negara yang menyelenggarakan sebuah program dan BSSN sebagai penyelenggara akan bertanggung jawab [terhadap tindakan pencarian bug]. Jadi, si hacker ini dilindungi BSSN," kata Bambang ketika berbincang dengan Cyberthreat.id, Jakarta, Kamis (5 Maret 2020).
Menurut Bambang, BSSN juga harus membuat semacam bimbingan dan prosedur operasional standar (SOP) yang disepakati bersama dengan komunitas; bagaimana tahapan pencarian bug atau saat melakukan penetration testing (pentest), termasuk batasan-batasan sejauh mana hacker boleh memasuki sebuah sistem.
Dengan seperti itu, menurut Bambang, bisa mengurangi para bug hunter berbalik menjadi penjahat siber. Sebab, bisa saja mereka menanamkan backdoor atau malware yang sifatnya merugikan.
Berita Terkait:
- Hai Bug Hunter Tak Perlu Takut UU ITE, Ini Kuncinya
- Siswa SMA Hacker Baik Hati Ungkap Kelemahan Web Ombudsman
- Sekelas Pentagon Saja Sewa Bug Hunter, loh!
- BSSN Siapkan Regulasi Pasukan Bug Hunter
- BSSN Akan Bentuk Bug Hunter sebagai Talenta Cybersecurity
- Ini Dia Bug Hunter Termuda yang Direkrut BSSN
- VVDP Jaring 92 Bug Hunter di Acara Diskusi Cyberthreat.id
Sementara itu, Advisor Indonesia Digital Economy Empowerment Community, Mochamad James Falahuddin, menyarankan, agar para bug hunter menjalani prosedur secara benar. Sebelum masuk ke dalam sistem informasi, seharusnya izin terlebih dahulu ke institusi terkait.
"Aturannya harus ada izin terlebih dahulu meskipun niat atau maksudnya itu baik. Seperti ada kontrak kerja dan semacam kesepakatan," ujar James.
Di mata James, bug hunter termasuk dalam golongan peretas abu-abu (grey hat hacker). Mereka terbiasa tidak meminta izin sebelum menerobos sistem informasi tertentu, tetapi melaporkan kelemahannya kepada pemiliki sistem informasi tersebut.
Meski jaringan atau sistem tidak dilanggar dengan niat jahat, James mengatakan, tetap saja tindakan tersebut dianggap ilegal karena dilakukan tanpa persetujuan.
Dalam Undang-Undang ITE, aktivitas bug hunter tersebut terancam dalam Pasal 30. Pelanggaran terhadap pasal tersebut, diancam hukuman penjara yang tertuang dalam Pasal 46. Rinciannya, yaitu pelaku bisa dikenai hukuman penjara maksimal enam tahun dan/atau denda maksimal Rp 600 juta (pelanggaran Pasal 30 ayat 1), penjara tujuh tahun dan/atau denda Rp 700 juta (pelanggaran Pasal 30 ayat 2), dan penjara delapan tahun dan/atau denda Rp 800 juta (pelanggaran Pasal 30 ayat 3).
Namun, Bambang mengatakan, pemidanaan dalam UU ITE termasuk dalam kategori ultimum remedium, yaitu salah satu asas dalam hukum pidana Indonesia, di mana hukuman hendaklah dijadikan upaya terakhir dalam penegakan hukum.
"Pidana UU ITE itu termasuk ultimum remedium, yaitu upaya terakhir. Analoginya, selama bisa damai kenapa harus ribut," kata Bambang.
Oleh karenanya, terlepas izin atau tidaknya seorang bug hunter—ketika sebuah kementerian/lembaga, organisasi, atau perusahaan merasa terbantu atas temuan mereka,—menurut Bambang, pemidanaan bukanlah ancaman bagi para bug hunter.[]
Redaktur: Andi Nugroho
