Program pengungkapan kerentanan atau dikenal juga dengan nama program bug bounty adalah mekanisme yang dapat dijalankan oleh siapapun untuk membantu mengidentifikasi kerentanan pada sistem elektronik. Pada program tersebut, bug hunter (pelapor kerentanan) melaporkan temuan kerentanan kepada pemilik sistem dengan tujuan agar kerentanan tersebut dapat segera diperbaiki. Namun, program ini masih belum dijalankan dengan baik di Indonesia. Terdapat beberapa kasus para bug hunter justru dipidana-kan oleh pemilik sistem elektronik dengan alasan melakukan eksploitasi terhadap sistem tersebut tanpa izin dari pemiliknya.  Akibatnya, pelapor kerentanan mengalami kesulitan dalam melaporkan temuan kerentanannya kepada pemilik sistem. Selain itu, adanya kerentanan pada sistem elektronik tidak dapat diperbaiki dengan segera.

Badan Siber dan Sandi Negara (BSSN) sebagai institusi pemerintah yang bertugas di bidang keamanan siber akan menyelenggarakan program pengungkapan kerentanan secara sukarela (voluntary vulnerability disclosure program) yang diperuntukkan bagi masyarakat umum. Program tersebut merupakan salah satu cara agar masyarakat ikut serta berperan aktif untuk mewujudkan keamanan nasional di ranah siber. Program tersebut diselenggarakan berdasarkan asas kesukarelaan, kerahasiaan, koordinasi, integritas, netralitas, akuntabilitas, dan objektivitas.

Terdapat tiga pihak yang akan terlibat dalam program ini, yaitu pemilik sistem elektronik, masyarakat yang sudah terdaftar di BSSN dan berhasil mengidentifikasi kerentanan pada suatu sistem elektronik sebagai pelapor, dan BSSN sebagai koordinator. Program tersebut merupakan suatu mekanisme kerja sama antara pelapor, BSSN, dan pemilik sistem elektronik untuk menemukan solusi agar dapat mengurangi risiko terkait kerentanan yang ditemukan dan dilaporkan oleh pelapor. Program ini diharapkan akan menciptakan kerja sama yang efektif untuk mengurangi risiko terkait dengan kerentanan pada sistem elektronik dan menjadi wadah pembinaan bagi pelapor kerentanan yang berpartisipasi di dalam program.

Baca Juga: https://bssn.go.id/sosialisasi-dan-permintaan-tanggapan-atas-rancangan-peraturan-bssn-tentang-program-pengungkapan-kerentanan-secara-sukarela-vvdp/

Mekanisme yang dibangun pada program ini adalah masyarakat yang sudah terdaftar di BSSN sebagai pelapor dapat melakukan pengungkapan kerentanan terhadap sistem elektronik yang sudah didaftarkan oleh pemiliknya dalam program ini. Apabila pelapor telah menemukan adanya kerentanan terhadap suatu sistem elektronik, pelapor wajib melaporkannya pada BSSN selaku koordinator. Selanjutnya, BSSN akan memberikan Imbauan Keamanan kepada pemilik sistem elektronik agar dilakukan perbaikan (remediasi) terhadap kerentanan yang sudah ditemukan. Pemilik sistem elektronik yang sudah mendapat Imbauan Keamanan dari BSSN wajib melakukan remediasi terhadap sistem elektronik yang dimilikinya.

Deputi Bidang Proteksi BSSN sebagai Penyelenggara Program telah menyusun rancangan Peraturan BSSN terkait dengan program tersebut untuk memberikan jaminan kepastian hukum atas pengungkapan kerentanan pada sistem elektronik bagi seluruh masyarakat Indonesia. Saat ini, rancangan peraturan tersebut sedang dalam proses publikasi untuk mendapat masukan dari berbagai pihak. Rancangan tersebut sifatnya terbuka dan dapat didistribusikan tanpa adanya batasan sehingga bagi masyarakat yang ingin memberikan masukan terkait rancangan peraturan program ini diperbolehkan. Adanya peraturan ini diharapkan agar masyarakat mempunyai payung hukum yang jelas terkait pengungkapan kerentanan pada sistem elektroniksehingga tidak ada pihak yang merasa dirugikan atas adanya program ini. Oleh sebab itu, BSSN mengharapkan adanya masukan terkait rancangan Peraturan BSSN tersebut dari masyarakat. Apabila terdapat masukan atau tanggapan, maka dapat disampaikan melalui email tu.d22@bssn.go.id. (Top/Nia)