Cyberthreat.id – Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat pekan lalu mengeluarkan rancangan arahan operasional yang mengikat: Binding Operational Directive 20-01 (BOD 20-01).

Rancangan kebijakan itu akan mewajibkan lembaga-lembaga eksekutif sipil di tingkat federal untuk menerbitkan kebijakan pengungkapan kerentanan (VDP)—untuk menerima dan merespons terkait dengan laporan kerentanan pada sistem elektronik dari publik.

Artinya, ini kabar baik para peretas (hacker) dan peneliti keamanan siber untuk memburu celah keamanan alias bug.

"Arahan ini mengharuskan setiap lembaga untuk mengembangkan dan menerbitkan kebijakan pengungkapan kerentanan (VDP) dan memelihara prosedur penanganan yang mendukung," ujar Direktur CISA Christopher Krebs.

CISA adalah badan yang dibentuk di era pemerintah Presiden Donald Trump melalui CISA Act 2018 dan bagian dari Departemen Keamanan Dalam Negeri (DHS).

“Ketika hal-hal lebih mudah dilakukan, tentu akan ada lebih banyak orang melakukannya. Dan, melaporkan bug seharusnya tidak sulit,” kata Krebs.

CISA tengah bekerja dengan beberapa lembaga yang memiliki VDP dan berupaya menyelaraskan arahan dengan panduan federal, standar internasional, dan praktik-praktik baik.

"Tetapi arahan ini sedikit berbeda dari yang lain yang telah kami keluarkan, di mana badan atau lembaga diarahkan untuk mengambil tindakan dan kemudian CISA memverifikasi tindakan telah terjadi,” tutur dia.

“Publik yang akan memberikan laporan tersebut dan akan menjadi penerima manfaat sebenarnya dari pemulihan kerentanan," ia menambahkan.

Krebs mengatakan, sebagian besar lembaga pemerintahan selama ini tidak memiliki mekanisme formal untuk menerima laporan bug dari para hacker atau peneliti.

Menurut Krebs, ada tiga masalah utama yang terjadi terkait pelaporan bug kepada pemerintah:

• Selama ini, badan-badan federal tidak selalu menjelaskan ke mana laporan bug harus dikirim
• Pelapor tidak yakin bug tersebut diperbaiki, dan
• Banyak peneliti keamanan khawatir pemerintah akan menuntut mereka.

Hal itu, kata dia, yang membuat para hacker atau peneliti menunda atau tidak melaporkan temuan potensi kelemahan di situs web pemerintah. Akibatnya, bug dalam kondisi rentan bagi penyerang untuk mengeksploitasi.

“Dengan menerapkan kebijakan VDP, ini memudahkan masyarakat untuk mengetahui ke mana harus mengirim laporan, jenis pengujian apa yang diizinkan untuk sistem mana, dan komunikasi apa yang diharapkan,” tulis Krebs

“Ketika lembaga mengintegrasikan pelaporan kerentanan ke dalam kegiatan manajemen risiko keamanan siber yang ada, mereka dapat menimbang dan memperbaiki berbagai kekhawatiran yang lebih luas,” Krebs menambahkan.

Tidak berhadiah

Namun, para hacker atau peneliti keamanan harus menyadari bahwa program VDP itu berbeda dengan layaknya sayembara bug yang berhadiah (bug bounty). Tidak ada dalam arahan ini yang diberi hadiah. Arahan tersebut sebatas instruksi kebijakan cabang eksekutif yang mengharuskan lembaga cabang eksekutif sipil federal untuk memiliki VDP.

Melalui program itu, CISA ingin mendapatkan masukan dari para ahli atau perusahaan keamanan siber dalam pengungkapan kerentanan dan mengelola pengungkapan kerentanan secara terkoordinasi.

CISA membuka ruang berdialog dan menunggu respons publik hingga 27 Desember 2019 melalui GitHub.

Program bug bounty telah dilakukan lebih dulu oleh Kementerian Pertahanan AS selama tiga tahun terakhir dan bulan lalu memulai bug bounty kesembilan dengan komunitas HackerOne.

Target waktu

Dengan mengeluarkan arahan tersebut, CISA mengharapkan lembaga pemerintahan di tingkat federal bisa menyediakan data tentang program mereka masing-masing, seperti jumlah laporan pengungkapan kerentanan, dan berapa banyak laporan yang valid.

Dalam 15 hari, lembaga pemerintahan diharapkan mengaktifkan penerimaan laporan yang tidak diminta melalui email.

Lalu, dalam 180 hari, mereka harus telah menerbitkan VDP di situs web, merinci sistem mana saja yang diteliti, jenis pengujian yang diizinkan, deskripsi cara mengirim laporan dan pernyataan bahwa pelapor dapat mengirimkan laporan secara anonim.

“Kebijakan tidak boleh berupaya membatasi kemampuan pelapor untuk mengungkapkan kerentanan yang ditemukan kepada orang lain," tulis Krebs.

Sumber: diolah dari Security Magazine, CSO Australia, dan CISA