BEBERAPA bulan terakhir, sejumlah perusahaan, bahkan organisasi pemerintah membuat sayembara untuk menangkap “serangga” di jaringan komputer, situs web, dan aplikasi (baik berbasis web maupun seluler).

Perburuan terhadap “serangga” itu telah lama berlangsung sejak Netscape untuk pertama kali mengenalkan istilah bug bounty lebih dari 20 tahun lalu. Netscape adalah peramban (browser) era 1990-an yang muncul sebelum adanya Internet Explorer.

Celah atau “serangga” (bug) pada sebuah perangkat lunak adalah hal yang paling disukai peretas (hacker). Dari celah inilah, “keusilan” mereka bisa berlanjut ke arah tak terduga. Mereka yang jahat bisa merusak, mencuri, mengubah, atau mengekspose ke publik data informasi sensitif. Sebaliknya, di tangan hacker putih, celah tersebut bukan dieksploitasi, tapi akan dilaporkan kepada pemilik sistem elektronik.

Kini perburuan bug tidak lagi tak terdeteksi. Di era digital yang kian masif, bug bounty juga semakin populer dan diadopsi sejumlah organisasi demi memperkuat ketahanan dan keamanan siber.

Sayangnya, tak semua organisasi memahami pekerjaan para bug hunter tersebut, notabene, mereka inilah para hacker, dari yang masih amatir hingga ahli. Ketika mereka melakukan pemindaian sistem, kadang masih dikategorikan sebagai pekerjaan ilegal, karena masuk ke sistem secara tidak sah.

Masih ingat kasus Mr. Cakil, hacker asal Bekasi, yang akhirnya mengubah tampilan (deface) situs web Bawaslu beberapa waktu lalu? Momen dia meretas memang tidak tepat karena suhu politik nasional masih hangat menjelang Pemilu 2019.

Sebetulnya, Mr. Cakil alias Dendy Syaiman telah melaporkan temuan “serangga” yang bisa dieksploitasi penjahat. Namun, Bawaslu tak menanggapi serius alias cuek. Niat baik Mr. Cakil masih dipandang sebelah mata lantaran tidak ada pengetahuan yang dimiliki Bawaslu soal keamanan siber.

Oleh karenanya, wawasan dunia siber sangat diperlukan bagi semua organisasi baik pemerintah maupun swasta di era serbadigital ini.

Sayembara celah keamanan (bug bounty) perlu didorong dan diperkenalkan lebih masif oleh organisasi di Indonesia. Kian terbuka lembaga atau organisasi membuat kegiatan tersebut akan berdampak pada perbaikan citra hacker yang terlanjur sudah buruk di mata publik.

Hacker harus diberi ruang untuk ekspresi dan eksistensi, untuk menyalurkan keahlian mereka pada bidangnya. Sama halnya, ketika anak-anak muda akrab dengan mural dan grafiti di tembok-tembok publik, mereka terpaksa kucing-kucingan dengan Satpol PP. Lebih baik mereka diberi basis resmi yang saling menguntungkan kedua belah pihak.

Google dan Apple tahun ini membuat para hacker tercengang dengan tawaran hadiah sayembara bug sebesar US$ 1,5 juta atau setara Rp 21 miliar.

Jaring laba-laba

Hadiah besar yang disediakan seperti itu memang mengundang pro-kontra. Menghabiskan uang sebesar itu hanya untuk mencari bug, apa tidak lebih baik menginvestasikan dananya untuk meningkatkan deteksi internal?

Tentu saja, sayembara bug yang ditawarkan harus pada hal-hal yang lebih rumit dan spesifik. Hanya buang-buang anggaran jika membuka sayembara untuk bug yang seharusnya bisa dilakukan oleh tim TI internal.

Sayembara bug memang sangat dimanfaatkan para hacker untuk unjuk gigi, sekaligus ingin mendapatkan penghasilan. Banyak hacker yang kaya mendadak dari sayembara bug.

Namun, pada dasarnya, sayembara bug bisa difungsikan untuk tujuan yang lebih besar. Sayembara bisa dikatakan sebagai jaring laba-laba, menarik para pemburu bug tadi muncul ke permukaan yang selama ini tenggelam di “alam bawah tanah”.

Dari pengakuan itu, hacker-hacker golongan hitam tentu bisa tergiur untuk insaf. Mereka bisa jadi tak lagi fokus untuk merusak dan mencuri. Namun, mereka punya ruang dan basis yang jelas untuk bekerja secara halal.

Ketika sayembara dikenalkan, maka program lain pun bisa mengikuti. Kontes-kontes atau pelatihan-pelatihan, bisa dibuat skala nasional oleh pemerintah atau swasta, terkait dunia peretasan memberikan peluang baik bagi para hacker.

Kegiatan semacam itu akan mempertemukan para hacker dari seantero negeri ini. Menyitir pepatah bijak, bahwa pertemuan akan memberikan umur panjang dan menambah rezeki, maka, pertemuan antar-hacker bisa menjadi peluang rezeki, salah satunya peluang bisnis keamanan siber.

Industri keamanan siber nasional kita belum terbangun dengan bagus. Kita masih mengandalkan dari perusahaan-perusahaan Amerika Serikat atau Rusia atau Eropa. Kita belum secara mandiri dan berdaulat bisa menangkap peluang pasar industri keamanan siber.

Dengan sering-seringnya membuat pertemuan para hacker adalah peluang menarik. Bisa jadi ada investor lokal yang tertarik mewadahi mereka dan mempekerjakan mereka. Industri bisa terbangun pelan, tapi pasti.

Saya yakin, teknologi informasi ke depan akan semakin canggih. Kebutuhan orang-orang yang ahli di dunia TI sangat diperlukan. Semua barang rumah tangga dan perusahaan tak ada yang tak terkoneksi dengan internet. Kelemahan pasti ada, dan tak semua orang menyadari dan memiliki kemampuan untuk mendeteksi, di sinilah para ahli keamanan siber (cybersecurity) dibutuhkan.

Para bug hunter kita masih muda-muda, mereka bergerak di komunitas-komunitas. Program VVDP yang diadakan Badan Siber dan Sandi Negara sangatlah baik meski mereka sebatas dihargai dalam bentuk sertifikat. Barangkali, BSSN atau lembaga pemerintah bisa berkolaborasi membuka program: Gerakan Sayembara Bug Nasional.

Toh, selama ini, kita tahu banyak hacker yang mampu membobol sistem elektronik pemerintah. Itu menunjukkan masih banyak kelemahan di tubuh pemerintah.

Saatnya mereka diberi tempat untuk naik ke kelas. Jika tak disiapkan dari sekarang, kapan lagi?