Lanskap pengungkapan kerentanan dalam sistem pemerintah menunjukkan perbedaan yang mencolok dalam cara berbagai negara menangani kerja sama keamanan siber dengan peretas etis. Diskusi terkini seputar sistem penghargaan kaos dari pemerintah Belanda telah memicu pembicaraan yang lebih luas tentang kompensasi dan pengakuan yang tepat bagi peneliti keamanan.
Berbagai Respons Pemerintah terhadap Peneliti Keamanan
Sementara NCSC Belanda telah menerapkan sistem respons terstruktur yang mencakup kaos dan surat pengakuan resmi, gambaran globalnya jauh lebih kompleks. Diskusi komunitas menyoroti insiden yang mengkhawatirkan, seperti kasus tahun 2018 di Norwegia di mana seorang anak di bawah umur menemukan kerentanan serius dalam platform sekolah kota. Alih-alih mendapat pengakuan, peneliti muda tersebut menghadapi penggerebekan polisi, menunjukkan bagaimana beberapa otoritas masih merespons dengan permusuhan daripada penghargaan.
Ekonomi Bug Bounty Pemerintah
Perdebatan signifikan telah muncul seputar tingkat kompensasi yang tepat bagi peneliti keamanan. Sementara beberapa berpendapat bahwa hadiah simbolis seperti kaos meremehkan pekerjaan keamanan yang krusial, yang lain menunjukkan keterbatasan praktis dari program bug bounty pemerintah.
Anda bisa memberi penghargaan kepada warga negara Anda dengan hadiah uang besar, ATAU, Anda bisa memberi penghargaan kepada Rusia/China dengan data Anda karena mereka dengan senang hati akan mencari-cari secara gratis. Ini adalah tindakan hemat yang justru merugikan.
Seorang peneliti menerima penghargaan simbolis dari pemerintah Belanda atas pelaporan kerentanan keamanan |
Proses Formal vs Gestur Simbolis
Pendekatan NCSC-NL menggabungkan dokumentasi formal dengan pengakuan simbolis. Prosedur terdokumentasi mereka mencakup timeline penyelesaian 60 hari, jaminan kerahasiaan, dan perlindungan hukum bagi peneliti yang mengikuti protokol pengungkapan yang tepat. Meskipun kaos mungkin terlihat sepele, ini adalah bagian dari sistem respons terstruktur yang lebih luas yang mencakup pengakuan formal dan potensi hadiah tambahan berdasarkan tingkat keparahan kerentanan.
Proses Pengungkapan Kerentanan NCSC-NL:
- Respon awal dalam waktu 1 hari kerja
- Penilaian diberikan dalam waktu 3 hari kerja
- Batas waktu penyelesaian maksimal 60 hari
- Jaminan kerahasiaan
- Perlindungan hukum untuk laporan yang sesuai
- Hadiah mulai dari kaos hingga kartu hadiah
Implikasi Masa Depan untuk Keamanan Sektor Publik
Diskusi ini mengungkapkan kebutuhan yang berkembang akan pendekatan standar dan profesional untuk pengungkapan kerentanan dalam sistem pemerintah. Sementara beberapa peneliti menghargai gestur simbolis, komunitas semakin mengadvokasi pengakuan yang lebih substansial atas upaya penelitian keamanan, menunjukkan bahwa entitas pemerintah mungkin perlu mengembangkan sistem penghargaan mereka untuk mempertahankan kemitraan keamanan yang efektif dengan peretas etis.
Sumber Kutipan: I hacked the Dutch government and all I got was this t-shirt