Pemerintah Belanda bertujuan untuk membentuk praktik pengungkapan para hacker yang etis

Pusat keamanan cyber pemerintah Belanda telah menerbitkan panduan yang diharapkan akan mendorong peretas etis untuk mengungkapkan kerentanan keamanan dengan cara yang bertanggung jawab.

"Orang yang melaporkan kerentanan TI memiliki peran penting. tanggung jawab sosial, "Menteri Keamanan dan Keadilan Belanda mengatakan pada hari Kamis, mengumumkan pedoman untuk peretasan etika yang diterbitkan oleh Pusat Keamanan Cyber ​​Nasional (NCSC).

Peretas topi putih dan peneliti keamanan memainkan peran penting dalam mengamankan Sistem TI dengan menemukan kerentanan, kata NCSC. Namun, pusat tersebut berpendapat bahwa para peneliti keamanan terkadang enggan mengungkapkan kerentanan kepada perusahaan, sebagai gantinya menggunakan saluran media untuk mengumumkan kerentanan, yang merupakan praktik yang tidak diinginkan karena memunculkan lubang sebelum diperbaiki. (Lihat juga "Hactivists 'Audacious' Membuat Pernyataan Sosial, Scholar Says.")

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dengan panduan ini, pemerintah ingin memberikan organisasi dengan kerangka kerja untuk membuat kebijakan mereka sendiri tentang pengungkapan yang bertanggung jawab. Ivo Opstelten, Menteri Keamanan dan Keadilan, berencana untuk mendorong penggunaan luas pedoman pengungkapan yang bertanggung jawab dalam pemerintahan, katanya dalam sebuah surat yang dikirim ke parlemen.

Sementara panduan yang dirilis tidak mempengaruhi kerangka hukum yang ada, itu mendorong pihak-pihak untuk bekerja sama untuk membuat sistem TI lebih aman, kata NCSC. Perusahaan dan pemerintah dapat misalnya menawarkan formulir online standar yang dapat digunakan oleh peneliti keamanan untuk memberi tahu organisasi jika mereka menemukan kerentanan, katanya.

Perusahaan dan peneliti juga dapat menyetujui untuk mengungkapkan kerentanan dalam waktu tertentu. bingkai. Periode yang dapat diterima untuk pengungkapan kerentanan perangkat lunak adalah 60 hari, sementara periode yang wajar untuk mengungkapkan lebih keras untuk memperbaiki kerentanan perangkat keras adalah enam bulan, kata NCSC. Ketika sebuah organisasi memutuskan untuk mengikuti panduan ini, ia harus memasukkan dalam kebijakannya bahwa itu tidak akan mengambil tindakan hukum terhadap peretas etis yang mematuhi aturan, tambahnya.

Namun, Dinas Kejaksaan Belanda akan tetap memiliki opsi untuk menuntut ketika itu mencurigai bahwa kejahatan telah dilakukan, Kementerian Keamanan dan Keadilan mengatakan.

Prosedur yang direkomendasikan

Orang yang menemukan kerentanan harus melaporkannya secara langsung dan sesegera mungkin kepada pemilik sistem secara rahasia, jadi kebocoran itu tidak bisa disalahgunakan oleh orang lain. Selanjutnya, peretas etik tidak akan menggunakan teknik rekayasa sosial, atau memasang backdoor atau menyalin, memodifikasi atau menghapus data dari sistem, NCSC yang ditentukan. Atau seorang hacker bisa membuat daftar direktori di sistem, kata pedoman.

Peretas juga harus menahan diri dari mengubah sistem dan tidak berulang kali mengakses sistem. Menggunakan teknik brute force untuk mengakses sistem juga tidak disarankan, kata NCSC. Peretas etik selanjutnya harus setuju bahwa kerentanan hanya akan diungkapkan setelah diperbaiki dan hanya dengan persetujuan dari organisasi yang terlibat. Para pihak juga dapat memutuskan untuk menginformasikan komunitas TI yang lebih luas jika kerentanan baru atau diduga bahwa lebih banyak sistem memiliki kerentanan yang sama, NCSC mengatakan.

Meskipun prosedur pengungkapan yang bertanggung jawab pada prinsipnya adalah masalah untuk detektor dan organisasi, NCSC dapat bertindak sebagai perantara jika kerentanan dilaporkan secara langsung.

"Saya pikir ini adalah hal yang sangat baik, terutama ketika NCSC bertindak sebagai perantara," kata Ronald Prins, CEO keamanan Belanda perusahaan Fox-IT. Salah satu masalah yang dihadapi para peretas etika adalah bahwa mereka mengalami kesulitan untuk dianggap serius jika mereka melaporkan kerentanan terhadap perusahaan, dan mereka mengalami kesulitan untuk menjangkau orang yang tepat, katanya.

Jika sebuah organisasi dihubungi tentang kerentanan keamanan oleh organisasi pemerintah resmi seperti NCSC, itu mungkin akan mengambil peringatan lebih serius, tambahnya. Formulir online yang digunakan untuk melaporkan kerentanan langsung kepada orang yang tepat dalam suatu organisasi juga dapat membantu proses ini, tambahnya.

Meskipun ada sedikit fleksibilitas yang diberikan kepada peretas etis dalam pedoman, Prins mengatakan dia mengerti mengapa pemerintah melakukan itu. Ini mencegah peretas etis untuk tidak melintasi batas, katanya.

"Saya melihat bahwa beberapa orang kecewa" karena Jaksa Penuntut Umum masih diizinkan untuk menuntut ketika mereka menganggap itu perlu, kata Prins. Tetapi tidak mungkin untuk tidak melakukan ini, tambahnya. "Saya akan sangat senang jika seseorang melaporkan masalah yang dia temukan," katanya. Tetapi jika orang itu menghabiskan hari-hari dengan menggebrak sistemnya untuk masuk, Prins pasti akan mempertimbangkan mengajukan pengaduan hukum, katanya.

Loek adalah Koresponden Amsterdam dan mencakup privasi online, kekayaan intelektual, sumber terbuka dan masalah pembayaran online untuk IDG. Layanan Berita. Ikuti dia di Twitter di @loekessers atau kirim email tips dan komentar ke [email protected]