[Tech Thoughts] Sekilas tentang bug bounty dan ethical hacking DICT

Departemen Teknologi Informasi dan Komunikasi pada 14 Januari merilis surat edaran departemen HRA-002, yang menetapkan pedoman, aturan, dan regulasi yang direvisi dan dikonsolidasikan tentang pengungkapan kerentanan dan kebijakan safe harbor negara serta program bug bounty.

Sekretaris DICT Henry Aguda bahkan menghadiri konferensi hacking Rootcon tahun lalu dengan tujuan mempromosikan perkembangan ini, mengatakan bahwa para hacker negara harus menggunakan keterampilan mereka "untuk melindungi, bukan untuk menghancurkan."

Untuk itu, penerapan Safe Harbor Policy dan Bug Bounty Program (SHPBBP) seharusnya menjadi kabar baik bagi mereka yang memiliki keterampilan yang tepat, karena berusaha memberikan insentif untuk pengungkapan keamanan siber yang bertanggung jawab untuk layanan pemerintah.

Mari kita lihat apa arti semua ini, terutama jika Anda belum pernah mendengar tentang perkembangan ini.

Ethical hacker, bug bounty, dan kebijakan safe harbor

Ethical hacking adalah proses di mana seorang profesional keamanan siber, yang juga dikenal sebagai white-hat hacker, mengidentifikasi dan membantu memperbaiki kerentanan dalam aplikasi, sistem, atau teknologi sebelum kerentanan tersebut dapat digunakan secara jahat oleh hacker yang tidak etis, atau black-hat hacker.

Dengan demikian, ethical hacking mensimulasikan serangan siber dunia nyata untuk menilai risiko sistem sehingga sistem yang diberikan dapat ditingkatkan atau diperkuat keamanannya.

Untuk membuat ethical hacking bermanfaat bagi white-hat hacker, program bug bounty adalah struktur organisasi yang dibentuk untuk menilai dan menawarkan kompensasi finansial untuk pekerjaan mengungkap dan secara bertanggung jawab menyerahkan kerentanan kepada orang-orang yang mengembangkan sistem yang telah diretas. Ini agar keamanan sistem tersebut dapat ditingkatkan.

Program bug bounty sering kali dilengkapi dengan perlindungan bagi hacker untuk melakukan pekerjaan mereka.

Kebijakan safe harbor ini dirancang untuk melindungi white-hat hacker atau peneliti keamanan dari tanggung jawab administratif, perdata, atau pidana jika mereka menemukan sesuatu dalam proses mencari bug, selama mereka mengungkapkan penelitian mereka dengan benar sesuai dengan spesifikasi program bug bounty tertentu.

Tentang apa surat edaran SHPBBP DICT?

SHPBBP dari DICT menguraikan perlindungan dan persyaratan yang diperlukan untuk berpartisipasi dalam program bug bounty DICT.

Sekarang, Anda mungkin bertanya-tanya apakah siapa pun dapat berpartisipasi dalam bug bounty.

Untuk tujuan surat edaran DICT, Anda harus, setidaknya, menjadi peneliti keamanan siber profesional untuk berpartisipasi. Anda juga harus mendaftarkan diri Anda dalam prosedur Know Your Contributor (KYC) agar memenuhi syarat untuk mendapatkan hadiah dari bug bounty.

Secara khusus, surat edaran tersebut menyatakan bahwa ini berlaku untuk:

• Semua lembaga pemerintah nasional di bawah Cabang Eksekutif, termasuk Badan Usaha Milik dan Dikendalikan Pemerintah dan anak perusahaannya, Lembaga Keuangan Pemerintah, dan Universitas dan Perguruan Tinggi Negeri, termasuk yang berada di bawah domain *.gov.ph dan platform yang dikelola DICT;
• Kongres Filipina, Yudikatif, Komisi Konstitusional Independen, Kantor Ombudsman, dan Unit Pemerintah Daerah sangat dianjurkan untuk mengadopsi Surat Edaran ini;
• Entitas swasta yang secara sukarela terdaftar dalam Program Kemitraan Keamanan Siber Publik-Swasta DICT;
• Operator Infrastruktur Informasi Kritis (CII), sebagaimana diidentifikasi dalam Rencana Keamanan Siber Nasional (NCSP); dan
• Peneliti Keamanan Siber yang bertanggung jawab untuk mengidentifikasi dan menganalisis ancaman potensial terhadap jaringan dan sistem organisasi.

Perlindungan safe harbor hanya akan berlaku, sementara itu, jika Anda adalah peneliti keamanan yang hanya menguji sistem yang dinyatakan dalam lingkup bug bounty; Anda tidak melakukan eksfiltrasi, perubahan, atau gangguan layanan data yang tidak sah; Anda melaporkan kerentanan secara bertanggung jawab dan pribadi kepada DICT atau entitas yang berwenang; dan Anda menjaga temuan Anda tetap pribadi dan tidak mengungkapkannya sampai masalah yang Anda temukan telah diselesaikan atau Anda telah diizinkan untuk membahasnya secara publik.

Bagaimana cara kerjanya?

Anda mungkin penasaran bagaimana ini bekerja dalam praktik, jadi inilah cara kerjanya secara umum.

Seorang peneliti keamanan mendaftar untuk bergabung dengan inisiatif DICT melalui prosedur Know Your Customer yang disebutkan di atas. Mereka harus menyelesaikan seluruh proses dan diterima agar memenuhi syarat untuk hadiah uang tunai. Konflik kepentingan — misalnya, personel DICT dan penyedia layanan pihak ketiga yang terlibat oleh DICT — mendiskualifikasi calon pelamar dari berpartisipasi dalam bug bounty ini.

Program bug bounty akan memiliki bounty yang ditetapkan oleh entitas yang berpartisipasi, yaitu lembaga pemerintah yang membutuhkan bantuan, atau mitra pemerintah yang ingin menetapkan bounty mereka sendiri. Pendanaan untuk membuat surat edaran ini berfungsi "akan dibebankan pada anggaran yang ada dari lembaga atau institusi yang tercakup, dan sumber pendanaan lain yang sesuai yang mungkin diidentifikasi oleh Departemen Anggaran dan Manajemen, tunduk pada hukum, aturan, dan regulasi yang relevan."

Bounty ini — termasuk situs atau layanan apa dan aspek apa dari situs dan layanan tersebut yang perlu diuji — terdaftar di portal program pengungkapan kerentanan (VDPP), sebuah situs web yang didedikasikan untuk mencari bug dan melaporkannya. Ini dihosting dan dikelola oleh biro keamanan siber DICT.

Bug dan masalah yang dilaporkan dengan benar ke VDPP dapat termasuk dalam empat kemungkinan skenario keamanan mulai dari Kritis, Tinggi, Sedang, dan Rendah, dengan pembayaran potensial berdasarkan tarif industri tergantung pada laporan dan tingkat keparahannya.

Biro keamanan siber DICT akan memvalidasi laporan, dan akan memberikan kepada mereka yang memiliki laporan yang tervalidasi "sertifikat/pengakuan yang sesuai untuk kontribusi peneliti dalam melaporkan dan/atau
penyelesaian kerentanan yang tervalidasi." Entitas sektor swasta yang berpartisipasi, setelah berkoordinasi dengan biro keamanan siber DICT, dapat memberikan hadiah atau insentif uang yang sesuai berdasarkan mekanisme insentif terstruktur yang diuraikan dalam VDPP.

Selain hadiah uang, ada juga pengakuan yang terlibat karena pengungkapan yang bertanggung jawab mendapat perhatian pemerintah. Hadiah termasuk sertifikat digital dan cetak, pengakuan publik di VDPP, dan Inklusi dalam kutipan DICT lainnya, sesuai surat edaran.

Perkembangan yang sangat dibutuhkan

Program bug bounty nasional dengan aturan yang jelas untuk terlibat dalam proses adalah kabar baik dan perkembangan yang sangat dibutuhkan di ruang keamanan siber, karena seharusnya membantu memberikan insentif untuk ethical hacking dalam jangka panjang sambil meningkatkan sistem pemerintah saat ini.

Jika Anda seorang profesional keamanan siber yang sedang berkembang, ini bisa menjadi cara yang baik untuk masuk ke industri, selama Anda tahu apa yang Anda lakukan dan melakukan pekerjaan yang diperlukan untuk pengungkapan yang bertanggung jawab.

Periksa surat edaran yang ditautkan di sini untuk detail dan terlibat. Anda bisa membantu meningkatkan keamanan pemerintah dari beberapa orang jahat. – Rappler.com