Britania Raya telah meluncurkan inisiatif penting untuk memperkuat postur keamanan sibernya dengan melibatkan para ahli eksternal. Program baru ini menyediakan kerangka kerja resmi bagi para peneliti keamanan untuk membantu mengidentifikasi dan melaporkan kelemahan dalam layanan digital pemerintah.
Inisiatif Keamanan Siber Terbaru Britania Raya
Pemerintah Britania Raya, melalui National Cyber Security Centre (NCSC) yang merupakan bagian dari GCHQ, memperkenalkan Skema Pelaporan Kerentanan Siber Pemerintah (Government Cyber Vulnerability Reporting scheme – GCVRS). Skema ini bertujuan untuk menciptakan jalur yang jelas dan aman bagi individu di luar pemerintahan untuk berkontribusi dalam mengamankan aset digital negara.
Tujuan dan Lingkup Program
Tujuan utama GCVRS adalah memungkinkan para peneliti keamanan yang menemukan potensi kelemahan dalam layanan digital pemerintah yang memenuhi syarat untuk melaporkannya secara sah dan bertanggung jawab. Program ini menetapkan ruang lingkup aset dan aktivitas mana yang termasuk dan tidak termasuk dalam skema, serta pedoman yang harus diikuti oleh para peneliti saat melakukan dan melaporkan temuan mereka. Fokusnya adalah pada pengungkapan kelemahan yang ditemukan, bukan pada pencarian aktif atau eksploitasi yang tidak sah.
Perlindungan Hukum bagi Peneliti
Salah satu fitur kunci dari GCVRS adalah penyediaan perlindungan hukum bagi para peneliti yang berpartisipasi dengan itikad baik dan mematuhi aturan skema. Ini dikenal sebagai ‘safe harbour’ dan dirancang untuk menghilangkan ketakutan akan tindakan hukum yang tidak disengaja saat peneliti berusaha membantu meningkatkan keamanan dengan melaporkan kerentanan. Dengan adanya jaminan ini, diharapkan lebih banyak ahli keamanan akan bersedia untuk berbagi temuan mereka secara proaktif.
Bukan Program Bug Bounty Berbayar
Penting untuk dicatat bahwa GCVRS bukanlah program bug bounty tradisional yang menawarkan hadiah finansial untuk setiap kelemahan yang dilaporkan. Skema ini lebih berfokus pada penyediaan saluran resmi untuk pengungkapan kerentanan yang bertanggung jawab dan penyediaan perlindungan hukum bagi para pelapor. Program ini dibangun berdasarkan standar ISO 30111 untuk penanganan kerentanan dan dikelola melalui portal pusat oleh NCSC.
Langkah Penting untuk Pertahanan Digital
Peluncuran GCVRS merupakan langkah penting bagi Britania Raya dalam usahanya untuk memanfaatkan keahlian komunitas keamanan siber yang lebih luas guna memperkuat pertahanan digital pemerintahan. Dengan menyediakan mekanisme yang jelas dan aman untuk melaporkan kerentanan, pemerintah dapat secara lebih efisien mengidentifikasi dan memperbaiki kelemahan kritis sebelum dapat dieksploitasi oleh aktor jahat, sehingga meningkatkan ketahanan siber nasional secara keseluruhan.
Sumber: https://www.bleepingcomputer.com/news/security/uk-launches-vulnerability-research-program-for-external-experts/