Pengalaman terbaru seorang peneliti keamanan dengan undang-undang pengungkapan kerentanan Belgia telah memicu diskusi intens tentang bagaimana kerangka hukum dapat menghambat upaya keamanan siber. Peneliti tersebut menemukan kerentanan dalam sistem pemerintah Belgia secara tidak sengaja, yang mengarah pada cobaan selama berbulan-bulan dan menyoroti kelemahan serius dalam pendekatan negara tersebut terhadap pengungkapan kerentanan yang terkoordinasi.
Insiden ini dimulai ketika peneliti menemukan celah keamanan dan segera melaporkannya melalui saluran informal. Sistem yang rentan tersebut dimatikan dalam hitungan jam. Namun, peneliti kemudian menemukan persyaratan hukum ketat Belgia yang berlaku bagi siapa pun yang menemukan kerentanan dalam sistem Belgia , terlepas dari kewarganegaraan atau lokasi mereka.
Persyaratan Hukum yang Keras Menghambat Upaya Beriktikad Baik
Undang-undang pengungkapan kerentanan Belgia memberlakukan beberapa persyaratan yang menuntut bagi peneliti keamanan. Siapa pun yang menemukan kerentanan harus mengajukan laporan awal kepada Centre for Cybersecurity Belgium dalam 24 jam, termasuk detail identifikasi pribadi. Laporan teknis terperinci harus menyusul dalam 72 jam, lengkap dengan log dan dokumentasi yang sebagian besar peneliti tidak rutin simpan.
Yang paling mengkhawatirkan adalah persyaratan kerahasiaan tanpa batas waktu. Peneliti tidak dapat membahas temuan mereka secara publik tanpa izin eksplisit dari otoritas Belgia , yang beroperasi di bawah kebijakan rahasia dan tidak menyediakan proses banding yang jelas. Respons komunitas sangat kritis terhadap pembatasan ini, dengan banyak yang menyarankan agar peneliti menghindari sistem Belgia sepenuhnya atau menggunakan layanan pengungkapan anonim.
Persyaratan Pengungkapan Kerentanan Belgium:
- Laporan awal kepada CCB dalam 24 jam (termasuk detail identitas pribadi)
- Laporan teknis lengkap dalam 72 jam (dengan log dan dokumentasi)
- Kewajiban kerahasiaan tanpa batas waktu tanpa proses banding yang jelas
- Persyaratan berlaku untuk warga negara dan penduduk non- Belgium
- Dipicu oleh penemuan, bukan pelaporan kerentanan
Komunitas Mengadvokasi Langkah-Langkah Perlindungan
Komunitas keamanan siber telah merespons dengan saran praktis bagi peneliti yang menghadapi situasi serupa. Chaos Computer Club menawarkan layanan proxy anonim untuk pengungkapan kerentanan, memungkinkan peneliti melaporkan masalah tanpa mengekspos diri mereka pada risiko hukum. Banyak anggota komunitas menekankan bahwa mengajukan pengungkapan dengan nama asli di yurisdiksi dengan hukum yang tidak bersahabat adalah berbahaya tanpa alasan.
Hanya orang gila yang mengajukan pengungkapan yang bertanggung jawab dengan nama asli mereka dan berisiko masuk penjara karena hukum yang biadab.
Diskusi ini mengungkapkan kekhawatiran yang lebih luas tentang bagaimana kerangka hukum dapat merusak upaya keamanan siber. Ketika peneliti menghadapi penuntutan pidana karena membantu organisasi memperbaiki masalah keamanan, respons logisnya adalah menghindari sistem tersebut sama sekali.
Langkah-Langkah Perlindungan yang Direkomendasikan Komunitas:
- Gunakan layanan pengungkapan anonim (misalnya, proxy Chaos Computer Club )
- Buat akun email anonim sementara untuk pelaporan
- Teliti hukum ekstradisi untuk keamanan tambahan
- Hindari memverifikasi kerentanan yang dicurigai dalam sistem Belgian
- Jangan pernah ajukan pengungkapan dengan nama asli di yurisdiksi yang bermusuhan
Penelitian Multi-Pemangku Kepentingan Menjadi Tidak Mungkin
Undang-undang Belgia menciptakan masalah khusus untuk penelitian kerentanan skala besar. Jika seorang peneliti menemukan kerentanan yang sama di ribuan sistem di seluruh dunia, menemukan bahkan satu sistem Belgia dalam kumpulan tersebut memicu persyaratan pelaporan 24 jam dan kewajiban kerahasiaan tanpa batas waktu. Ini secara efektif mencegah peneliti memperingatkan 999 organisasi lainnya sampai otoritas Belgia memberikan izin, yang mungkin tidak pernah datang.
Pengalaman peneliti tersebut menggambarkan bagaimana undang-undang keamanan yang berniat baik dapat menjadi bumerang secara spektakuler. Alih-alih mendorong pengungkapan yang bertanggung jawab, pendekatan Belgia menciptakan risiko hukum sedemikian rupa sehingga profesional keamanan memilih untuk mengabaikan sistem Belgia sepenuhnya. Ini membuat organisasi Belgia lebih rentan terhadap serangan, karena lebih sedikit peneliti yang bersedia membantu mengidentifikasi dan memperbaiki masalah keamanan.
Insiden ini menjadi kisah peringatan bagi negara lain yang mengembangkan kerangka pengungkapan kerentanan. Keamanan siber yang efektif bergantung pada kerja sama antara peneliti dan organisasi, bukan ancaman hukum yang mengusir orang-orang yang mencoba membantu.
Referensi: Belgium is unsafe for CVD