Pengungkapan keamanan terbaru yang melibatkan platform asal Finlandia Keigoan telah memicu diskusi intens tentang pendekatan bermasalah Belgium terhadap pelaporan kerentanan keamanan siber. Percakapan ini mengungkap pola yang mengkhawatirkan di mana peneliti keamanan yang berniat baik menghadapi ancaman hukum dan hambatan birokrasi ketika mencoba membantu organisasi memperbaiki celah keamanan.
Persyaratan Hukum yang Keras Menghambat Pengungkapan yang Bertanggung Jawab
Belgium telah menerapkan undang-undang keamanan siber yang menciptakan kewajiban hukum otomatis bagi siapa pun yang menemukan kerentanan dalam sistem Belgium . Persyaratan ini mencakup tenggat waktu ketat 24 jam untuk melaporkan temuan secara eksklusif kepada otoritas Belgium , lengkap dengan log terperinci dari semua aktivitas penelitian. Aturan ini berlaku terlepas dari kewarganegaraan atau lokasi peneliti, menciptakan ladang ranjau hukum bagi profesional keamanan internasional.
Aspek yang paling mengkhawatirkan adalah bahwa peneliti biasanya tidak dapat membagikan informasi kerentanan dengan organisasi non- Belgium yang terdampak, membiarkan mereka rentan sementara proses birokrasi berlangsung. Pendekatan ini secara fundamental salah memahami cara kerja keamanan siber modern dalam dunia yang saling terhubung.
Persyaratan Pengungkapan Kerentanan Belgium:
- Batas waktu 24 jam untuk melaporkan kepada otoritas Belgium
- Pelaporan eksklusif (tidak boleh menginformasikan pihak lain yang terdampak)
- Log rinci dari semua aktivitas penelitian diperlukan
- Berlaku untuk semua peneliti tanpa memandang kewarganegaraan atau lokasi
- Biasanya tidak ada izin yang diberikan untuk berbagi informasi secara publik
Hambatan Budaya Memperparah Masalah Hukum
Selain hambatan hukum, peneliti melaporkan menghadapi budaya penyangkalan dan permusuhan ketika mencoba pengungkapan yang bertanggung jawab di Belgium . Beberapa profesional keamanan menggambarkan pertemuan dengan organisasi Belgium yang merespons laporan kerentanan dengan ancaman daripada rasa terima kasih. Sikap defensif ini meluas melampaui keamanan siber ke dalam praktik bisnis umum, menciptakan apa yang disebut beberapa orang sebagai pajak arogansi yang menghambat penelitian keamanan yang sah.
Semakin sulit Anda membuat pengungkapan yang bertanggung jawab, semakin menarik pengungkapan yang tidak bertanggung jawab, dan cukup mudah dilakukan secara anonim.
Sektor perbankan, yang seharusnya mengutamakan keamanan mengingat perannya yang kritis, tampaknya sangat resisten terhadap bantuan keamanan dari luar. Peneliti menggambarkan bank sebagai salah satu aktor paling tidak jujur dalam hal mengakui dan mengatasi celah keamanan.
Dampak pada Komunitas Peneliti Keamanan:
- Para peneliti secara aktif menghindari sistem Belgium
- Ancaman tindakan hukum sering terjadi setelah pengungkapan yang bertanggung jawab
- "Pajak arogansi" yang mengecilkan hati pekerjaan keamanan yang sah
- Sektor perbankan sangat bermusuhan terhadap laporan kerentanan
- Pengungkapan anonim menjadi alternatif yang lebih menarik
Konsekuensi bagi Keamanan Nasional
Lingkungan yang tidak bersahabat ini menciptakan insentif yang menyimpang yang pada akhirnya merugikan postur keamanan siber Belgium . Ketika peneliti yang sah menghindari sistem Belgium , kerentanan tetap tidak terdeteksi hingga aktor jahat menemukannya. Kebijakan ini berasal dari pola pikir birokrasi yang berfokus pada perlindungan tanggung jawab daripada peningkatan keamanan yang sebenarnya.
Beberapa peneliti berpengalaman kini secara aktif menghindari sistem Belgium sepenuhnya, memandang risiko hukum dan budaya terlalu tinggi. Pelarian talenta ini membuat infrastruktur digital Belgium lebih rentan terhadap serangan nyata sambil menghukum mereka yang mencoba membantu.
Situasi ini menyoroti kesalahpahaman fundamental tentang keamanan siber modern di kalangan pembuat kebijakan. Keamanan yang efektif memerlukan kolaborasi antara organisasi dan peneliti, bukan hubungan yang bermusuhan yang mengusir keahlian. Hingga Belgium mereformasi kerangka hukum dan pendekatan budayanya terhadap pengungkapan kerentanan, negara ini akan terus tertinggal dalam kesiapan keamanan siber.
Referensi: Keigoan CV9 is deeply broken