B. Kolaborasi Manajemen Kerentanan pada Tingkat Nasional

Manajemen kerentanan membutuhkan upaya terkoordinasi di seluruh proses rantai pasokan untuk secara efektif mengurangi risiko terkait kerentanan pada perangkat lunak dan sistem. Setiap pemangku kepentingan dalam ekosistem ini memiliki tanggung jawab yang berbeda-beda, dan kolaborasi di antara mereka sangat penting, mulai dari tahap identifikasi dan remediasi kerentanan hingga langkah-langkah selanjutnya. Kolaborasi ini dapat diwujudkan dalam berbagai program bersama seperti Vulnerability Disclosure Program, Vulnerability Sharing Platform, maupun Information Sharing and Analysis Center (ISAC).

Gambar 8. Kolaborasi Manajemen Kerentanan

Gambar 8 menunjukkan skema alur kolaborasi Manajemen Kerentanan di tingkat nasional. Koordinator/Regulator memiliki fungsi pembinaan serta penyusunan kebijakan, standar, atau panduan yang dapat dijadikan acuan oleh berbagai pihak, seperti Penyelenggara Sistem Elektronik (PSE) dan Pengembang/Konsultan. Di samping itu, peran utama Koordinator/Regulator adalah mengkoordinasikan setiap pihak yang terlibat agar dapat menjalankan peran dan tugas nya masing-masing dengan baik.

Pegiat Keamanan Siber juga memainkan peran penting dalam Manajemen Kerentanan. Pegiat Keamanan Siber yang terdiri dari ethical hacker, akademisi, atau komunitas dapat memberikan saran dan masukan terhadap Koordinator/Regulator mengenai kebijakan, kolaborasi, kegiatan yang dapat mendukung proses manajemen kerentanan. Selain itu, kerentanan yang ditemukan oleh Pegiat keamanan siber, dapat dilaporkan kepada Tim Tanggap Insiden Siber (TTIS) atapun Pengembang. Konsultan melalui jalur yang sudah tersedia. Seperti jalur Vulnerability Disclosure Program atau Bug Bounty Program.

Selanjutnya, pada sebuah organisasi, TTIS menjalankan fungsi manajemen kerentan di sisi internal organisasi. TTIS juga menjadi pintu masuk bagi organisasi untuk menerima laporan kerentanan dari pihak eksternal. Sehingga TTIS dapat melakukan identifikasi kerentanan baik yang bersumber dari eksternal, maupun dari internal TTIS yang dilakukan dengan cara pengujian keamanan pada Sistem Elektronik milik organisasi / PSE.

Di sisi lain, Pengembang/Konsultan juga memilki kewajiban untuk menjalankan manajemen kerentanan khususnya pada Produk yang digunakan oleh PSE. Produk ini dapat berupak perangkat keras ataupun perangkat lunak. Pengembang/Konsultan dapat menerima laporan kerentanan dari pihak eksternal, selain itu Pengembang/Konsultan juga memiliki kewajiban untuk melakukan identifikasi kerentanan secara internal lewat Vulnerability Assessment atau Penetration Testing secara berkala. Selanjutnya, pengembang/konsultan memiliki kewajiban untuk memberikan imbauan kerentanan kepada seluruh pengguna, apabila ditemukan kerentanan pada produk yang dikelola.

Seluruh input terkait kerentanan bermuara pada Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik. Dengan adanya kolaborasi antar pihak, diharapkan kerentanan dapa diidentifikasi dengan maksimal, kemudian PSE dapat menangani kerentanan tersebut dengan baik. Dalam melakukan penanganan kerentanan, PSE juga dapat berkolaborasi dengan Pengembang/Konsultan serta TTIS untuk mengambil langkah yang tepat dan terukur dalam menangani kerentanan yang ada. Proses Manajemen Kerentanan pada organisasi secara lebih mendalam dibahas pada BAB V dan BAB VI buku ini.

Dengan adanya konsep kolaborasi ini, diharapkan dapat meningkatkan pelaksanaan manajemen kerentanan secara nasional. Tujuan utamanya adalah menciptakan Manajemen Kerentanan tingkat nasional yang terpadu dan efisien, selain itu diharapkan ke depannya dapat tersedia basis data kerentanan siber nasional. Basis data ini diharapkan dapat menjadi acuan bagi setiap pemangku kepentingan dalam melakukan penanganan serta pencegahan kerentanan. Kolaborasi juga dapat diwujudkan dalam bentuk program atau platform, seperti program pengungkapan kerentanan secara sukarela (Vulnerability Disclosure Program) atau Bug Bounty Program, juga tersedianya platform berbagi informasi kerentanan (Vulnerability Sharing Platfrom).