C. Peran Setiap Pemangku Kepentingan pada Manajemen Kerentanan Tingkat Nasional

1. Koordinator dan Regulator

Koordinator dan regulator dalam konteks Indonesia adalah Pemerintah atau dalam hal ini BSSN. Koordinator dan regulator berperan untuk menyediakan kerangka kerja manajemen kerentanan secara nasional dan melakukan pembinaan kepada TTIS baik TTIS nasional, sektoral, atau organisasi terkait pelaksanaan manajemen kerentanan. Koordinator dan regulator juga dapat memberlakukan persyaratan untuk praktik manajemen kerentanan di TTIS sektor privat agar dapat terhubung dengan pelaksanaan manajemen kerentanan secara nasional. Koordinator dan regulator melakukan pembinaan ke TTIS. Sedangkan untuk PSE dan pengembang/konsultan, koordinator dan regulator mengeluarkan kebijakan, standar dan panduan yang diacu oleh organisasi dalam penerapan manajemen kerentanan.

2. Tim Tanggap Insiden Siber (TTIS)

TTIS terdiri atas TTIS nasional, sektoral, dan organisasi. TTIS melakukan penanganan insiden siber melalui beberapa hal sebagai berikut (BSSN, 2021):

1) Penanggulangan dan pemulihan insiden siber;

2) Penyampaian informasi insiden siber kepada pihak terkait; dan

3) Diseminasi informasi untuk mencegah dan/atau mengurangi dampak dari insiden siber.

Dalam melakukan penanganan insiden siber, TTIS memiliki fungsi paling sedikit:

1) Pemberian peringatan terkait keamanan siber;

2) Perumusan panduan teknis penanganan insiden siber;

3) Pencatatan setiap laporan/aduan yang dilaporkan, pemberian rekomendasi langkah penanganan awal kepada pihak terdampak;

4) Pemilahan insiden siber sesuai dengan kriteria yang ditetapkan dalam rangka memprioritaskan insiden siber yang akan ditangani;

5) Penyelenggaraan koordinasi penanganan insiden siber kepada pihak yang berkepentingan; dan

6) Penyelenggaraan fungsi lainnya sesuai kebutuhan.

Fungsi lainnya meliputi hal-hal berikut:

1) Penanganan kerentanan sistem elektronik;

2) Penanganan artefak digital;

3) Pemberitahuan hasil pengamatan potensi ancaman;

4) Pendeteksian serangan;

5) Analisis risiko keamanan siber;

6) Konsultasi terkait kesiapan penanganan insiden siber; dan/atau

7) Pembangunan kesadaran dan kepedulian terhadap keamanan siber.

TTIS sektoral, TTIS organisasi yang dibentuk oleh Penyelenggara IIV, dan TTIS organisasi yang dibentuk oleh Penyelenggara Sistem Elektronik selain Penyelenggara IIV wajib melakukan registrasi kepada TTIS nasional. Registrasi ini bertujuan untuk mendapatkan informasi yang valid mengenai profil TTIS sektoral dan organisasi, mempermudah koordinasi pada saat penanganan insiden siber antar-TTIS, dan mempermudah penyampaian informasi terkait ancaman, kerentanan, serta serangan siber kepada pihak yang berkepentingan.

1) TTIS Nasional

a. Keanggotaan

Keanggotaan TTIS nasional yang terdiri atas perwakilan:

- Badan;

- Kementerian atau Lembaga;

- Penyelenggara IIV; dan

- Penyelenggara Sistem Elektronik selain Penyelenggara IIV.

b. Kegiatan yang dilakukan

Dalam melaksanakan tugas dan menyelenggarakan fungsinya, TTIS nasional melakukan kegiatan sebagai berikut:

- Registrasi dan penerbitan surat tanda register TTIS sektoral dan organisasi;

- Pembangunan dan pengelolaan pangkalan data insiden siber dari seluruh TTIS yang teregister dan informasi mengenai insiden siber di tingkat nasional;

- Penghubung dengan negara lain dalam penanganan insiden siber;

- Penyusunan pilar strategi dan program kegiatan TTIS nasional;

- Forum analisis dan berbagi informasi keamanan siber dengan TTIS yang teregistrasi;

- Pembangunan program berbagi pengetahuan atau pengalaman terkait dengan penanganan insiden siber kepada seluruh TTIS yang teregistrasi.

2) TTIS Sektoral

a. Keanggotaan

Keanggotaan TTIS sektoral yang terdiri atas perwakilan:

- Kementerian atau Lembaga;

- Penyelenggara IIV; dan

- Penyelenggara Sistem Elektronik selain Penyelenggara IIV.

b. Kegiatan yang dilakukan

Dalam melaksanakan tugas dan menyelenggarakan fungsinya, TTIS sektoral melakukan kegiatan sebagai berikut:

- Forum analisis dan berbagi informasi keamanan siber dengan TTIS di bawahnya; dan

- Uji komunikasi dengan TTIS organisasi yang ada di sektornya

3) TTIS Organisasi

TTIS organisasi dibentuk oleh setiap Penyelenggara IIV. TTIS organisasi dapat menyelenggarakan kegiatan forum analisis dan berbagi informasi keamanan siber lintas sektor.

TTIS bertanggung jawab untuk menerima, menganalisis, dan menindaklanjuti informasi terkait kerentanan yang disampaikan oleh berbagai pihak, termasuk dari komunitas pegiat keamanan siber. Tugas utama TTIS mencakup pengumpulan data, verifikasi kerentanan, serta koordinasi penanganan dengan penyelenggara sistem elektronik yang bertanggung jawab atas sistem elektronik yang teridentifikasi memiliki kerentanan. TTIS juga berperan dalam memastikan komunikasi yang efektif antara semua pihak yang terlibat, sehingga penanganan kerentanan dapat dilakukan dengan cepat dan tepat. Dalam kolaborasi manajemen kerentanan, TTIS memiliki beeberapa tugas dan peran sebagai berikut:

1) Penerimaan Kerentanan: TTIS menerima laporan kerentanan dari koordinator/regulator dan komunitas pegiat keamanan siber.

2) Verifikasi dan Analisis: Setelah menerima laporan, TTIS melakukan verifikasi dan analisis untuk memastikan validitas kerentanan yang dilaporkan.

3) Koordinasi dengan PSE: TTIS menghubungi PSE yang terkait untuk menyampaikan hasil analisis kerentanan dan mengkoordinasikan langkah penanganan yang diperlukan.

4) Pembinaan oleh Koordinator: TTIS menerima pembinaan berkelanjutan dari koordinator atau regulator untuk meningkatkan kemampuan dan efektivitas dalam manajemen kerentanan.

5) Pelaporan dan Tindak Lanjut: Setelah kerentanan ditangani, TTIS menyusun laporan mengenai proses penanganan dan hasilnya, yang kemudian disampaikan kepada koordinator/regulator.

6) Pemantauan Berkelanjutan: TTIS terus memantau potensi kerentanan baru dan melakukan evaluasi terhadap efektivitas langkah-langkah mitigasi yang telah dilakukan.

7) Kolaborasi dengan Komunitas: TTIS membuka jalur komunikasi dengan komunitas pegiat keamanan siber untuk menerima masukan serta berbagi informasi terkait kerentanan yang mungkin belum teridentifikasi.

3. Pegiat Keamanan Siber

Pegiat Keamanan Siber adalah kelompok/individu dalam proses identifikasi kerentanan. Pegiat keamanan siber terdiri dari beberapa pihak yaitu peretas etis, akademisi, dan komunitas. Pegiat keamanan siber dapat digolongkan menjadi 2 bagian yaitu pegiat keamanan siber internal yang merupakan karyawan dari organisasi itu sendiri dan pegiat keamanan siber eksternal yang meliputi peretas etis (ethical hacker), akademisi berupa sivitas akademika atau peneliti keamanan siber, dan komunitas keamanan siber yang berperan secara aktif untuk mendukung manajemen kerentanan. Peranan pegiat keamanan siber adalah mengidentifikasi kerentanan melalui berbagai cara seperti uji penetrasi sistem keamanan, analisis kode, atau metode investigasi lainnya. Pegiat keamanan siber bertanggung jawab untuk melaporkan kerentanan yang ditemukan kepada TTIS dengan cara sebagai berikut:

1) Mengirimkan informasi kerentanan secara detail ke e-mail pelaporan resmi;

2) Berpartisipasi aktif dalam mengikuti bug bounty yang diselenggarakan;

3) Melaporkan kerentanan kepada Koordinator/Regulator seperti BSSN.

Kualitas, akurasi, dan ketepatan waktu laporan pegiat keamanan siber sangat penting karena faktor-faktor ini mempengaruhi langkah-langkah selanjutnya dalam proses manajemen kerentanan.

Pegiat keamanan siber wajib memiliki etika dengan tidak melakukan segala perbuatan yang disebutkan di dalam Pasal 27 hingga pasal 37 Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik baik secara sengaja ataupun tidak. Langkah-langkah yang bisa dilakukan pegiat keamanan siber untuk mewujudkan rantai ekosistem manajemen kerentanan yang sehat adalah dengan mengungkapkan kerentanan secara bertanggung jawab (responsible disclosure) yang meliputi tahapan yang disajikan pada Gambar 9.

Gambar 9. Responsible Disclosure

Gambar 9 dapat dirinci sebagai berikut:

1. Pegiat keamanan siber menemukan potensi kerentanan pada suatu sistem atau berpartisipasi aktif dalam program bug bounty yang diselenggarakan oleh sebuah pengelola sistem.

2. Pegiat keamanan siber melaporkan temuan kepada pihak yang berwenang (misalnya tim keamanan organisasi atau penyedia layanan) tanpa mengungkapkan informasi tersebut kepada publik atau pihak ketiga.

3. Pegiat keamanan siber dan pengelola sistem bekerja sama untuk memahami dan memperbaiki kerentanan.

4. Pegiat keamanan siber memberikan jangka waktu tertentu kepada pengelola sistem untuk memperbaiki kerentanan sebelum mereka mempublikasikan laporan lengkap terkait kerentanan tersebut dan dilarang keras untuk mengeksploitasi kerentanan yang ditemukan dengan semena-mena.

5. Setelah kerentanan diperbaiki dan sudah ditangani, pegiat keamanan siber dapat mempublikasikan laporan teknis tentang kerentanan untuk membantu komunitas keamanan siber agar dapat belajar dari temuan tersebut.

4. Pengembang/Konsultan

Pengembang/Konsultan merupakan pihak produsen perangkat keras, pengembang perangkat lunak, dan penyedia layanan yang digunakan oleh Penyelenggara Sistem Elektronik (PSE). Pihak pengembang atau konsultan memainkan peran penting dalam manajemen kerentanan. Pasalnya, kerentanan dapat ditemukan pada produk perangkat TI milik pengembang/konsultan atau sistem yang dikelolanya, yang dapat menimbulkan risiko pada Sistem Elektronik yang menggunakan sistem/perangkat yang rentan tersebut.

Penyelenggara Sistem Elektronik (PSE) memerlukan peran aktif dari pengembang/konsultan terkait untuk melakukan manajemen kerentanan pada produk atau sistem yang dikelolanya. Sehingga dalam siklus manajemen kerentanan di tingkat nasional, pengembang/konsultan juga memiliki peranan yang krusial, yakni memastikan para pengguna produk TI atau layanannya, dalam hal ini PSE, mendapatkan informasi yang cukup dan segera ketika ditemukan adanya kerentanan. Sehingga dapat memperkecil risiko kerentanan tersebut dieksploitasi pihak yang tidak bertanggungjawab.

Peran kolaborasi pengembang/ konsultan ini mencakup beberapa aspek, yaitu aspek kesadaran akan kerentanan (vulnerability awareness), proses verifikasi, perbaikan, pengungkapan, dan mitigasi risiko kerentanan selama siklus hidup dari sebuah produk perangkat TI.

5. Penyelenggara Sistem Elektronik

Penyelenggara Sistem Elektronik (PSE) merupakan setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan/atau keperluan pihak lain (Presiden Indonesia, 2019). PSE terdiri dari PSE lingkup publik dan lingkup privat. PSE lingkup publik terdiri atas instansi pemerintah dan institusi yang ditunjuk oleh instansi pemerintah. Setiap PSE harus menyelenggarakan sistem elektronik secara andal dan aman serta memiliki tanggung jawab terhadap operasional sistem elektronik miliknya.

Dalam perannya terhadap kolaborasi manajemen kerentanan, PSE merupakan pihak yang bertanggung jawab atas penyelenggaraan sistem elektronik. Sistem elektronik tersebut dapat dikembangkan oleh pihak pengembang/konsultan dan dikembangkan secara mandiri. Selain penyelenggaraan sistem elektronik, peran PSE dalam kolaborasi manajemen kerentanan adalah dengan melakukan identifikasi kerentanan berupa proses VA/PT terhadap sistem elektronik yang dikelola. VA/PT dilakukan oleh tim internal PSE sebagai upaya identifikasi dini kerentanan yang dapat berisiko pada keberlangsungan penyelenggaraan sistem elektronik. Pada proses VA/PT internal, kerentanan yang ditemukan dapat segera dilakukan perbaikan oleh PSE secara mandiri. Ketika kerentanan ditemukan dalam sistem elektronik PSE melaluai pegiat keamanan siber, PSE mendapatkan layanan dari TTIS berupa penanganan kerentanan sehingga PSE dapat menerapkan remediasi kerentanan pada sistem elektronik miliknya. PSE yang memiliki sistem elektronik dari pengembang/konsultan juga dapat melakukan koordinasi agar pengembang/konsultan dapat menerapkan remediasi terhadap sistem elektronik milik PSE yang telah dikembangkan.

Dalam menerapkan remediasi, PSE perlu mengevaluasi risiko kerentanan dalam konteks operasional yang spesifik, memprioritaskan kerentanan berdasarkan faktor seperti tingkat kritis, serta menerapkan patch atau langkah mitigasi yang diperlukan. Selain itu, pemantauan berkelanjutan terhadap sistem menjadi krusial untuk mendeteksi potensi eksploitasi, guna menjaga agar kerentanan tidak mengganggu operasi. Pengelolaan aset yang efektif, penilaian risiko yang komprehensif, serta kemampuan tanggap insiden yang cepat sangat penting untuk menghadapi ancaman baru secara efisien.