bssn.go.id · Web viewDalam hal Pelapor tidak dapat melengkapi laporan Kerentanan sesuai dengan...

Draft Peraturan BSSN terkait VVDP versi 1.9 – 15 Agustus 2019

PERATURAN BADAN SIBER DAN SANDI NEGARANOMOR XXXXXX TAHUN 2019

TENTANGPENYELENGGARAAN PROGRAM PENGUNGKAPAN KERENTANAN SECARA

SUKARELA (VOLUNTARY VULNERABILITY DISCLOSURE PROGRAM)

BADAN SIBER DAN SANDI NEGARADENGAN RAHMAT TUHAN YANG MAHA ESAKEPALA BADAN SIBER DAN SANDI NEGARA,

Menimbang : a. bahwa bidang keamanan siber merupakan salah satu bidang pemerintahan yang perlu didorong dan diperkuat sebagai upaya meningkatkan pertumbuhan ekonomi nasional dan mewujudkan keamanan nasional;

b. bahwa untuk mewujudkan keamanan siber yang berkesinambungan dibutuhkan peran serta seluruh warga negara Indonesia;

c. bahwa untuk menjamin kepastian hukum atas pengungkapan Kerentanan pada Sistem Elektronik oleh setiap warga negara Indonesia;

d. bahwa berdasarkan pertimbangan sebagaimana dimaksud dalam huruf a, b, dan c perlu ditetapkan Peraturan Badan Siber dan Sandi Negara tentang Penyelenggaraan Program Pengungkapan Kerentanan Secara Sukarela (Voluntary Vulnerability Disclosure Program);

Mengingat : 1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran

Catatan: Warna Biru adalah hasil pembahasan tanggal 28 Juni 2019. Warna hijau merupakan perubahan setelah menerima masukan dari IR dan Pusdatin


Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara Republik Indonesia Nomor 4843) sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2016 Nomor 251, Tambahan Lembaran Negara Republik Indonesia Nomor 5952);

2. Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189, Tambahan Lembaran Negara Republik Indonesia Nomor 5348);

3. Peraturan Presiden Nomor 53 Tahun 2017 tentang Badan Siber dan Sandi Negara sebagaimana telah diubah dengan Peraturan Presiden Nomor 133 Tahun 2017 tentang Perubahan Atas Peraturan Presiden Nomor 53 Tahun 2017 Tentang Badan Siber dan Sandi Negara;

4. Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE).

MEMUTUSKAN:Menetapkan

: PERATURAN BADAN SIBER DAN SANDI NEGARA TENTANG PENYELENGGARAAN PROGRAM PENGUNGKAPAN KERENTANAN SECARA SUKARELA (VOLUNTARY VULNERABILITY DISCLOSURE PROGRAM)

BAB IKETENTUAN UMUM

Pasal 1Dalam Peraturan Badan ini yang dimaksud dengan:



1 Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.

2 Pemilik Sistem adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

3 Kerentanan (vulnerability) adalah kelemahan pada Sistem Elektronik yang dapat dieksploitasi.

4 Pelapor adalah setiap orang yang sudah terdaftar di BSSN dan berhasil mengidentifikasi potensi Kerentanan pada suatu Sistem Elektronik serta melaporkannya kepada BSSN melalui jalur komunikasi yang sudah ditetapkan.

5 Program Pengungkapan Kerentanan secara Sukarela yang selanjutnya disebut Program adalah mekanisme kerja sama antara Pelapor, Koordinator, dan Pemilik Sistem Elektronik dalam menemukan solusi yang dapat mengurangi risiko yang terkait dengan Kerentanan yang ditemukan dan dilaporkan oleh Pelapor.

6 Remediasi adalah tambalan (patch), perbaikan, peningkatan, konfigurasi, dan/atau perubahan dokumentasi untuk menghilangkan atau mengurangi Kerentanan pada Sistem Elektronik.

7 Kode sumber adalah suatu rangkaian perintah, pernyataan, dan/atau deklarasi yang ditulis dalam bahasa pemrograman komputer yang dapat dibaca dan dipahami orang.

8 Imbauan Keamanan adalah imbauan tertulis yang berisi tentang informasi Kerentanan, potensi risiko Kerentanan, dampak Kerentanan dan Remediasi Kerentanan pada suatu Sistem Elektronik yang didistribusikan berdasarkan Traffic Light Protocol (TLP) .

9 Traffic Light Protocol adalah tanda pada dokumen yang digunakan untuk memastikan bahwa informasi sensitif dibagikan atau didistribusikan kepada penerima yang tepat.



Catatan:Definisi dari https://www.first.org/tlp/ : The Traffic Light Protocol (TLP) was created in order to facilitate greater sharing of information. TLP is a set of designations used to ensure that sensitive information is shared with the appropriate audience. It employs four colors to indicate expected sharing boundaries to be applied by the recipient(s). TLP only has four colors; any designations not listed in this standard are not considered valid by FIRST.(Perlu dibuat turunan pedoman/juknisnya tentang TLP)

Pasal 2Pengaturan Penyelenggaraan Program bertujuan untuk:a. Memberikan acuan dalam penyelenggaraan Program.b. Memberikan kepastian dan mekanisme hukum bagi Pelapor atas

pengelolaan informasi Kerentanan yang diungkapkan.c. Meningkatkan keamanan siber nasional

Pasal 3 (Opsi pertama)1 Ruang Lingkup yang berkaitan dengan penyelenggaraan Program

meliputi:a. pemangku kepentinganb. penerimaan laporan Kerentananc. verifikasi Kerentanan yang diungkapkand. verifikasi Pelapore. pertukaran informasi dan komunikasi terkait Kerentananf. pembuatan imbauan keamanang. diseminasi informasi Kerentananh. pemantauan tindak lanjut penanganan Kerentanani. pemberian apresiasi kepada Pelapor dan Pemilik Sistem

Pasal 3 (Opsi kedua)1 Ruang Lingkup yang berkaitan dengan penyelenggaraan Program

meliputi:a. Pemangku kepentingan


https://www.first.org/tlp/


b. Tata cara Penyelenggaraan Programc. Pengelolaan Informasid. Etika Pencarian Kerentanane. Standar Layanan

2 Asas dalam penyelenggaraan Program antara lain:a. kesukarelaan;b. kerahasiaan;c. koordinasi;d. integritas;e. netralitas;f. akuntabilitas;g. objektivitas.

BAB IIPEMANGKU KEPENTINGAN

Pasal 41 Dalam penyelenggaraan Program, BSSN berperan sebagai

Koordinator.2 BSSN sebagai Koordinator memiliki tanggung jawab:

a. mengelola pendaftaran Pelapor yang akan berpartisipasi di dalam Program;

b. melakukan verifikasi Kerentanan yang dilaporkan oleh Pelapor;c. melakukan penilaian terhadap informasi Kerentanan yang

dilaporkan oleh Pelapor;d. melakukan verifikasi identitas Pelapor;e. melakukan diseminasi informasi Kerentanan kepada Pemilik

Sistem;f. menyusun dan menyampaikan imbauan keamanan kepada Pemilik

Sistem;g. melakukan pemantauan terhadap tindak lanjut penanganan

Kerentanan oleh Pemilik Sistem;h. memberikan apresiasi kepada Pelapor dan Pemilik Sistem sesuai

dengan ketentuan dan peraturan perundang-undangan yang berlaku;



i. menjamin keamanan data pribadi Pelapor;j. mendokumentasikan informasi laporan Kerentanan;

3 BSSN sebagai koordinator berhak:a. menerima informasi Kerentanan dari Pelapor;b. melakukan perekaman data pribadi Pelapor dan informasi

Kerentanan yang dilaporkan;c. menggunakan informasi Kerentanan yang dilaporkan untuk

kepentingan penyelenggaraan Program BSSN;d. menghentikan kerjasama dengan Pelapor dalam hal terjadi

pelanggaran terhadap peraturan perundang-undangan yang berlaku.

Pasal 51 Unit Kerja BSSN yang bertindak sebagai penyelenggara Program

adalah a. Deputi Bidang Proteksi BSSN;b. Deputi Bidang Identifikasi dan Deteksi BSSN;c. Deputi Bidang Pemantauan dan Pengendalian BSSN; dan d. Pusat Operasi Keamanan Siber Nasional.

2 Dalam penyelenggaraan Program, Deputi Bidang Proteksi BSSN memiliki tugas:a. Mengkoordinasikan penyelenggaraan Program dengan Deputi

Bidang Identifikasi dan Deteksi BSSN, Deputi Bidang Pemantauan dan Pengendalian BSSN, dan Pusat Operasi Keamanan Siber Nasional;

b. Melakukan penyampaian informasi Kerentanan kepada Pemilik Sistem;

c. Menyusun Imbauan Keamanan;d. Melakukan penyampaian Imbauan Keamanan kepada Pemilik

Sistem;e. Melakukan pemantauan terhadap Remediasi oleh Pemilik Sistem;f. Memberikan apresiasi kepada Pelapor dan Pemilik Sistem sesuai

dengan ketentuan dan peraturan perundang-undangan yang berlaku;



g. Mensosialisasikan Program;h. Menyusun laporan penyelenggaraan Program;i. Mengelola pendaftaran Sistem Elektronik yang didaftarkan oleh

Pemilik Sistem ke dalam Program;3 Dalam penyelenggaraan Program, Deputi Bidang Identifikasi dan

Deteksi BSSN memiliki tugas:a. Melakukan verifikasi Kerentanan yang dilaporkan oleh Pelapor;b. Melakukan penilaian terhadap informasi Kerentanan yang

dilaporkan oleh Pelapor;(catatan: penilaian informasi Kerentanan diusulkan juga mencakup potensi risiko Kerentanan, dan dampak Kerentanan, termasuk apakah Kerentanan tersebut berdampak secara luas ke masyarakat) ,

4 Dalam penyelenggaraan Program, Pusat Operasi Keamanan Siber Nasional BSSN memiliki tugas:a. menerima dan memverifikasi kelengkapan informasi Kerentanan

dari Pelapor;b. mengelola pendaftaran Pelapor;c. menjalin komunikasi dengan Pelapor terkait Laporan Kerentanan.

5 Dalam penyelenggaraan Program, Deputi Bidang Pemantauan dan Pengendalian BSSN memiliki tugas untuk melakukan pembinaan terhadap Pelapor. (catatan: koordinasi dengan stakeholder lain terkait dengan keabsahan data pribadi Pelapor)

Pasal 61 Dalam Program, Pelapor wajib:

a. mendaftarkan diri kepada BSSN;b. mematuhi peraturan Perundang-Undangan yang berlaku;c. mematuhi kebijakan penyelenggaraan Program yang ditetapkan

oleh BSSN;d. menjaga kerahasiaan informasi Kerentanan yang ditemukan dan

hanya mengungkapkan informasi Kerentanan kepada BSSN;e. menggunakan informasi Kerentanan yang ditemukan sesuai



dengan tujuan Program;f. menerima keputusan BSSN dan/atau Pemilik Sistem terkait

pemberian apresiasi atas laporan Kerentanan yang diungkapkan;g. menyetujui bahwa publikasi atas Kerentanan hanya dapat

dilakukan setelah memperoleh izin tertulis dari Pemilik Sistem;h. bekerja sama dengan BSSN apabila dibutuhkan informasi

tambahan berkaitan dengan Kerentanan yang dilaporkan;i. dalam hal Pemilik Sistem yang sudah terdaftar memiliki kebijakan

program pengungkapan Kerentanan, maka Pelapor wajib mematuhi kebijakan yang sudah ditetapkan oleh Pemilik Sistem;

2 Dalam Program, Pelapor berhak:a. memperoleh informasi mengenai perkembangan atau tindak

lanjut laporan Kerentanan yang sudah dikirimkan kepada BSSN;b. mendapatkan apresiasi sesuai kebijakan yang ditetapkan oleh

BSSN;c. memilih untuk mengizinkan atau tidak mengizinkan BSSN untuk

meneruskan identitas Pelapor kepada Pemilik Sistem.Pasal 7

1 Pemilik Sistem memiliki hak untuk menerima informasi Kerentanan yang dilaporkan oleh Pelapor.

2 Pemilik Sistem harus melakukan Remediasi terhadap temuan Kerentanan pada Sistem Elektronik yang dimiliki.

3 Pemilik Sistem dapat bekerja sama dengan BSSN dalam rangka perbaikan Kerentanan yang dilaporkan.

4 Pemilik Sistem dapat memperoleh informasi mengenai identitas Pelapor.

BAB IIITATA CARA

Bagian KesatuPendaftaran Pelapor

Pasal 101 Pelapor wajib mendaftarkan dirinya untuk berpartisipasi di dalam

Program sesuai dengan ketentuan yang ditetapkan oleh BSSN.



2 Pendaftaran Pelapor sebagaimana dimaksud pada Ayat (1) bertujuan untuk:a. memeriksa kebenaran identitas Pelapor;b. memastikan bahwa Pelapor telah memahami syarat dan

ketentuan hak dan kewajiban Pelapor di dalam Program sebagaimana tercantum pada Pasal 6;

c. sebagai data dukung bagi pemberian apresiasi;Pasal 11

1 Setelah menerima pengajuan pendaftaran dari Pelapor, Pusat Operasi Keamanan Siber Nasional melakukan verifikasi terhadap:a. identitas; b. latar belakang; c. kesediaan mematuhi syarat dan ketentuan Program.

Pasal 121 Setelah melakukan verifikasi, maka Pusat Operasi Keamanan Siber

Nasional memutuskan status pendaftaran dan memberitahukan kepada Pelapor.

Bagian KeduaPendaftaran Sistem

Pasal 131 Pemilik Sistem dapat mendaftarkan Sistem Elektronik miliknya untuk

disertakan di dalam Program.2 Mekanisme pendaftaran Sistem Elektronik sebagaimana dimaksud

dalam Ayat (1) dilakukan sesuai dengan ketentuan yang ditetapkan oleh BSSN.

3 Mekanisme pencarian Kerentanan pada Sistem Elektronik yang terdaftar dapat ditentukan oleh Pemilik Sistem.

Bagian KetigaMetode Pencarian Kerentanan

Pasal 141 Pencarian Kerentanan pada Sistem Elektronik dilakukan oleh Pelapor

sesuai dengan metode yang ditetapkan oleh BSSN dan/atau Pemilik



Sistem.2 Dalam hal Sistem Elektronik sudah terdaftar di dalam Program, maka

metode pencarian Kerentanan yang diizinkan adalah mengikuti kebijakan yang sudah ditetapkan oleh Pemilik Sistem dan/atau BSSN.

3 Dalam hal Sistem Elektronik belum terdaftar di dalam Program, maka metode pencarian Kerentanan yang diizinkan adalah sesuai dengan yang ditetapkan oleh BSSN.

CATATAN:Contoh metode teknis pencarian Kerentanan

a. Menggunakan informasi yang ditemukan secara bebas dan dapat diakses secara umum, melalui mesin pencarian daring.

b. Melakukan penelusuran halaman atau direktori atau fitur pada sistem elektronik.

c. Pencarian Kerentanan tidak boleh dilakukan menggunakan perkakas yang bersifat merusak dan mengganggu Sistem Elektronik

d. Pencarian Kerentanan tidak boleh dilakukan menggunakan perkakas yang dapat mengirimkan permintaan kepada Sistem Elektronik secara terus menerus secara cepat.

Bagian KeempatPengiriman, Penerimaan, dan Pencatatan Laporan

KerentananPasal 14

1 Laporan Kerentanan dikirim oleh Pelapor kepada Pusat Operasi Keamanan Siber Nasional BSSN.

2 Pengiriman Laporan sebagaimana dimaksud ayat 1 dilakukan melalui cara yang ditetapkan oleh BSSN

3 Laporan Kerentanan sebagaimana dimaksud ayat 1 sekurang-kurangnya memuat informasi:a. deskripsi Sistem Elektronik yang memiliki Kerentanan, termasuk di

dalamnya tautan lengkap dan/atau versi Sistem Elektronik;



b. penjelasan mengenai Kerentanan yang ditemukan;c. langkah-langkah yang mendemonstrasikan serangan yang

memanfaatkan Kerentanan yang dilaporkan termasuk di dalamnnya kode sumber yang dibutuhkan untuk melakukan pembuktian;

d. waktu yang menunjukkan proses penemuan Kerentanan;e. Identitas Pelapor;f. nomor unik Pelapor yang diperoleh dari proses pendaftaran;g. alamat IP publik yang digunakan pada saat menemukan

Kerentanan.Pasal 15

1 Setelah menerima laporan Kerentanan dari Pelapor, Pusat Operasi Keamanan Siber Nasional BSSN melakukan:a. pemeriksaan kelengkapan laporan Kerentanan;b. perekaman laporan Kerentanan ke dalam basis data;c. pemberian nomor identitas unik atas laporan Kerentanan yang

sudah dinyatakan lengkap;d. pemberian tanda terima laporan Kerentanan kepada pihak

Pelapor;2 Dalam hal laporan Kerentanan yang diterima tidak sesuai pasal 14

ayat (3), maka Pusat Operasi Keamanan Siber Nasional wajib menghubungi Pelapor untuk meminta kelengkapan yang dibutuhkan.

3 Dalam hal Pelapor tidak dapat melengkapi laporan Kerentanan sesuai dengan ketentuan Pasal 14 Ayat (3) dalam kurun waktu 7 (tujuh) hari kalendar, maka Pusat Operasi Keamanan Siber Nasional dapat memutuskan untuk tidak menindaklanjuti penanganan laporan Kerentanan.

Bagian KelimaPenelaahan Laporan Kerentanan

Pasal 16Pusat Operasi Keamanan Siber Nasional menindaklanjuti laporan Kerentanan yang diterima dari Pelapor kepada Deputi Bidang Identifikasi dan Deteksi BSSN dan Deputi Bidang Proteksi BSSN.



Pasal 171 Setelah menerima laporan Kerentanan dari Pusat Operasi Keamanan

Siber Nasional BSSN, Deputi Bidang Identifikasi dan Deteksi BSSN melakukan verifikasi dan penilaian Kerentanan yang dilaporkan.

2 Dalam hal Kerentanan yang dilaporkan berhasil diverifikasi, Deputi Bidang Identifikasi dan Deteksi BSSN mengirimkan hasil verifikasi dan penilaian Kerentanan kepada Deputi Bidang Proteksi BSSN.

3 Dalam hal Kerentanan yang dilaporkan tidak berhasil diverifikasi, maka Deputi Bidang Identifikasi dan Deteksi BSSN dapat meminta data dukung kepada Pelapor melalui Pusat Operasi Keamanan Siber Nasional sebagai bahan untuk melakukan verifikasi ulang.

4 Dalam hal verifikasi ulang Kerentanan yang dilaporkan tidak berhasil, maka Deputi Bidang Identifikasi dan Deteksi BSSN dapat memutuskan bahwa Kerentanan yang dilaporkan tidak valid dan proses penanganan Kerentanan dihentikan.

5 Dalam hal proses penanganan Kerentanan dihentikan sebagaimana disebutkan pada ayat (4), maka Deputi Bidang Identifikasi dan Deteksi BSSN mengirimkan pemberitahuan kepada:a. Pusat Operasi Keamanan Siber Nasionalb. Deputi Bidang Proteksi BSSN

Bagian KeenamPembuatan dan Penyampaian Imbauan Keamanan

Pasal 181 Setelah menerima hasil verifikasi dan penilaian Kerentanan dari

Deputi Bidang Identifikasi dan Deteksi, maka Deputi Bidang Proteksi BSSN:

a. berkoordinasi dengan Pemilik Sistem terkait temuan Kerentanan yang dilaporkan

b. membuat Imbauan Keamanan terhadap Kerentanan yang dilaporkan

c. menyampaikan Imbauan Keamanan kepada Pemilik Sistem2 Imbauan keamanan yang dikirimkan oleh BSSN kepada Pemilik

Sistem bertujuan:



a. memberi informasi mengenai Kerentanan pada sistem elektronikb. memberi panduan penanganan/perbaikan Kerentanan, danc. memberi pemahaman kepada Pemilik Sistem mengenai potensi

dampak dari Kerentanan3 Imbauan Keamanan sebagaimana dimaksud pada Pasal 18 Ayat 1

huruf b sekurang-kurangnya memuat:a. nama atau daftar Sistem Elektronik yang memiliki Kerentananb. pembuktian konsep atas Kerentananc. nilai risiko Kerentanand. analisis potensi dampak dari Kerentanane. panduan penanganan Kerentanan

Bagian KetujuhRemediasi Kerentanan

Pasal 191 Setelah menerima Imbauan Keamanan, Pemilik Sistem wajib

melakukan Remediasi temuan Kerentanan.2 Setelah menyampaikan imbauan keamanan kepada Pemilik Sistem,

Deputi Bidang Proteksi BSSN secara berkala melakukan pemantauan terhadap Remediasi yang dilakukan oleh Pemilik Sistem.

3 Pemantauan Remediasi Kerentanan dilakukan dengan tujuan untuk:a. mengetahui tingkat kesadaran Pemilik Sistem terhadap

Kerentanan dilaporkanb. mendorong Pemilik Sistem untuk melakukan Remediasi atas

Kerentanan yang dilaporkan c. memastikan bahwa Kerentanan sudah di-Remediasi.d. BSSN dapat mengalokasikan sumber daya yang diperlukan guna

memberikan asistensi apabila Pemilik Sistem menghadapi kesulitan dalam memperbaiki Kerentanan

Bagian KedelapanPublikasi Kerentanan

Pasal 20



1 Dalam hal Kerentanan yang dilaporkan ditemukan pada Sistem Elektronik yang digunakan secara luas oleh masyarakat, BSSN dapat mempublikasikan Kerentanan tersebut kepada masyarakat.

2 Publikasi sebagaimana disebutkan pada ayat 1 dilakukan oleh BSSN setelah berkoordinasi dengan Pemilik Sistem mengenai waktu, materi, dan cara publikasi akan dilakukan.

Bagian KesembilanPemberian Apresiasi

Pasal 211 Pemberian apresiasi dapat diberikan kepada Pelapor dan/atau Pemilik

Sistem sebagai bentuk penghargaan atas partisipasi dan kerja sama dalam Program

2 Pemberian apresiasi kepada Pelapor dilakukan oleh Deputi Bidang Proteksi BSSN dan/atau Pemilik Sistem

3 Pemberian apresiasi kepada Pemilik Sistem dilakukan oleh Deputi Bidang Proteksi BSSN

4 Pemberian apresiasi oleh BSSN kepada Pelapor dan/atau Pemilik Sistem sebagaimana dimaksud pada Ayat (2) dan (3) ditetapkan oleh Keputusan Kepala

5 Pemberian apresiasi oleh Pemilik Sistem kepada Pelapor dilakukan sesuai dengan kebijakan Pemilik Sistem

Bagian KesepuluhPengelolaan Informasi

Pasal 221 BSSN menyimpan dan mengelola seluruh informasi Kerentanan yang

diterima dari Pelapor sesuai dengan ketentuan peraturan perundang-undangan yang berlaku

3 BSSN menyimpan dan mengelola data pribadi yang diberikan oleh Pelapor

4 BSSN dapat memberikan data pribadi Pelapor kepada Pemilik Sistem setelah mendapat persetujuan dari PelaporBSSN dapat memberikan data pribadi pelapor kepada aparat penegak



hukum jika terdapat pelanggaran hukum oleh Pelapor


bssn.go.id · Web viewDalam hal Pelapor tidak dapat melengkapi laporan Kerentanan sesuai dengan...

Documents

Transcript of bssn.go.id · Web viewDalam hal Pelapor tidak dapat melengkapi laporan Kerentanan sesuai dengan...