Pelarangan Pembayaran Ransomware: Langkah Berani?

pibitek.biz -Serangan ransomware telah menjadi momok yang menakutkan bagi dunia, merugikan perusahaan dan pemerintahan dengan nilai miliaran dolar dan membahayakan kehidupan manusia. Ransomware adalah jenis kejahatan dunia maya yang sangat keji dan mengancam keamanan global. Serangan ini menyebabkan kekacauan dan kerugian besar, bahkan hingga merenggut nyawa. Pencegahan serangan ransomware merupakan tantangan besar yang belum terpecahkan hingga saat ini. Setiap kali pihak berwenang berhasil melenyapkan satu kelompok ransomware, tiga hingga empat kelompok baru muncul untuk menggantikannya.

Ransomware adalah bisnis yang sangat menguntungkan, dan para pelaku kejahatan semakin canggih dalam menjalankan operasinya. Pada tahun 2022, FBI menerima lebih dari 2.800 laporan serangan ransomware, yang mengakibatkan kerugian lebih dari 59 juta dolar AS. Para ahli keamanan siber dan penegak hukum semakin mendesak agar dilakukan pelarangan pembayaran tebusan ransomware. Anne Neuberger, Wakil Penasihat Keamanan Nasional AS untuk Cyber dan Teknologi Muncul, mengusulkan agar asuransi tidak lagi menanggung pembayaran tebusan ransomware.

Neuberger berpendapat bahwa praktik asuransi yang menanggung pembayaran tebusan justru semakin memperburuk masalah dengan memberi insentif bagi para pelaku kejahatan untuk terus melakukan serangan ransomware. Menurut Neuberger, perusahaan asuransi harus mengharuskan organisasi untuk menerapkan langkah-langkah keamanan siber yang kuat sebagai syarat untuk mendapatkan asuransi, seperti halnya mengharuskan adanya sistem alarm kebakaran untuk asuransi rumah. Namun, pelarangan pembayaran tebusan ransomware melalui asuransi mungkin tidak sepenuhnya efektif.

Meskipun perusahaan besar mungkin tidak lagi mendapatkan pengembalian dana dari asuransi untuk pembayaran tebusan, mereka masih memiliki kemampuan untuk membayar tebusan langsung tanpa bantuan asuransi. Pembayaran tebusan merupakan bagian kecil dari total kerugian yang dialami oleh perusahaan besar, dibandingkan dengan kerugian akibat terhentinya bisnis. Perusahaan besar cenderung lebih mampu menanggung biaya pemulihan, gangguan bisnis, dan dampak finansial lainnya tanpa harus mengandalkan asuransi.

Pelarangan asuransi ransomware dapat memberikan dampak negatif yang lebih besar bagi perusahaan kecil. Bagi perusahaan kecil, pembayaran tebusan merupakan proporsi yang lebih besar dari total kerugian dan dapat mengancam kelangsungan bisnis mereka. Jika perusahaan kecil tidak dapat membayar tebusan tanpa asuransi, mereka mungkin terpaksa gulung tikar. Terlepas dari kendala ini, beberapa ahli berpendapat bahwa pemotongan insentif finansial bagi para pelaku kejahatan adalah satu-satunya cara untuk menghentikan serangan ransomware.

Tom Kellermann, Wakil Presiden Senior Strategi Cyber di Contrast Security, mendukung larangan asuransi untuk pembayaran tebusan ransomware. Kellermann juga menekankan pentingnya bagi perusahaan untuk meningkatkan keamanan siber, sistem cadangan, dan kerja sama dengan tim tugas kejahatan siber di Secret Service atau FBI. Kellermann juga mencatat bahwa sebagian besar pembayaran tebusan ransomware mengalir ke kartel kejahatan siber yang berada di bawah perlindungan rezim Rusia. Pelarangan pembayaran tebusan ransomware oleh regulator pemerintah, bukan industri asuransi, dianggap sebagai solusi yang lebih tepat.

Para pemangku kepentingan dalam industri asuransi sebetulnya tidak menginginkan untuk menanggung pembayaran tebusan ransomware karena mereka mengalami kerugian besar dalam asuransi keamanan siber. Larangan tersebut akan memberi mereka kesempatan untuk melepaskan diri dari risiko tersebut. Steve Hahn, Wakil Presiden Eksekutif BullWall di Amerika Serikat, bahkan mengusulkan larangan pembayaran tebusan ransomware secara keseluruhan, baik oleh perusahaan asuransi maupun perusahaan. Hahn berpendapat bahwa uang yang digunakan untuk membayar asuransi dan pemulihan dapat digunakan untuk meningkatkan keamanan siber, yang pada akhirnya akan mengurangi serangan ransomware dan merugikan para pelaku kejahatan.

Hahn menambahkan bahwa kebijakan tersebut mungkin berisiko, tetapi pada akhirnya akan sangat efektif dalam menghilangkan ransomware. Namun, keputusan untuk tidak membayar tebusan ransomware bisa berakibat fatal, seperti keputusan untuk tidak membayar tebusan bagi sandera yang ditawan oleh organisasi teroris atau pemerintahan yang tidak bertanggung jawab. Dalam kasus ransomware, contohnya adalah situasi ketika pasien di rumah sakit meninggal karena tidak mendapatkan akses ke obat-obatan atau operasi yang vital akibat infeksi ransomware.

Sangat sulit untuk bersikap tegas dalam menolak membayar tebusan ransomware, terutama dalam keadaan darurat. Contohnya, ketika pembayaran tebusan diperlukan untuk mengembalikan pasokan air bersih bagi masyarakat atau memulihkan sumber energi di tengah musim dingin. Sezaneh Seymour, Wakil Presiden dan Kepala Risiko dan Kebijakan Regulasi di Coalition, menegaskan bahwa tidak ada solusi yang sederhana untuk masalah rumit seperti ransomware. Seymour berpendapat bahwa larangan pembayaran tebusan akan kontraproduktif karena tidak menyelesaikan akar masalah, yaitu kurangnya keamanan digital.

Seymour percaya bahwa larangan tersebut malah akan meningkatkan serangan ransomware terhadap infrastruktur vital yang ingin dilindungi. Seymour menambahkan bahwa tujuan utama bukanlah untuk melarang pembayaran tebusan, tetapi untuk meningkatkan ketahanan digital nasional. Hal ini dapat dicapai dengan cara mendorong penggunaan teknologi yang lebih aman dan meningkatkan kebiasaan keamanan siber di seluruh infrastruktur vital. Meskipun larangan pembayaran tebusan ransomware mungkin tampak sebagai solusi yang mudah, sebenarnya tidaklah sederhana dan memiliki banyak potensi risiko.

Larangan tersebut dapat membebani perusahaan kecil dan mungkin tidak menghentikan serangan ransomware sepenuhnya. Solusi yang lebih efektif adalah dengan meningkatkan keamanan digital secara menyeluruh, sehingga ransomware tidak lagi menjadi ancaman serius bagi masyarakat.