Dilema Serangan Siber, Bayar Tebusan atau Perusahaan Bangkrut
Dilema menghampiri manajemen perusahaan saat berhadapan dengan kelompok peretas: membayar tebusan atau tidak. Jika ya, belum tentu sistem pulih kembali. Pun jika tidak, mereka menghadapi potensi bangkrut.
Kalau pada suatu saat nanti tulang punggung bisnis Anda yang semua sudah terdigitalisasi, tiba-tiba dibobol, diretas, dan Anda ingin mendapatkan masukan dari Pemerintah Amerika Serikat apakah harus membayar atau sebaliknya, jawaban yang tepat adalah tergantung.
Erick Goldstein, pejabat tinggi keamanan pada Departemen Keamanan Dalam Negeri AS, tidak menganjurkan siapa pun untuk membayar tebusan. ”Ini adalah posisi Pemerintah AS. Kami sangat tidak menganjurkan pembayaran uang tebusan,” katanya, di hadapan anggota Kongres pekan lalu.
Tidak ada konsekuensi hukum sama sekali apabila korban peretasan membayar tebusan. Sementara, menolak membayar sama saja bunuh diri bagi banyak perusahaan, terutama perusahaan kecil dan menengah. Banyak yang tidak siap.
Walau pemerintahan Presiden Joe Biden telah menjadikan perang terhadap kejahatan siber sebagai prioritas keamanan nasional, para pejabat publik masih meraba-raba soal pembayaran tebusan ini. Sebagai langkah awal, parlemen tengah membahas undang-undang bipartisan yang mewajibkan pelaporan federal sesegera mungkin tentang adanya serangan siber dengan kompensasi tebusan atau ransomware, membantu mengenali pelakunya dan pembuatnya, serta mengganti uang tebusan, seperti yang dilakukan Biro Investigasi Federal (FBI) baru-baru ini saat terjadi serangan siber pada jaringan Colonial Pipeline.
Baca juga: Bukan China, Justru Rusia di Balik Serangan Siber ke AS
Baca juga: Jepang Waspadai Serangan Siber
Baca juga : Intelijen AS Ingatkan Campur Tangan Rusia di Pemilu 2020
Namun, hal itu dinilai tetap tidak memadai. Para ahli mengatakan, tanpa tindakan tambahan segera, nilai uang tebusan akan terus meroket. Ujungnya adalah kemampuan pembelian peranti keras para peretas ini akan memperburuk situasi keamanan global.
Pada saat yang sama, Presiden Biden tidak memperoleh jaminan dari Presiden Rusia Vladimir Putin—yang selama ini wilayahnya dinilai menjadi surga bagi para peretas—bahwa peretas tidak akan terus menikmati ”perlindungan” itu. Yang terburuk, Pemerintah Rusia dan para peretas berkolaborasi bersama.
Menteri Energi Jennifer Granholm, beberapa waktu lalu, menyatakan, dirinya mendukung larangan untuk membayar tebusan kepada para peretas. ”Tetapi, saya tidak tahu apakah Kongres atau presiden mendukung,” ujarnya.
Tidak menjamin
Membayar uang tebusan, dari ribuan hingga jutaan dollar AS, tidak menjamin korban akan mendapatkan kembali semuanya yang telah diretas, termasuk data perusahaan dan data pribadi. Goldstein mengatakan, tidak ada jaminan arsip yang sensitif tidak akan dijual di Darknet atau pasar gelap. Bahkan, kata Goldstein, jika peretas menepati janjinya, dana yang dibayarkan sebagai tebusan akan dijadikan dana operasional serangan siber berikutnya yang bisa menyasar kembali perusahaan para korban.
John Demeras, pejabat keamanan nasional tertinggi di Kementerian Kehakiman AS, April lalu, memilih bersikap hati-hati soal uang tebusan ini, terutama terkait para korban. ”Pelarangan pembayaran bisa menempatkan kita (aparat keamanan nasional) dalam posisi berhadapan dengan para korban. Ini tidak kita inginkan,” katanya.
Lior Div, CEO Cyberreason, perusahaan jasa keamanan digital yang bermarkas di Boston, mengatakan, para pelaku kejahatan siber adalah kelompok teroris di dunia digital.
”Ini adalah terorisme dalam bentuk yang berbeda, yang sangat modern,” ujarnya
Undang-undang keamanan Inggris tahun 2015 melarang perusahaan asuransi yang berlokasi di Inggris mengganti uang tebusan yang dibayarkan kepada kelompok teror. Model ini diyakini banyak pihak sebagai model ideal yang bisa diterapkan secara global.
Baca juga: Menyingkap Konspirasi Rusia di Pilpres AS
”Pada akhirnya, mereka (kelompok teror) berhenti menculik orang karena mereka menyadari mereka tidak akan mendapatkan apa-apa,” kata Adrian Nish, Kepala Intelijen Ancaman di BAE Systems.
Di AS, peraturan perundangan melarang siapa pun memberikan dukungan kepada kelompok teror. Akan tetapi, pada tahun 2015, Kementerian Kehakiman mengesampingkan ancaman tuntutan pidana bagi warga yang membayar tebusan pada kelompok teror.
Brandon Valeriano, peneliti pada Universitas Korps Marinir serta penasihat senior pada Komisi Solarium Cyberspace, mengatakan tidak membayar tebusan menjadi kebijakan dalam kasus terorisme karena nantinya dana itu menjadi ”pasokan energi baru” bagi kelompok tersebut. ”Anda memberi terlalu banyak kekuatan kepada musuh,” kata Valeriano.
Di lapangan, sikap itu bermunculan. Salah satunya adalah dari Jaringan Kesehatan Universitas Vermont. Tagihan untuk biaya pemulihan dan layanan yang rusak akibat serangan siber pada Oktober lalu mencapai angka yang fantastis, 63 juta dollar AS.
Irlandia juga menolak membayar uang tebusan ketika layanan kesehatan nasionalnya diserang pada bulan lalu. Namun, dampaknya masih terasa sampai sekarang.
Lima pekan setelah peretasan, sistem dan jaringan teknologi informasi layanan kesehatan di negara berpenduduk lima juta jiwa itu berjalan tertatih-tatih. Sistem informasi pada perawatan kanker baru sebagian pulih, layanan surat elektronik tidak merata, dan catatan medis pasien yang sudah terdigitalisasi tidak dapat diakses.
Selain itu, calon pasien harus memadati ruang gawat darurat untuk mendapatkan pelayanan laboratorium atau tes diagnostik karena mereka tidak bisa melakukan pemesanan jarak jauh. Hingga Kamis pekan lalu, baru 42 persen dari 4.000 server sistem layanan kesehatan di negara itu belum bisa didekripsi.
Sepekan setelah serangan, para peretas menyerahkan kunci dekripsi untuk membantu pemulihan, menyusul tawaran yang tidak biasa dari Kedutaan Besar Rusia untuk membantu penyelidikan. Namun, memulihkan sistem yang telah diretas tidak semudah membalikkan telapak tangan.
”Kunci dekripsi bukanlah tongkat ajaib atau sakelar yang dapat secara tiba-tiba membalikkan kerusakan,” kata Brian Honan, konsultan keamanan siber terkemuka Irlandia. Setiap mesin yang dipulihkan harus diuji untuk memastikan bebas infeksi.
Membayar tebusan
Kekhawatiran akan menemui kesulitan dalam proses pemulihan atau bahkan jalan buntu dalam membalikkan situasi secara manual membuat sebagian besar korban peretasan memilih membayar tebusan. Perusahaan Asuransi Hiscox mengatakan, lebih dari 58 persen pelanggannya memilih membayar daripada mengalami penderitaan yang berkepanjangan. Di AS dan Kanada, menurut broker asuransi siber terkemuka, Marsh McLennan, jumlah korban yang memilih membayar tebusan mencapai 60 persen.
Membayar tebusan juga tidak memberikan jaminan sistem yang diretas 100 persen pulih. Berdasarkan survei yang dilakukan perusahaan keamanan siber Sophos terhadap 54.000 pengambil keputusan dari 30 negara menyebutkan, rata-rata hanya sekitar 65 persen data yang terenkripsi yang berhasil dipulihkan. Sebanyak 29 persen korban yang menyatakan hanya mendapatkan 50 persen data mereka kembali.
Survei lain yang dilakukan Cybereason terhadap 1.300 profesional keamanan, empat dari lima perusahaan yang memilih membayar uang tebusan mengalami serangan siber atau peretasan untuk kedua kalinya.
Colonial Pipeline memutuskan membayar tebusan senilai 4,4 juta dollar AS agar distribusi bahan bakar ke wilayah Pantai Timur AS tidak terganggu sebelum menentukan apakah cadangan datanya cukup kuat untuk menghindari pembayaran dan pemulihan sendiri. JBS Goliath, perusahaan pengolah daging, terpaksa merogoh koceknya senilai 11 juta dollar AS untuk menghindari kemungkinan gangguan pasokan daging di AS walau cadangan datanya terbukti cukup untuk membuat pabriknya berjalan normal sebelum kerusakan yang serius.
Tidak jelas apakah kekhawatiran tentang data curian yang dibuang ke pasar gelap memengaruhi keputusan salah satu perusahaan untuk membayar atau sebaliknya. Manajemen Colonial Pipeline tidak secara tegas menyatakan kekhawatiran bahwa 100 gigabita data yang dicuri berakhir di pasar gelap menjadi faktor utama Joseph Blount, sang CEO, memutuskan membayar tebusan.
Sementara, juru bicara JBS, Cameron Bruett, mengatakan, analisis menunjukkan tidak ada data perusahaan yang dieksfiltrasi.
Baca juga: Serangan ”Malware” Masih Jadi Ancaman Serius
Baca juga: Kebuntuan AS-Rusia Bisa Memicu Perlombaan Senjata Nuklir Baru
Otoritas Irlandia sepenuhnya menyadari risiko keputusan yang diambilnya untuk tidak membayar uang tebusan meski para peretas mengklaim telah mencuri 700 gigabita data. Sampai sekarang, data itu belum muncul secara daring.
Kemunculan data perusahaan yang dicuri di pasar gelap atau di dunia maya menjadi salah satu kekhawatiran dan risiko yang harus diperhitungkan manajemen karena bisa menimbulkan tuntutan hukum atau bahkan hilangnya kepercayaan investor, sasaran empuk bagi para peretas. Satu kelompok peretas pernah berusaha memeras manajemen sebuah perusahaan besar di AS dengan menerbitkan foto telanjang anak pemimpin puncak perusahaan di salah satu web khusus pekan lalu.
Carolyn Maloney, Ketua Komite Pengawasan dan Reformasi DPR AS, secara tertulis telah meminta penjelasan tentang kasus JBS dan Colonial Pipeline serta asuransi CAN. Bloomberg News melaporkan bahwa CAN telah membayar 40 juta dollar AS kepada peretas pada Maret lalu. Anggota Kongres AS dari Partai Demokrat menyatakan perlu melihat dengan lebih teliti dan berusaha lebih keras untuk memutus lingkaran setan ini.
Sadar kurangnya dukungan untuk melarang membayar tebusan, Ketua Komite Intelijen Senat Mark Warner dan beberapa anggota lainnya mencoba mendesak transparansi yang lebih luas dari para korban, yang sering kali enggan melaporkan adanya serangan. Mereka sedang menyusun rancangan undang-undang untuk membuat pelaporan pelanggaran dan pembayaran tebusan menjadi sebuah kewajiban. Korban harus melaporkannya dalam 1 x 24 jam setelah peretasan pertama terdeteksi. Lembaga pemerintah terkait akan memutuskan apakah mereka akan memublikasikan kasus tersebut atau sebaliknya.
Namun, kondisi itu tidak akan melindungi korban yang tidak siap dari kebangkrutan jika mereka tidak membayar, efek kerusakan terhadap sistem teknologi informasi yang akut. Untuk itu, berbagai proposal telah diajukan untuk memberikan bantuan keuangan.
Pada bulan ini, Senat juga menyetujui undang-undang yang akan membentuk respons siber khusus dan dana pemulihan untuk memberikan dukungan langsung kepada organisasi swasta dan publik yang paling rentan yang terkena serangan dan pelanggaran siber besar. (AP)