FBI, CISA, dan NSA semuanya sangat menyarankan agar organisasi tidak melakukan pembayaran ransomware jika mereka menjadi korban serangan ransomware. Jika demikian, mengapa tidak melarang pembayaran tuntutan ransomware?
Topik ini muncul di Oxford Cyber Forum baru-baru ini. Jen Easterly, Direktur CISA, mengomentari masalah ini dengan mengatakan, "Saya pikir dalam sistem kami di AS—hanya dari perspektif praktis— hal ini tidak akan terjadi”. Kemungkinan, komentar ini tidak sepenuhnya spontan karena masalah ransomware menjadi perhatian utama bagi semua profesional siber, terutama direktur CISA. Untuk saat ini, sepertinya membuat pembayaran ransomware sebagai pelanggaran yang dapat dihukum tidak akan terjadi.
Yang lebih jelas adalah bahwa jawaban Easterly dibuat selama wawancara dengan Ciaran Martin, mantan kepala Pusat Keamanan Siber Nasional Inggris. Awal tahun ini, Martin telah menyerukan pelarangan semua pembayaran ransomware dalam sebuah artikel yang ditulisnya untuk surat kabar The Times.
Jadi, apakah membayar ransomware harus dilarang atau tidak?
Gugus Tugas Ransomware untuk Institut Keamanan dan Teknologi juga telah berbicara tentang topik ini. Gugus tugas menyatakan bahwa menempatkan larangan pembayaran ransomware di AS pada saat ini akan memperburuk keadaan bagi korban, masyarakat, dan ekonomi. Bisnis kecil biasanya tidak dapat menahan gangguan bisnis yang panjang dan mungkin berhenti dari bisnisnya setelah serangan ransomware.
Selain itu, jika larangan diberlakukan, larangan itu dapat menghambat respons yang lebih luas terhadap ancaman ransomware. Jika perusahaan menghadapi hukuman karena membayar, mereka mungkin tergoda untuk melakukan pembayaran ransomware secara diam-diam. Ini berarti data yang akurat tentang varian ransomware dan intelijen ancaman akan terganggu.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Hambatan lain terhadap larangan pembayaran ransomware termasuk perusahaan "pemulihan data" palsu. Penipu ini mengklaim dapat memulihkan data yang dicuri atau memecahkan enkripsi. Namun pada kenyataannya, para penyelamat yang diduga bernegosiasi dengan geng ransomware secara diam-diam, pada dasarnya membayar uang tebusan dan kemudian membebankan biaya kepada korban. Jika pembayaran ransomware dilarang, operasi curang ini kemungkinan akan meningkat.
Beberapa orang mengatakan bahwa melarang pembayaran ransomware secara langsung dapat dianggap sebagai sebuah penyerahan. Pembayaran ini mengirimkan pesan bahwa komunitas keamanan tidak memiliki cara lain untuk menggagalkan serangan ransomware. Sebaliknya, pemerintah federal mengamanatkan pelaporan insiden siber, seperti dengan Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) baru-baru ini. Dengan meningkatkan tingkat pelaporan ransomware, tim keamanan dapat mempelajari lebih lanjut cara penyerang beroperasi dan berbagi intelijen ancaman. Solidaritas digital seperti ini diyakini lebih efektif daripada mencoba menghadapi ancaman-ancaman ini sendirian.
Upaya penegakan hukum juga harus didukung dan ditingkatkan dalam menanggapi ancaman ransomware yang sedang berlangsung. Geng LockBit ransomware-as-a-service adalah salah satu contoh kemenangan besar yang membawa para penyusup ke pengadilan.
Ditambah lagi, ada upaya-upaya seperti inisiatif pemberitahuan pra-ransomware dari CISA, yang bertujuan untuk mengurangi risiko dengan memperingatkan organisasi tentang aktivitas ransomware tahap awal. Inisiatif ini menghasilkan lebih dari 1.200 pemberitahuan pra-ransomware pada tahun 2023.
Pemerintah U.S. juga mendukung kampanye aman sejak dari desain (secure-by-design). Di Oxford Cyber, Easterly berkata, “Saya pikir kami telah membuat perbedaan, tetapi saya pikir kita tidak akan membuat ransomware menjadi anomali yang mengejutkan tanpa keberhasilan implementasi kampanye Aman Sejak dari Desain”, kata Easterly. “Kami tidak dapat mengharapkan bisnis yang tidak memiliki tim keamanan besar untuk dapat mengamankan infrastruktur itu kecuali teknologi itu mereka dapatkan dengan jumlah kerentanan yang berkurang secara dramatis”.
Bukan rahasia lagi bahwa apa yang dirasakan pemerintah adalah jalan terbaik untuk memerangi ransomware—rencana-rencana sedang ditata secara eksplisit. Rencana tersebut termasuk standar pelaporan insiden yang lebih ketat, upaya penegakan hukum yang berkelanjutan, intelijen bersama, upaya kolaboratif, dan pendekatan aman sejak dari desain. Untuk saat ini, hukuman untuk membayar uang tebusan bukan bagian dari rencana pelaksanaan resmi.
Namun, banyak entitas, termasuk IBM, sangat tidak menyarankan membayar ransomware. Sebagai gantinya, ikuti praktik terbaik dan lihat Panduan Definitif IBM untuk Ransomware.