Oleh: Irvan Maulana, Direktur Center of Economic and Social Innovation Studies (CESIS)
Jakarta – Kasus keamanan siber Bank Syariah Indonesia (BSI) belum berakhir. Secara mengejutkan geng ransomware LockBit tiba-tiba mengaku bertanggung jawab atas gangguan semua layanan di BSI, dan menyatakan insiden down di bank pemerintah tersebut akibat serangan mereka.
Hal itu diungkap akun @darktracer_int pada Sabtu, 13 Mei 2023. LockBit juga mengumumkan telah mencuri 15 juta catatan pelanggan, informasi karyawan, dan sekitar 1,5 terabyte data internal. Mereka mengancam akan merilis semua data di web gelap jika negosiasi dengan BSI gagal. Batas waktu negosiasi adalah pada 15 Mei 2023 pukul 21:09:46 UTC. Jika sampai saat itu korban (BSI) tidak memberikan uang tebusan, mereka mengancam databasenya akan bocor.
Bagaimana pun, kita sebaiknya menunggu hasil audit dan investigasi forensik digital yang dilakukan BSI bekerja sama dengan otoritas terkait seperti BSSN atau BIN Cyber Intelligence. Buntut dari ancaman tersebut membuat banyak pihak mulai mawas diri dan memikirkan apa yang akan dilakukan jika terserang malware tertentu.
Haruskah pasrah membayar uang tebusan? Haruskah pemerintah ikut mengambil tindakan untuk menghentikan pembayaran uang tebusan?
Jawabannya hingga saat ini tidak jelas, dan dibutuhkan kolaborasi antara sektor swasta dan pemerintah untuk membangun pagar pembatas berupa hukum yang jelas dan tegas tentang bagaimana manajemen harus bersiap dan bersikap menghadapi serangan dan mengurangi dampak kerusakan saat terjadi serangan. Namun, satu hal yang jelas yaitu dibutuhkan segera investasi berkelanjutan untuk mengatasi jenis serangan ini. Terlepas valid atau tidaknya ancaman tersebut, yang pasti serangan ransomware menimbulkan kerugian tersembunyi di luar biaya tebusan.
Perlu disadari bahwa pembayaran uang tebusan sama sekali tidak menjamin akan mendapatkan kunci untuk membuka file enkripsi dan geng hacker bersedia untuk tidak menjual data yang mereka curi. Kerugian pun tak main-main. Menurut Badan Siber dan Sandi Negara (BSSN), jika dikalkulasikan potensi kerugian ekonomi Indonesia akibat serangan ransomware pada tahun 2023 diperkirakan sekitar Rp 10 triliun (660 juta dolar AS). Perkiraan ini meningkat signifikan dari kerugian pada tahun 2022 yang diperkirakan hanya Rp 5 triliun (330 juta dolar AS).
Di seluruh dunia, biaya yang timbul akibat ransomware bahkan akan mencapai lebih dari 42 miliar dolar AS pada akhir tahun 2024 dan lebih dari 265 miliar dolar AS pada tahun 2031. Hal yang perlu diwaspadai, pada tahun 2025 jumlah serangan ransomware diperkirakan akan meningkat dan rata-rata permintaan tebusan sekitar 2,82 persen dari pendapatan tahunan korban.
Namun kecenderungannya adalah semakin tinggi pendapatan tahunan korban, semakin rendah persentase pendapatan yang diminta, karena persentase tersebut akan mewakili nilai numerik yang lebih tinggi dalam dolar.
Harus Lihai Bernegosiasi
Berhadapan dengan geng ransomware bukan sekadar persoalan keamanan siber, tetapi juga soal kelihaian negosiasi untuk meminimalisasi kerugian finansial, mengingat ransomware pada dasarnya dioperasikan manusia. Biasanya negosiasi tebusan merupakan proses yang dinamis, karena sebelum mereka memulai negosiasi, geng ransomware menelusuri data yang akan dicuri, untuk menemukan file paling sensitif untuk digunakan sebagai “sandera”.
Mereka kemudian mengunggah file-file penting ke blog pribadi dan mengancam korban bahwa data sensitif tersebut akan dipublikasikan jika pembayaran tidak dilakukan. Uniknya, ada geng ransomware yang “menghargai” pembayaran cepat tebusan dan negosiasi bisa berjalan dengan cepat. Mereka menawarkan diskon 20-25 persen dari tebusan awal untuk korban yang bersedia membayar dalam hitungan hari. Jika sudah dalam tahap ini, korban sering melibatkan negosiator pihak ketiga untuk melakukan negosiasi atas nama mereka, dan akan memberikan berbagai penjelasan mengapa mereka tidak dapat membayar permintaan uang tebusan, atau mengapa butuh waktu lama.
Pada tahap ini, korban cenderung meminta “diskon” tambahan. Jika korban tidak mau membayar, tim ransomware akan mulai mengunggah sebagian kecil dari data rahasia korban secara perlahan ke leak site mereka, dan akan membuat blog tersebut bisa diakses publik. Dalam beberapa kasus, hal ini akan membuat korban takut dan terpaksa membayar uang tebusan. Terlebih jika tim ransomware tahu bahwa korban memiliki asuransi kejahatan siber.
Pada tahap akhir negosiasi, biasanya hanya ada dua pilihan yang tersisa, tim ransomware maupun korban mencapai kesepakatan, atau semua data rahasia diunggah ke leak site mereka. Perlu diingat, berapapun durasi serangan, akan selalu ada ruang untuk negosiasi dalam serangan ransomware untuk menekan dampak finansial, meski tidak ada jaminan data akan kembali seperti semula.
Penelitian menunjukkan, 92 persen organisasi yang membayar uang tebusan tidak mendapatkan kembali semua datanya (Forbes, 2021).
Dampak Serangan Ransomware
Dampak finansial serangan ransomware biasanya bukan hanya uang tebusan saja (jika dibayarkan). Masih ada beberapa komponen biaya lain, seperti biaya respons dan pemulihan, biaya hukum, pemantauan, dan biaya tambahan tak terduga lainnya. Rata-rata, semua biaya lainnya itu akan melebihi biaya pemerasan atau sering disebut pemerasan ganda.
Jelas trik-trik seperti ini sudah mengarah pada “industrialisasi” ransomware. Korban juga harus menanggung kerugian tambahan, seperti kehilangan reputasi. Meski ada asesmen cybersecurity, proses backup dan recovery data sangat penting.
Hal yang perlu diingat oleh korban serangan ransomware adalah ancaman tersebut buatan dan dikendalikan manusia, dioperasikan oleh orang sungguhan, bukan robot atau artificial intelegence. Karena itu, penting bagi korban untuk menggunakan komunikasi yang jelas dan merencanakan negosiasi dengan hati-hati.
Dikutip dari Kompas.com, Senin 15 Mei 2023.
