Insiden ransomware yang menimpa Bank Syariah Indonesia (BSI) kembali mengingatkan ancaman serius yang membayangi seluruh perusahaan Indonesia. Pelaku ransomware praktis memiliki kemampuan untuk menembus pertahanan cyber security organisasi, termasuk perusahaan perbankan besar seperti BSI. Bahkan di luar kasus BSI yang mencuat ke publik, serangan ransomware sebenarnya sudah (dan sedang) menimpa beberapa perusahaan Indonesia lainnya.
Ketika menjadi korban serangan ransomware, perusahaan pun menghadapi dilema tersendiri: Apakah mereka membayar uang tebusan yang diminta? Atau abaikan saja seperti yang dilakukan BSI, meski resikonya ada data penting yang tersebar ke publik?
Jika mengacu prosedur ideal, perusahaan sebaiknya jangan membayar uang tebusan. Membayar uang tebusan berarti “menyuburkan” industri ransomware, karena ada insentif ekonomi bagi pelaku untuk melakukan serangan ke korban yang lebih banyak. Regulator pun condong ke pendekatan ini, seperti Kementerian Keuangan AS yang memiliki regulasi yang akan memberikan hukuman bagi perusahaan yang membayar uang tebusan ke pelaku ransomware.
Pertimbangan lain adalah, statistik menunjukkan membayar uang tebusan tidak selalu mengembalikan data yang disandera. Studi Sophos menemukan, hanya 8% korban ransomware yang mengaku seluruh data berhasil kembali setelah membayar uang tebusan. Rata-rata, hanya 65% data yang berhasil kembali meski sudah membayar uang tebusan.
Terpaksa Membayar Ransomware
Namun perusahaan pun menghadapi situasi sulit jika tidak membayar uang tebusan. Dalam banyak kasus, data yang disandera adalah data penting yang mengancam proses bisnis perusahaan jika tidak bisa digunakan. Atau, pelaku mengancam akan menyebarkan data yang mereka sandera ke publik yang berarti mengancam reputasi perusahaan tersebut. “Kenyataannya memang banyak perusahaan besar yang diam-diam membayar [uang tebusan] karena mereka tidak bisa menanggung risiko disrupsi pada operasional mereka,” ungkap pakar security Alfons Tanujaya.
Karena itu secara realita, keputusan membayar atau tidak uang tebusan ini harus dipertimbangkan masak-masak. Salah satu parameter yang bisa dilakukan adalah melakukan cost-benefit analysis dari data yang terkena ransomware. “Jika data yang disandera memiliki nilai ekonomi lebih tinggi dari permintaan uang tebusan, perusahaan bisa mempertimbangkan untuk membayar uang tebusan,” ungkap pakar security Goutama Bachtiar. Jika tidak, perusahaan tidak perlu membayar.
Hal inilah yang dilakukan salah satu perusahaan Indonesia yang menjadi korban serangan ransomware. Serangan yang terjadi di akhir pekan tersebut sempat mengenkripsi data transaksi perusahaan tersebut. Untungnya, data yang terenkripsi baru menimpa sebagian kecil data. “Kami memilih input manual data yang hilang itu [dibanding membayar uang tebusan],” ungkap petinggi perusahaan tersebut.
Yang Harus Diperhatikan Saat Membayar
Kalaupun perusahaan memutuskan untuk membayar uang tebusan, ada beberapa hal yang perlu diperhatikan. “Pertimbangkan mencari pihak yang mengerti dan berpengalaman bernegosiasi dengan ransomware. Jangan gegabah karena kesalahan sedikit saja bisa fatal untuk reputasi perusahaan,” ungkap Alfons Tanujaya.
Pastikan jika pelaku benar-benar memiliki key untuk membuka enkripsi. “Kirimkan contoh file terenkripsi dan pelaku harus membuktikan bisa dekripsi file tersebut,” tambah Alfons. Hal penting lainnya adalah kita harus menepati janji dan jangan mudah mengeluarkan angka.
Alfons sendiri meyakini, dampak serangan ransomware bisa diminimalisir dengan menerapkan standar backup data yang baik dan benar. “Definisinya adalah data backup selalu dites dan terbukti bisa recover [dikembalikan, Red] dalam waktu yang telah ditetapkan,” ujar Alfons.
Selain itu, untuk mencegah extortionware (atau ancaman data akan dibocorkan jika tidak membayar tebusan), perusahaan perlu mempertimbangkan teknologi seperti DLP (Data Loss Prevention). “Jadi data yang telah di-copy ke luar akan otomatis terenkripsi dan tidak bisa dibaca,” tambah Alfons.