BSI, Bisnis Ransomware, dan Negosiasi Pemerasan

KASUS keamanan siber Bank Syariah Indonesia (BSI) belum berakhir. Secara mengejutkan geng ransomware LockBit tiba-tiba mengaku bertanggung jawab atas gangguan semua layanan di BSI, dan menyatakan insiden down di bank pemerintah tersebut akibat serangan mereka. Hal itu diungkap akun @darktracer_int pada Sabtu, 13 Mei 2023.

LockBit juga mengumumkan telah mencuri 15 juta catatan pelanggan, informasi karyawan, dan sekitar 1,5 terabyte data internal. Mereka mengancam akan merilis semua data di web gelap jika negosiasi dengan BSI gagal. Batas waktu negosiasi adalah pada 15 Mei 2023 pukul 21:09:46 UTC.

Jika sampai saat itu korban (BSI) tidak memberikan uang tebusan, mereka mengancam databasenya akan bocor.

Baca juga: Hacker Ransomware LockBit Klaim Curi 15 Juta Data BSI, Pakar: Diperkirakan sejak Libur Lebaran

Bagaimanapun, kita sebaiknya menunggu hasil audit dan investigasi forensik digital yang dilakukan BSI bekerja sama dengan otoritas terkait seperti BSSN atau BIN Cyber Intelligence.

Buntut dari ancaman tersebut membuat banyak pihak mulai mawas diri dan memikirkan apa yang akan dilakukan jika terserang malware tertentu. Haruskah pasrah membayar uang tebusan? Haruskah pemerintah ikut mengambil tindakan untuk menghentikan pembayaran uang tebusan?

Jawabannya hingga saat ini tidak jelas, dan dibutuhkan kolaborasi antara sektor swasta dan pemerintah untuk membangun pagar pembatas berupa hukum yang jelas dan tegas tentang bagaimana manajemen harus bersiap dan bersikap menghadapi serangan dan mengurangi dampak kerusakan saat terjadi serangan.

Namun, satu hal yang jelas yaitu dibutuhkan segera investasi berkelanjutan untuk mengatasi jenis serangan ini. Terlepas valid atau tidaknya ancaman tersebut, yang pasti serangan ransomware menimbulkan kerugian tersembunyi di luar biaya tebusan.

Perlu disadari bahwa pembayaran uang tebusan sama sekali tidak menjamin akan mendapatkan kunci untuk membuka file enkripsi dan geng hacker bersedia untuk tidak menjual data yang mereka curi.

Kerugian pun tak main-main. Menurut Badan Siber dan Sandi Negara (BSSN), jika dikalkulasikan potensi kerugian ekonomi Indonesia akibat serangan ransomware pada tahun 2023 diperkirakan sekitar Rp 10 triliun (660 juta dolar AS). Perkiraan ini meningkat signifikan dari kerugian pada tahun 2022 yang diperkirakan hanya Rp 5 triliun (330 juta dolar AS).

Di seluruh dunia, biaya yang timbul akibat ransomware bahkan akan mencapai lebih dari 42 miliar dolar AS pada akhir tahun 2024 dan lebih dari 265 miliar dolar AS pada tahun 2031. Hal yang perlu diwaspadai, pada tahun 2025 jumlah serangan ransomware diperkirakan akan meningkat dan rata-rata permintaan tebusan sekitar 2,82 persen dari pendapatan tahunan korban.

Baca juga: Setelah Bobol BI dan BSI, Selanjutnya Siapa?

Namun kecenderungannya adalah semakin tinggi pendapatan tahunan korban, semakin rendah persentase pendapatan yang diminta, karena persentase tersebut akan mewakili nilai numerik yang lebih tinggi dalam dolar.

KOMPAS.COM/IRWAN NUGRAHA Para nasabah BSI KCP Tasikmalaya Masjid Agung, Jawa Barat, yang sebagian besar para calon haji terlihat berkumpul dan kebingungan serta was-was saat layanan bank secara manual lewat Teller masih lumpuh untuk mengecek setoran biaya berangkat haji, Kamis (11/5/2023).

Harus Lihai Bernegosiasi

Berhadapan dengan geng ransomware bukan sekedar persoalan keamanan siber, tetapi juga soal kelihaian negosiasi untuk meminimalisasi kerugian finansial, mengingat ransomware pada dasarnya dioperasikan manusia. Biasanya negosiasi tebusan merupakan proses yang dinamis, karena sebelum mereka memulai negosiasi, geng ransomware menelusuri data yang akan dicuri, untuk menemukan file paling sensitif untuk digunakan sebagai “sandera”.

Mereka kemudian mengunggah file-file penting ke blog pribadi dan mengancam korban bahwa data sensitif tersebut akan dipublikasikan jika pembayaran tidak dilakukan. Uniknya, ada geng ransomware yang “menghargai” pembayaran cepat tebusan dan negosiasi bisa berjalan dengan cepat.

Mereka menawarkan diskon 20-25 persen dari tebusan awal untuk korban yang bersedia membayar dalam hitungan hari. Jika sudah dalam tahap ini, korban sering melibatkan negosiator pihak ketiga untuk melakukan negosiasi atas nama mereka, dan akan memberikan berbagai penjelasan mengapa mereka tidak dapat membayar permintaan uang tebusan, atau mengapa butuh waktu lama.

Baca juga: Hacker Spesialis Ransomware Klaim Jadi Dalang BSI Down dan Ancam Sebar Data Nasabah

Pada tahap ini, korban cenderung meminta “diskon” tambahan. Jika korban tidak mau membayar, tim ransomware akan mulai mengunggah sebagian kecil dari data rahasia korban secara perlahan ke leak site mereka, dan akan membuat blog tersebut bisa diakses publik.