Pada tahun lalu, pemerintah Inggris telah memberi isyarat bahwa mereka bermaksud mengambil sikap yang lebih proaktif dalam menanggulanginya ransomware dengan memperkenalkan larangan yang ditargetkan pada pembayaran ransomware.
Berdasarkan langkah-langkah yang diusulkan, semua badan yang didanai publik dan penyedia infrastruktur nasional (CNI) yang penting, termasuk NHS, sekolah, dan dewan lokal, akan dilarang membayar uang tebusan.
Bidang CTO EMEAI di Commvault.
Secara paralel, pemerintah bermaksud untuk memperkenalkan rezim pemberitahuan pembayaran di muka terhadap ransomware yang wajib yang akan memberlakukan kewajiban pelaporan baru pada perusahaan swasta. Ketika bisnis masih mempunyai kemampuan hukum untuk membayar, mereka harus memberitahu pemerintah mengenai niat mereka untuk melakukan hal tersebut.
Dirancang untuk “menyerang inti model bisnis kejahatan dunia maya”, usulan larangan pembayaran ransomware oleh pemerintah bertujuan untuk menjadikan layanan publik Inggris sebagai target yang tidak terlalu menggoda bagi para penjahat dunia maya dengan menghilangkan insentif keuangan apa pun.
Namun, terdapat kekhawatiran yang berkembang bahwa larangan tersebut dan skema pemberitahuan baru akan menimbulkan konsekuensi yang tidak diinginkan bagi sektor usaha swasta.
Teka-teki kepatuhan
Karena entitas sektor publik akan menjadi target yang kurang menarik, kekhawatirannya adalah para penyerang akan mengalihkan upaya mereka dan menggandakan targetnya pada perusahaan sektor swasta. Jika ini terjadi, berarti demikian UKMpengecer, produsen, dan organisasi nirlaba akan berada dalam baku tembak para penjahat dunia maya.
Sementara itu, sistem pemberitahuan pembayaran di muka mempunyai implikasi signifikan bagi perusahaan sektor swasta yang diharuskan untuk berhubungan dengan pihak berwenang dan melaporkan niat mereka untuk melakukan pembayaran ransomware.
Perusahaan yang menjadi korban ransomware akan menghadapi dilema nyata jika pemerintah memutuskan untuk menggunakan kekuatan pemblokirannya dan memberikan sanksi atas pembayaran apa pun yang dilakukan.
Meskipun tidak ada perusahaan yang mau membayar uang tebusan, banyak yang merasa tidak punya pilihan selain membayar dan mengambil risiko tuntutan pidana jika kelangsungan hidup perusahaan menjadi taruhannya. Hal ini juga berisiko memaksa pembayaran ransomware dilakukan secara rahasia, jika organisasi memutuskan untuk melakukan pembayaran secara rahasia daripada menghadapi kebangkrutan.
Penelitian terbaru kami menyoroti teka-teki yang dihadapi perusahaan-perusahaan sektor swasta saat ini. Sementara 94% dari Inggris bisnis Para pemimpin negara mengatakan bahwa mereka mendukung prinsip larangan pembayaran untuk badan publik, namun mereka lebih bersikap ambivalen mengenai kepatuhan.
Sebanyak 75% responden mengakui bahwa jika larangan tersebut diperluas ke sektor swasta, mereka akan tetap membayar uang tebusan jika itu adalah satu-satunya cara untuk menyelamatkan organisasi mereka, terlepas dari apakah sanksi perdata atau pidana diterapkan. Hanya 10% yang mampu mengatakan dengan yakin bahwa mereka akan mematuhinya jika terjadi serangan.
Implikasi dari temuan ini membuat kemungkinan kepatuhan penuh terhadap sistem pemberitahuan yang diusulkan pemerintah menjadi dipertanyakan. Karena harus mendapatkan persetujuan awal dari pemerintah atas pembayaran ransomware, perusahaan mungkin memutuskan untuk membayar penyerang secara diam-diam dan menyelesaikan insiden tersebut tanpa memberi tahu regulator.
Mengingat semakin besarnya kemungkinan terjadinya serangan dan fakta bahwa keputusan pembayaran ransomware akan memaparkan organisasi pada sejumlah tantangan etika, hukum, dan praktis, perusahaan sektor swasta harus mengambil langkah-langkah untuk memperkuat ketahanan siber mereka dan mengurangi ketergantungan mereka pada pembayaran uang tebusan jika terjadi serangan.
Mengambil pendekatan yang mengutamakan bisnis: mengadopsi model kelayakan minimum
Konsep perusahaan minimum yang layak (MVC) menawarkan organisasi pendekatan pragmatis dan mengutamakan bisnis untuk mempertahankan layanan penting selama serangan dunia maya.
Bagi banyak organisasi, kemampuan untuk terus beroperasi, bahkan dengan cara yang lebih hemat, akan membuat perbedaan besar dalam meminimalkan gangguan hingga pemulihan penuh dapat dicapai.
Fokus utama pendekatan MVC adalah memulihkan layanan yang penting untuk mempertahankan operasi penting dan mengurangi waktu henti operasional. Dengan hanya berfokus pada layanan penting yang diperlukan untuk mempertahankan fungsi penting, organisasi mendapatkan waktu yang mereka perlukan untuk memfasilitasi pemulihan penuh.
Untuk membuat kerangka kerja MVC yang efektif, organisasi perlu:
1. Identifikasi hal mendasar aplikasi dan layanan yang harus selalu aman dan beroperasi. Biasanya, ini termasuk otentikasi dan manajemen identitas, platform komunikasi seperti email dan alat kolaborasi, aplikasi keuangan dan yang berhubungan dengan pelanggan, serta alur kerja operasional inti.
2. Berinvestasi dalam mekanisme perlindungan data tingkat lanjut seperti cadangan udara yang tidak dapat diubah dan tidak dapat diubah atau dihapus oleh pelaku kejahatan. Hal ini akan membantu menjaga informasi paling berharga milik organisasi tetap utuh dan dapat dipulihkan.
Melakukan validasi titik pemulihan secara rutin akan sangat penting dalam hal ini untuk menguatkan bahwa organisasi memang dapat membantu menjamin ketersediaan data bersih untuk restorasi.
3. Mendefinisikan dengan jelas peran dan tanggung jawab para pemangku kepentingan utama sehingga organisasi dapat mencapai tujuan pemulihannya. Menjalankan latihan pemulihan berbasis skenario secara teratur akan membantu memastikan semua orang siap untuk melakukan pemulihan yang lebih cepat dan efektif ke kondisi minimum yang layak.
Tujuannya adalah untuk menguji kesiapan dan kemampuan organisasi untuk pulih dari serangan dan terus meningkatkan proses dan prosedur.
Membangun organisasi yang siap menghadapi masa depan
Setelah pemerintah meresmikan usulan larangan pembayaran dan persyaratan pelaporan wajib yang baru, dunia usaha di Inggris harus bersiap menghadapi apa yang akan terjadi selanjutnya.
Sampai saat itu tiba, organisasi-organisasi yang beroperasi di sektor publik dan swasta harus memiliki rencana yang jelas dan dapat ditindaklanjuti untuk memulihkan sistem-sistem penting, datadan proses setelah serangan, terutama karena membayar uang tebusan jarang menjamin pemulihan dan seringkali meningkatkan kemungkinan menjadi sasaran lagi.
Dengan memasukkan prinsip-prinsip ketahanan minimum ke dalam perencanaan ketahanan dan strategi pemulihan, organisasi akan mampu meminimalkan kemungkinan kegagalan operasional total ketika serangan terjadi.
Kami telah menampilkan perangkat lunak enkripsi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
