2 hours ago
2
Selular.id – Pemerintah Inggris mengajukan proposal pelarangan pembayaran tebusan ransomware bagi sektor publik dan infrastruktur nasional kritis.
Rencana ini merupakan bagian dari upaya mengganggu ekonomi kejahatan siber dan mengurangi daya tarik entitas Inggris sebagai target serangan.
Proposal yang diajukan pada konsultasi publik Januari 2025 ini mencakup tiga pilar utama: larangan pembayaran untuk sektor publik dan infrastruktur kritis, rezim pencegahan pembayaran untuk organisasi lain di Inggris, serta kewajiban pelaporan insiden ransomware secara wajib.
Sarah Pearce, Partner di Hunton Andrews Kurth LLP, menyoroti bahwa meskipun saat ini membayar tebusan ransomware tidak ilegal di Inggris—kecuali jika melibatkan kelompok teroris, pendanaan kejahatan terorganisir, atau melanggar sanksi—regulator seperti Information Commissioner’s Office (ICO) dan National Cyber Security Centre (NCSC) sangat tidak menganjurkannya.
Proposal larangan ini diharapkan dapat mengurangi insentif finansial bagi pelaku ancaman, meski tidak akan sepenuhnya menghentikan serangan yang bertujuan utama mengganggu operasional.
Larangan ini hanya akan berlaku untuk sektor publik dan infrastruktur nasional kritis, yang berpotensi mengalihkan fokus pelaku ke sektor swasta, terutama organisasi yang menyediakan layanan untuk sektor publik. Skema pencegahan pembayaran akan berlaku untuk semua organisasi berbasis di Inggris, di mana pembayaran tebusan harus diberitahukan sebelumnya kepada otoritas yang dapat melarangnya.
Hal ini dapat menimbulkan konsekuensi tidak diinginkan, seperti menghambat pengungkapan insiden atau mendorong pembayaran melalui jalur luar negeri untuk menghindari yurisdiksi Inggris.
Persinggungan proposal ini dengan rezim perlindungan data yang ada juga perlu dipertimbangkan. Banyak insiden ransomware melibatkan enkripsi atau eksfiltrasi data pribadi, yang memicu kewajiban pelaporan pelanggaran di bawah UK GDPR/EU GDPR dan hukum setara internasional.
Pengenalan kewajiban pelaporan insiden ransomware terpisah dapat meningkatkan intelijen tentang aktivitas kriminal, namun juga menambah tantangan bagi organisasi korban, terutama yang beroperasi secara global dan sudah menghadapi persyaratan pelaporan di banyak yurisdiksi.
Kebutuhan akan keselarasan antara rezim ransomware dan kerangka kerja perlindungan data sangat penting, terutama dalam hal garis waktu, ambang batas, dan titik kontak regulator. ICO, NCSC, dan otoritas yang baru ditunjuk perlu bekerja sama untuk memberikan panduan yang konsisten dan koheren.
Bagi penyedia layanan penting, larangan yang diusulkan sangat consequential. Entitas ini sudah menghadapi pengawasan ketat di bawah Peraturan Jaringan dan Sistem Informasi (NIS), dan sering menjadi tulang punggung keamanan nasional dan ekonomi.
Namun, mereka mungkin juga termasuk yang paling tidak mampu menyerap downtime berkepanjangan yang disebabkan oleh ransomware, terutama jika perencanaan kontinjensi sektor-spesifik belum berkembang.
Dari perspektif internasional, proposal ini menimbulkan berbagai masalah yurisdiksi dan penegakan. Misalnya, apa yang terjadi jika anak perusahaan berbasis di Inggris dari perusahaan multinasional diserang, tetapi negosiasi tebusan dipimpin oleh induk perusahaan asing? Apakah otoritas Inggris akan menegakkan yurisdiksi atas pembayaran offshore yang dilakukan atas nama korban Inggris? Kejelasan juga diperlukan tentang ruang lingkup rezim pelaporan wajib baru yang direncanakan, termasuk konsekuensi dan sanksi untuk ketidakpatuhan.
Langkah-langkah ini diperkirakan akan menjadi undang-undang, mungkin di bawah RUU Keamanan Siber dan Ketahanan yang diantisipasi, dalam tahun mendatang.
Organisasi perlu mulai memikirkan cara menavigasi lingkungan baru ini. Mereka harus, misalnya, meninjau tata kelola tanggapan insiden mereka dan memperbarui kebijakan tanggapan insiden, serta terus memantau perkembangan dalam sanksi, privasi data, dan hukum keamanan siber untuk memastikan postur kepatuhan yang harmonis.
Pembuat kebijakan perlu bekerja sama dengan spesialis hukum dan industri untuk memastikan bahwa setiap undang-undang dapat diterapkan, proporsional, dan tidak mengorbankan ketahanan yang ingin dibangun.
Pendekatan yang bernuansa—menyeimbangkan pencegahan dengan dukungan korban—pada akhirnya mungkin terbukti lebih efektif daripada kriminalisasi langsung. Seperti yang terjadi pada tekanan terhadap Huawei di Inggris, kebijakan keamanan siber sering kali memerlukan penyesuaian strategis.
Pertanyaan tentang apakah harus membuat pembayaran tebusan ilegal di Inggris menimbulkan pertimbangan hukum, etika, dan praktis yang kompleks.
Di satu sisi, pelarangan dapat membantu mencegah kejahatan siber dan menghilangkan insentif finansial yang mendorong ransomware. Di sisi lain, ini berisiko memperburuk kerugian bagi korban, mendorong insiden ke bawah tanah, dan menciptakan tantangan penegakan yang sulit.
Dari sudut pandang hukum, masih ada waktu untuk membentuk rezim yang mendorong transparansi, meningkatkan ketahanan, dan selaras dengan tujuan privasi data dan keamanan siber yang lebih luas.
Namun, ini memerlukan perancangan yang cermat dan kolaborasi industri. Sejalan dengan itu, beberapa negara Eropa juga menghadapi dilema kebijakan keamanan siber yang serupa dalam konteks yang lebih luas.
Kebijakan keamanan siber global terus berkembang, dan respons terhadap ransomware hanyalah satu bagian dari teka-teki yang lebih besar. Organisasi di seluruh dunia, termasuk yang terpengaruh oleh program strategis keamanan siber nasional, harus mempersiapkan diri untuk perubahan regulasi yang mungkin terjadi. Dengan ancaman siber yang semakin canggih, terutama dengan penggunaan alat AI oleh pelaku ancaman, ketahanan siber menjadi lebih penting dari sebelumnya.
