Pemerintah Inggris sedang mempertimbangkan rencana untuk melarang pembayaran tebusan ransomware bagi entitas publik dan infrastruktur nasional yang vital. Inisiatif ini merupakan upaya untuk meredam aktivitas kejahatan siber dan mengurangi atraktifnya Inggris sebagai sasaran serangan digital.
Proposal ini, yang dibahas dalam konsultasi publik Januari 2025, terdiri atas tiga poin utama: larangan pembayaran untuk sektor publik dan fasilitas kritis, sistem pencegahan bagi organisasi lainnya, serta kewajiban wajib melaporkan insiden ransomware. Sarah Pearce, mitra di hunton Andrews Kurth LLP, katakan bahwa meskipun saat ini pembayaran tebusan tidak dilarang dalam hukum Inggris (kecuali melibatkan teroris, kejahatan terorganisir, atau pelanggaran sanksi), regulator seperti ICO dan NCSC sangat menolak praktik tersebut.
Diperkirakan, larangan ini dapat mengurangi motivasi pelaku sibercrime, meskipun tidak akan menyelesaikan masalah serbuan yang bertujuan menghambat operasi. Aturan ini berlaku khususnya untuk sektor publik dan fasilitas strategis, yang mungkin mendorong penjahat siber beralih ke perusahaan swasta, terutama penyedia jasa bagi entitas publik. Sistem pencegahan pembayaran akan mengikat semua entitas berbasis Inggris, memerlukan persetujuan otoritas sebelum transfer tebusan.
Terkait dengan risiko tidak diinginkan, seperti penolakan melaporkan insiden atau pembayaran melalui jalur internasional untuk menghindari hukum Inggris.
Proposal ini juga mempertimbangkan sinkronisasi dengan aturan perlindungan data yang ada. Banyak insiden ransomware melibatkan pengencriptan atau pengekspilan data pribadi, memicu kewajiban laporan di bawah UK GDPR dan hukum internasional setara. Kewajiban wajib melaporkan insiden baru bisa meningkatkan intelijensi tentang kriminalitas siber, namun menambah beban bagi korban, terutama entitas global yang sudah menghadapi berbagai yurisdiksi laporan.
Koordinasi antara ICO, NCSC, dan otoritas baru sangat penting untuk memastikan panduan yang konsisten, terutama dalam batas waktu, ambang batas, dan titik kontak pengawasan.
Bagi penyedia layanan kritis, larangan ini memiliki dampak besar. Mereka sudah berada di bawah pengawasan ketat Peraturan NIS dan sering menjadi tanggung jawab keamanan nasional. Namun, mereka mungkin kurang siap menghadapi downtime berkepanjangan akibat ransomware, terutama jika tidak ada rencana kontingensi yang matang.
Dari sudut internasional, proposal ini memunculkan tantangan yurisdiksi dan penegakan. Misalnya, jika anak perusahaan Inggris dari konglomerat global diserang, tetapi negosiasi tebusan dilakukan oleh induk perusahaan asing, apakah otoritas Inggris bisa menegakkan larangan pembayaran? Kejelasan juga dibutuhkan tentang sanksi dan konsekuensi ketidakpatuhan laporan wajib baru.
Inisiatif ini diharapkan akan dirangkum dalam undang-undang, kemungkinan dalam RUU Keamanan Siber dan Ketahanan yang direncanakan.
Organisasi harus merencanakan strategi adaptasi, mulai merenovasi tata kelola tanggapan insiden, memperbarui kebijakan, dan memantau perkembangan hukum keamanan siber. Pemerintah harus bekerjasama dengan ahli hukum dan industri untuk membuat regulasi yang terapan dan proporsional.
Pendekatan yang seimbang antara pencegahan dan dukungan korban bisa lebih efektif daripada kriminalisasi langsung. Seperti dampak kebijakan terhadap Huawei di Inggris, keamanan siber membutuhkan penyesuaian strategis.
Pertanyaan tentang legalitas pembayaran tebusan di Inggris menimbulkan pertimbangan hukum, etika, dan praktis. Satu sisi, larangan bisa mencegah kejahatan siber. Sisi lain, risiko kerugian korban, insiden yang tersembunyi, dan tantangan penegakan yang sulit.
Dari sudut pandang hukum, masih ada ruang untuk membuat sistem yang transparan, meningkatkan ketahanan, dan selaras dengan tujuan keamanan data dan siber. Namun, ini memerlukan desain cermat dan kolaborasi industri. Beberapa negara Eropa juga menghadapi dilema serupa dalam kebijakan keamanan siber.
Kebijakan keamanan siber global terus berkembang, dan respon terhadap ransomware hanya bagian dari tantangan yang lebih luas. Organisasi di seluruh dunia perlu siap menghadapi perubahan regulasi, terutama dengan ancaman siber semakin canggih, termasuk penggunaan AI oleh penjahat siber. Ketahanan siber kini lebih penting dari sebelumnya.
Jika pemerintah Inggris berhasil mengimplementasikan aturan ini dengan bijak, langkah ini bisa menjadi contoh bagi negara lain dalam menghadapi tantangan keamanan siber yang semakin kompleks. Organisasi yang siap beradaptasi dengan perubahan regulasi akan lebih muda dalam menghadapi ancaman siber masa depan.
Baca juga Info Gadget lainnya di Info Gadget terbaru
Penulis Berpengalaman 5 tahun.