KEPUTUSAN UNTUK MEMBAYAR SANGAT KOMPLEKS
Membayar uang tebusan mungkin tampak seperti cara paling masuk akal untuk menyelesaikan masalah ini. Namun, sangat penting untuk mempertimbangkan potensi dampak dan konsekuensi jangka panjang bagi bisnis.
Tidak ada jaminan bahwa membayar uang tebusan akan menghilangkan kerugian yang ditimbulkan, dan hal ini bahkan dapat memberikan insentif lebih lanjut kepada penyerang dengan menunjukkan kesediaan untuk memenuhi tuntutan mereka. Oleh karena itu, tim keamanan harus bekerja sama dengan tim manajemen untuk memastikan bahwa keputusan bisnis yang penting mempertimbangkan potensi risiko ini.
Perusahaan harus mempertimbangkan tidak hanya uang tebusan itu sendiri, namun juga biaya yang diperlukan untuk memperbaiki kerusakan yang disebabkan oleh serangan tersebut.
Dalam banyak kasus, biaya tebusan hanya sebagian kecil dari biaya yang dikeluarkan perusahaan, dengan sebuah penelitian memperkirakan total biaya untuk memitigasi serangan rata-rata tujuh kali lipat dari jumlah pemerasan, yang menunjukkan potensi kerusakan pada reputasi perusahaan. dan kewajiban hukum.
Jika pelaku ancaman berniat menciptakan suasana teror atau ketakutan, atau mengganggu perekonomian, membayar uang tebusan mungkin bukan keputusan terbaik. Hal ini mungkin benar, terutama ketika terjadi banyak gejolak geopolitik. Selain itu, entitas pemerintah (dan dalam banyak kasus, entitas milik negara) umumnya memiliki kebijakan untuk tidak membayar uang tebusan apa pun ancamannya.
Kerugian secara keseluruhan bergantung pada beberapa aspek – antara lain biaya gangguan layanan, reputasi, dan denda regulator. Terkait kehilangan data, risikonya sangat bergantung pada sensitivitas data. Misalnya, alamat email dan nama kurang berharga bagi penyerang (dan kurang berisiko bagi korban) dibandingkan kartu identitas, salinan paspor, atau catatan medis.
Dalam kasus seperti ini, dengan asumsi pelaku ancaman memahami pentingnya data yang mereka miliki, mereka cenderung meminta uang tebusan yang lebih tinggi. Misalnya, laporan IBM menunjukkan bahwa pelanggaran di industri layanan kesehatan dapat memicu permintaan lebih dari dua kali lipat jumlah pelanggaran di sektor lain.
Geng Ransomware sering kali sangat berhati-hati dalam menentukan nilai tuntutan mereka. Analisis terhadap log obrolan salah satu geng tersebut menunjukkan bahwa mereka akan memperkirakan dengan cermat pendapatan perusahaan target menggunakan sumber yang tersedia untuk umum. Mereka kemudian akan mengenakan tarif berdasarkan persentase pendapatan mereka (misalnya, antara kurang dari 1 persen hingga 5 persen, dengan tarif lebih tinggi diberikan kepada perusahaan dengan penjualan lebih rendah). Tujuan mereka adalah memudahkan perusahaan memutuskan untuk membayar uang tebusan.