Securities and Exchange Commission (SEC) adalah agensi milik pemerintah Amerika Serikat yang bertugas untuk meregulasi dan supervisi sektor finansial, terutama yang berhubungan dengan perusahaan publik dan pasar modal. Gol dari SEC adalah memastikan proteksi terhadap investor dan aktifitas investasi dan informasi pasar modal berjalan transparan. Kalau di Indonesia, fungsi SEC sangat mirip dengan Otoritas Jasa Keuangan (OJK).

Pada 26 Juli 2023, SEC menyetujui revisi penambahan poin baru pada peraturan mereka yang berisi kewajibkan seluruh perusahaan publik untuk melaporkan ke para pemegang saham apabila terjadi serangan siber. Laporan ini harus dilakukan dalam waktu maksimal empat hari kerja. Apabila ada perusahaan yang tidak melaporkan insiden serangan siber pada perusahaan mereka dalam jangka waktu yang disebutkan, maka SEC akan memberikan hukuman berupa denda atau penangguhan operasi. Peraturan ini bisa menjadi dasar hukum bagi para pemegang saham ataupun pihak lain yang dirugikan untuk membawa ke ranah hukum. Revisi ini baru akan berlaku tanggal 18 Desember 2023 untuk perusahaan besar dan menengah, sedangkan untuk perusahaan yang lebih kecil baru akan berlaku pada 15 Juni 2024.

Peraturan ini dibuat karena banyaknya perusahaan yang tidak transparan dalam melaporkan insiden serangan siber dan berusaha menutupi dari para (calon) investor. Bagi SEC, peraturan baru ini dapat memberikan gambaran seberapa besar efek dari serangan siber ini dan juga dampak terhadap nilai dari perusahaan tersebut di pasar modal. Tentunya ini menguntungkan para (calon) investor dalam memberikan penilaian pada suatu perusahaan. Dari sisi perusahaan, alasan mereka menutupi insiden siber adalah untuk menjaga nilai pada pasar modal dan juga dampak kerugian finansial lainnya.

MeridianLink adalah perusahaan penyedia solusi digital bagi para institusi finasial seperti bank dan pemberi jasa kredit pinjaman.
Pada 7 November 2023, kelompok hacker bernama BlackCat/ALPHV mengklaim bahwa mereka telah berhasil meretas sistem milik MeridianLink dan mengambil data sensitif milik perusahaan tersebut. Seperti skenario pada umumnya, grup hacker ini meminta uang tebusan agar data-data yang telah mereka curi tidak disebarkan.

Posisi ini sangat membuat dilemma bagi para korban. Di satu sisi mereka tidak ingin data-data mereka tersebar ke tangan orang jahat atau kompetitor. Tapi di sisi lain, membayar uang tebusan pun tidak menjamin data-data itu tidak akan tersebar. Karena ketidakpastian ini, MeridianLink berusaha untuk mengulur waktu sampai mereka merasa jelas dengan posisi mereka dan juga memastikan data-data apa saja yang berhasil dicuri. Karena ketidakpastian inilah MeridianLink tidak melaporkan insiden siber ini ke SEC.

Laporan BlackCat/ALPHV ke SEC

Setelah terjadinya insiden siber dan klaim yang dilakukan oleh kelompok BlackCat/ALPHV, MeridianLink melakukan kontak dengan grup hacker tersebut untuk membicarakan uang tebusan yang diminta serta melakukan negosiasi nilai tebusan dan termin pembayaran. Tapi pembicaraan tidak menghasilkan keputusan sama sekali dan MeridianLink berusaha untuk mengulur waktu dengan tidak melakukan pembicaraan lebih jauh.

Akibat dari putusnya komunikasi, BlackCat/ALPHV melakukan hal yang sangat tidak umum dilakukan oleh grup hacker, melaporkan MeridianLink ke SEC atas kegagalan mereka memberitahu insiden siber yang terjadi pada perusahaan mereka dalam waktu 4 hari dari tanggal peretasan.

Image From BleepingComputer.com

Dari tampilan layar, pada tanggal 15 November 2023, grup hacker ini membuat laporan ke SEC bahwa MeridianLink telah lalai dan tidak mematuhi peraturan SEC dan harus dikenai hukuman sesuai yang berlaku. Untungnya bagi MeridianLink, peraturan ini baru berlaku tanggal 18 Desember 2023, hingga terhindar dari hukuman. Tapi karena informasi ini telah dirilis ke publik, MeridianLink mengumumkan insiden peretasan ini sehari setelah laporan ke SEC dibuat.

Motif Dibalik Pelaporan

Sungguh ironi sekali, laporan ketidakpatuhan ini dilakukan oleh pihak yang melakukan kejahatan. Ini membuat kita bertanya-tanya, apa motif dibalik laporan tersebut?

Bisa jadi, BlackCat/ALPHV mau menunjukkan konsekuensi dari peretasan data, apapun keputusan yang diambil, adalah kerugian finansial. Opsi keputusannya adalah:

  1. Bayar uang tebusan secepatnya dan tidak melapor ke SEC, terhindar dari publikasi yang membuat nilai perusahaan turun tapi harus keluar uang untuk membayar uang tebusan.
  2. Tidak membayar uang tebusan tapi melapor ke SEC, efeknya nilai perusahaan turun dan data menyebar.
  3. Tidak membayar uang tebusan dan tidak melapor ke SEC, akibatnya bisa terkena denda dan opersional dibekukan apabila grup hacker yang pertama kali melaporkan ke SEC.

Dengan adanya laporan ini justru menanamkan rasa takut para petinggi perusahaan. Tinggal dilihat apa keputusan mereka dalam menghadapi situasi dilemmatis ini. Apakah mereka akan menuruti permintaan grup hacker apabila perusahaan mereka terkena serangan siber? Atau mereka berani menolak uang tebusan dan lebih memilih untuk melaporkan ke SEC dengan resiko nilai perusahaan jatuh.

Tapi ada opsi lain yang lebih aman, yaitu mengalokasikan bujet untuk memperkuat sistem keamanan siber dan menghindari situasi dimana mereka harus bernegosiasi dengan para hacker.

Kira-kira anda pilih yang mana?