Persyaratan Pemberitahuan Serangan Ransomware

Ada konsekuensi hukum terkait segala jenis serangan cyber yang melibatkan kompromi data pribadi pengguna. Masalah hukum pertama yang perlu kita pertimbangkan dari serangan ransomware adalah persyaratan pemberitahuan.

Persyaratan pemberitahuan tergantung pada yurisdiksi dan jenis industri. Misalnya, di Amerika Serikat, semua negara bagian telah menerapkan undang-undang pemberitahuan pelanggaran data. Di bawah undang-undang ini, entitas korban (misalnya, perusahaan, organisasi amal, lembaga pendidikan, penyedia layanan, situs web sosial atau entitas/situs web apapun yang menyimpan informasi pribadi tentang pelanggan/kliennya) harus memberitahu pihak berwenang mengenai pelanggaran keamanan apapun yang melibatkan pengaksesan personally identifiable information (PII) penggunanya.

PII adalah segala informasi yang dapat digunakan sendiri atau dengan informasi lain untuk mengidentifikasi atau menemukan seseorang. Termasuk: nama, nomor Social Security, nomor paspor, nomor KTP, tempat lahir, jenis kelamin, nama ayah dan ibu, catatan biometrik atau detail lainnya yang secara unik milik Anda dan dapat diidentifikasi secara pribadi.

Di Amerika Serikat, Health Insurance Portability and Accountability Act (HIPAA) mewajibkan setiap entitas yang menderita pelanggaran data yang mengakibatkan mengakses patient health information (PHI) untuk memberitahu orang-orang yang terkena dampak, Sekretaris HHS (Departemen Kesehatan AS dan Layanan Manusia), dan media (untuk pelanggaran yang memengaruhi lebih dari 500 individu) sesuai dengan persyaratan pemberitahuan pelanggaran HIPAA. Menurut aturan HIPAA, pelanggaran didefinisikan sebagai ..perolehan, akses, penggunaan atau pengungkapan PHI dengan cara yang tidak diizinkan di bawah HIPAA Privacy Rule yang membahayakan keamanan atau privasi PHI.

Ketika serangan ransomware menghasilkan enkripsi electronic protected health information (ePHI), pelanggaran dianggap telah terjadi, karena menurut HIPAA Privacy Rule, enkripsi penyerang data memenuhi syarat sebagai kepemilikan data ini, meskipun data ini belum dilihat oleh penyerang. Dalam hal ini, aturan pemberitahuan yang sama berlaku seperti pelanggaran data PHI.

Jika ePHI sudah dienkripsi sesuai dengan Guidance to Render Unsecured Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals, maka tidak ada kebutuhan untuk pemberitahuan pelanggaran.

Di Uni Eropa, General Data Protection Regulation, yang diberlakukan untuk melindungi privasi warga negara Uni Eropa (diberlakukan pada tanggal 25 Mei 2018), mewajibkan perusahaan yang bekerja dengan data pribadi warga negara Uni Eropa untuk melaporkan setiap pelanggaran data dalam waktu 72 jam. Denda yang dikenakan karena melanggar peraturan ini tinggi (4% dari omset tahunan global, atau €20 juta).

Karena ancaman ransomware terus tumbuh dan beragam, penting bagi perusahaan yang mengumpulkan/menangani informasi pribadi pengguna untuk memahami persyaratan pelaporan yurisdiksinya jika terjadi pelanggaran data untuk menghindari pemberitahuan yang terlambat.

Ransomware telah terbukti sebagai bentuk serangan cyber yang sangat efektif yang menimpa baik bisnis maupun individu.

(Visited 11 times, 1 visits today)

Leave a Reply

Your email address will not be published. Required fields are marked *