Asuransi siber melayani dua tujuan utama:
- Mitigasi risiko bagi tertanggung.
- Untuk mengisi kekosongan yang ditinggalkan oleh polis asuransi yang ada.
Mitigasi Risiko Bagi Tertanggung
Pertama, asuransi siber dapat beroperasi untuk mengganti kerugian tertanggung atas kerugian finansial dan gangguan bisnisnya yang disebabkan oleh risiko siber. Kedua, ia dapat beroperasi untuk mengganti kerugian tertanggung atas eksposur hukum dan peraturan.
Perusahaan menjadi lebih sadar akan eksposur risiko ini karena mereka dituntut untuk memenuhi standar yang lebih tinggi dalam hal perlindungan data dan keamanan siber. Ini khususnya terjadi di Inggris, baik berdasarkan undang-undang maupun sebagai akibat dari beberapa kasus baru-baru ini.
Seperti yang dibahas dalam Sejarah dan masa depan asuransi siber, GDPR memberlakukan beberapa kewajiban seperti ini dan seperti yang telah dipublikasikan dengan baik, jika pengontrol data melanggar kewajiban GDPR, mereka dapat didenda lebih besar dari EUR 10 juta atau EUR 20 juta (tergantung pelanggaran) , atau 2% atau 4% dari total omset tahunan (lihat GDPR, Pasal 83 dan 84).
Demikian pula, Peraturan NIS menetapkan denda hingga £17 juta untuk pelanggaran keamanan siber dan persyaratan pemberitahuan insiden yang dikenakan pada OES dan RDSP.
Selain Peraturan GDPR dan NIS, kasus hukum telah memberlakukan tanggung jawab lebih lanjut pada perusahaan dalam hal-hal yang berkaitan dengan privasi data dan risiko cyber secara lebih umum.
Dalam Vidal-Hall v Google Inc [2014] EWHC 13 (QB), pengadilan menyatakan bahwa klaim yang merugikan atas penyalahgunaan informasi pribadi dapat dibawa ke pengadilan Inggris dan ganti rugi berdasarkan pasal 13 Undang-Undang Perlindungan Data 1998 dapat diberikan untuk non-material damage, termasuk guncangan emosional.
Posisi ini sejak itu secara efektif dikodifikasikan di bawah Data Protection Act 2018. Pengadilan Tinggi juga menemukan bahwa ganti rugi pada prinsipnya dapat diberikan untuk kehilangan kendali atas data berdasarkan pasal 13 DPA 1998, bahkan tanpa adanya kesulitan.
Pasal 82 GDPR memberikan dasar hukum untuk hak kompensasi atas “material” dan “non-material” damage yang disebabkan oleh pelanggaran GDPR. Dalam konteks ini, “non-material” damage termasuk hal-hal non-finansial seperti penderitaan. Sejak GDPR mulai berlaku pada Mei 2018, telah terjadi peningkatan pesat dalam jumlah klaim semacam ini yang diajukan oleh subjek data setelah pelanggaran data.
Mengisi Kekosongan Polis Eksisting
Asuransi siber juga digunakan untuk mengisi kekosongan/celah yang dibiarkan terbuka oleh polis asuransi konvensional. Tertanggung berharap polis asuransi mereka dapat merespon berbagai risiko cyber yang mereka hadapi. Pada kenyataannya, itu sangat tidak mungkin.
Risiko cyber luas dan terus berkembang. Selain itu, polis asuransi yang ada mungkin berisi pengecualian yang berkaitan dengan risiko cyber; dan karenanya, berpotensi mengekspos perusahaan pada kerugian finansial yang disebabkan oleh risiko cyber.
Kasus Mondelez v Zurich yang berlangsung di AS menyoroti potensi bahaya dalam mengandalkan polis tradisional atau polis properti untuk mengkover risiko cyber. Secara khusus, serangan NotPetya menginfeksi dua server Mondelez, dengan perkiraan biaya langsung (kerusakan komputer) dan tidak langsung (gangguan pasokan dan distribusi) dari kerusakan malware berjumlah lebih dari $100 juta.
Pada bulan Oktober 2018, di Circuit Court of Cook County, Illinois, Mondelez mengajukan klaim asuransi kepada Zurich American Insurance atas kerusakan, dengan alasan bahwa polis asuransi property all risk menanggung material damage langsung dan biaya tidak langsung yang terjadi selama periode kegagalan komputer.
Mondelez mengklaim bahwa Zurich menolak klaim pada Juni 2018 dengan satu-satunya alasan bahwa polis tersebut mengecualikan “kerugian atau kerusakan yang secara langsung atau tidak langsung disebabkan oleh atau akibat dari… [a] tindakan permusuhan atau perang”.
Banyak komentar telah muncul mengenai apakah pengecualian perang akan dianggap berlaku dalam konteks ini, tetapi yang jelas adalah bahwa kasus seperti ini mendorong perusahaan untuk mengasuransikan risiko cyber di bawah polis asuransi cyber afirmatif (yaitu, polis yang secara eksplisit mencakup risiko cyber), daripada mencari produk asuransi yang lebih tradisional.
Banyak klaim asuransi yang timbul dari serangan NotPetya ditanggung oleh perusahaan asuransi cyber karena insiden semacam itu lebih nyaman dalam selera underwriter cyber (dibandingkan dengan perusahaan asuransi jalur tradisional) dan tim klaim mereka lebih berpengalaman dalam menangani insiden semacam itu.
Jika perusahaan asuransi cyber menolak klaim yang timbul dari lampiran NotPetya atas dasar bahwa pengecualian perang diterapkan, itu akan berdampak buruk pada proposisi penjualan dan reputasi mereka saat ini.