Cyber Risk Insurance: Luas Jaminan Polis Asuransi Cyber

Mengingat sifat risiko cyber yang luas, cakupan asuransi cyber pun cenderung meluas. Bentuk asuransi siber banyak dan beragam, tetapi biasanya mencakup pertanggungan atas kerugian yang timbul dari:

• Crisis management / biaya manajemen krisis (respon insiden atau pelanggaran), termasuk biaya pemberitahuan, biaya forensik TI, nasihat hukum, biaya hubungan masyarakat, pemantauan kredit dan call center.
• Non-phisical business interruption.
• Cyber extortion / pemerasan cyber.
• Privacy liability / kewajiban privasi.
• Confidentiality liability / kewajiban kerahasiaan.
• IT security liability / tanggung jawab keamanan TI.
• Data protection regulatory fines and costs / denda dan biaya atas peraturan perlindungan data.

Beberapa susunan wording di polis cyber (tetapi tidak berarti semua) juga dapat memberikan perlindungan untuk:

• Pencurian uang melalui social engineering.
• Kerusakan reputasi jangka panjang (yang sulit diukur tetapi biasanya diukur dengan hilangnya pelanggan atau hilangnya keuntungan yang disebabkan oleh publisitas buruk yang dihasilkan oleh insiden siber).
• Kerusakan properti (termasuk untuk teknologi operasional, sistem kontrol industri dan “internet of things”).
• Perlindungan ganti rugi profesional teknologi (technology professional indemnity cover).
• Biaya dan kewajiban terkait pelanggaran Standar Keamanan Data Industri Kartu Pembayaran.
• Media liability (online atau multi-media) atas pelanggaran kekayaan intelektual, pencemaran nama baik, dan kewajiban lainnya.

First and third party risks

Polis asuransi siber mencakup kerugian pihak pertama dan pihak ketiga dan biasanya melalui klausul asuransi terpisah dan terkadang melalui extension dan endorsement. Kerugian pihak pertama terjadi ketika ada kerugian dan/atau kerusakan pada bisnis atau data tertanggung sendiri sebagai akibat dari insiden siber (misalnya, gangguan bisnis, kehilangan atau kerusakan aset digital, kehilangan reputasi, pencurian, tuntutan tebusan, atau respons insiden biaya).

Bagian pihak pertama dari polis asuransi cyber biasanya ditulis berdasarkan kejadian (dalam kasus insiden cyber yang terbukti dengan sendirinya seperti ancaman pemerasan cyber). Artinya polis akan menanggung kejadian yang dipertanggungkan yang terjadi selama masa polis.

Kadang-kadang perlindungan dapat diberikan atas dasar penemuan (dalam kasus insiden cyber yang mungkin tetap tidak ditemukan untuk waktu yang lama seperti pelanggaran data). Oleh karena itu, polis akan mencakup peristiwa yang ditemukan selama periode polis. Hal ini mengurangi kekhawatiran atas kurangnya perlindungan untuk peretasan historis, asalkan mereka tidak dapat diidentifikasi secara wajar sampai setelah dimulainya kebijakan.

Sebaliknya, kerugian pihak ketiga terjadi ketika ada (dugaan atau aktual) kerusakan atau kerugian pada orang lain, seperti klien atau pelanggan tertanggung sebagai akibat dari insiden cyber. Ini mungkin termasuk pembayaran kompensasi kepada pelanggan untuk pelanggaran data pribadi yang dikendalikan oleh tertanggung atau kewajiban dalam kontrak atau ganti rugi kepada rekanan komersial yang timbul dari insiden cyber.

Bagian tanggung jawab pihak ketiga dari polis asuransi cyber biasanya ditulis berdasarkan klaim yang dibuat (mirip dengan asuransi ganti rugi profesional). Ini berarti bahwa polis akan menjamin klaim yang dibuat terhadap tertanggung selama periode pertanggungan.

Incident response cover

Asuransi siber umumnya akan menanggung biaya manajemen krisis yang timbul dalam menangani insiden siber yang merugikan, terutama pelanggaran data pribadi. Biasanya, ini akan mencakup hukum, forensik TI (termasuk pemulihan data, dan penyelidikan serta biaya remediasi), biaya konsultan hubungan masyarakat dan biaya pemberitahuan pelanggaran data kepada regulator dan subjek data serta pusat panggilan dan biaya pemantauan kredit (dalam terjadi pelanggaran data).

Polis asuransi siber seringkali memberikan akses ke berbagai penyedia layanan yang telah disepakati sebelumnya untuk tujuan ini. Sekarang merupakan praktik yang umum di pasar bagi perusahaan asuransi besar untuk beraliansi dengan firma hukum, forensik TI dan penasihat pemerasan cyber dan spesialis PR yang berpengalaman dalam menanggapi insiden cyber. Saluran bantuan darurat terkadang disediakan untuk memfasilitasi kontak langsung dengan penyedia tersebut.

Cyber business interruption cover

Kerugian business interruption terkait cyber biasanya tercakup dalam polis asuransi cyber, tunduk pada batasan dan pengecualian. Kerugian tersebut terdiri dari hilangnya keuntungan dan peningkatan biaya kerja yang disebabkan oleh peristiwa yang dijamin polis.

Sementara klausul business interruption tradisional dipicu oleh bahaya fisik seperti kebakaran, gangguan bisnis cyber dipicu oleh pemadaman TI non-fisik yang disebabkan oleh serangan cyber (kegagalan keamanan) atau, secara kurang umum, pemadaman TI yang tidak disengaja (kegagalan sistem).

Hampir semua perlindungan gangguan bisnis cyber tunduk pada penerapan “masa tunggu” atau “time retention”, yaitu, jangka waktu yang dinyatakan dalam jam sejak awal penghentian TI yang harus berlalu sebelum perlindungan dimulai. Dari pada saat itu, dan tidak seperti pertanggungan asuransi cyber lainnya, tidak ada retensi finansial yang berlaku untuk kerugian yang ditanggung.

Akan tetapi, terkadang tertanggung dapat memilih untuk meminta jaminan business interruption tertulis atas apa yang dikenal sebagai franchise basis, yaitu, setelah time retention telah habis, jaminan tersebut kemudian akan berlaku secara retrospektif untuk semua kerugian yang terjadi sejak awal penghentian, meskipun kemudian tunduk pada retensi finansial.

Masuk akal atau tidaknya untuk meminta pertanggungan franchise basis akan bergantung pada apakah organisasi mengharapkan dampak keuangan yang sangat parah terhadap bisnis dalam beberapa jam pertama pemadaman. Dalam keadaan apa pun, perlindungan gangguan bisnis cyber tunduk pada periode ganti rugi maksimum yang dinyatakan, biasanya, dalam beberapa hari (misalnya 120 hari setelah penghentian dimulai atau 90 hari setelah penghentian berakhir).

Insiden siber baru-baru ini yang berdampak pada perusahaan besar, seperti serangan malware WannaCry dan NotPetya telah membuat kebutuhan akan perlindungan gangguan bisnis menjadi fokus yang tajam.

Serangan ransomware WannaCry di seluruh dunia yang terjadi pada Mei 2017, menargetkan komputer yang menjalankan sistem operasi Microsoft Windows dengan mengenkripsi data dan menuntut pembayaran uang tebusan dalam cryptocurrency Bitcoin.

Menurut laporan Kantor Audit Nasional Investigasi: serangan cyber WannaCry dan NHS, diperkirakan serangan itu mempengaruhi lebih dari 200.000 komputer di setidaknya 100 negara. Selanjutnya, pada bulan Juni 2017 virus ransomware NotPetya menghapus data dari sistem dalam skala internasional dengan mengenkripsi file dan menghancurkan master boot record, membuat mesin Windows yang terinfeksi tidak dapat digunakan. Virus tersebut mempengaruhi sistem komputer di Denmark, India dan AS, tetapi lebih dari setengah dari mereka yang menjadi korban berada di Ukraina.

Serangan itu melumpuhkan perusahaan multinasional termasuk Maersk, raksasa farmasi Merck, anak perusahaan FedEx Eropa TNT Express, perusahaan konstruksi Prancis Saint-Gobain, produsen makanan Mondelēz, dan produsen Reckitt Benckiser. NHS juga mengalami gangguan bisnis yang serius sebagai akibat dari serangan WannaCry dengan 80 dari 236 perwalian di seluruh Inggris terpengaruh karena mereka terinfeksi oleh ransomware atau mematikan perangkat atau sistem mereka sebagai tindakan pencegahan (lihat Kantor Audit Nasional: Investigasi : serangan cyber WannaCry dan NHS).

Cyber extortion cover

Klaim Cyber extortion insurance atau asuransi pemerasan cyber adalah salah satu yang paling umum dibuat berdasarkan polis asuransi cyber, terutama dalam beberapa tahun terakhir dalam konteks serangan ransomware. Sedangkan bagian business interruption di bawah polis siber akan mencakup hilangnya keuntungan dan peningkatan biaya kerja yang terkait dengan tidak tersedianya sistem komputer akibat serangan tersebut, bagian pemerasan siber dari kebijakan tersebut akan mencakup pemerasan siber spesialis, biaya penasihat, serta uang tebusan.

Di bawah hukum Inggris, tidak ada larangan menyeluruh untuk membayar uang tebusan, meskipun tentu saja harus berhati-hati mengenai sanksi atau ketika berpotensi berurusan dengan teroris.

Karena tebusan cenderung lebih rendah daripada retensi yang berlaku di bawah kebijakan cyber, nilai utama dalam sampul ini terletak pada akses darurat ke spesialis yang melihat serangan tersebut setiap hari dan yang paling tepat untuk memberi nasihat tentang siapa yang mungkin menjadi korban di balik serangan itu dan apakah uang tebusan harus dibayarkan atau ancaman itu dapat dihindari. Para penasihat itu juga terampil bernegosiasi dengan pemeras dan memfasilitasi pembayaran uang tebusan.

Privacy and security liability cover

Bagian kewajiban pihak ketiga di bawah polis asuransi cyber standar umumnya dipicu oleh:

• Klaim dugaan pelanggaran data pribadi (atau informasi rahasia perusahaan).
• Klaim yang dibuat oleh pihak ketiga yang menyatakan bahwa mereka telah menderita kerugian yang disebabkan oleh kurangnya keamanan siber tertanggung (misalnya, melalui transmisi malware yang tidak disengaja).

Tidak seperti jaminan “kegagalan sistem” dalam business interruption, third party cyber liability cover jarang dipicu oleh kesalahan atau kelalaian dalam mengoperasikan atau memelihara sistem komputer tanpa adanya pelanggaran data.

Banyak perusahaan asuransi cyber merasa bahwa eksposur tersebut lebih tepat untuk ditangani oleh perusahaan asuransi profesional indemnity. Seperti disebutkan di atas (Tujuan asuransi siber), klaim privacy policy telah menjadi jauh lebih umum sejak berlakunya Pasal 82 GDPR.

Pengacara penuntut semakin melihat tindakan tanggung jawab privasi sebagai sumber pendapatan yang menguntungkan. Keputusan Pengadilan Tinggi yang inovatif dalam Lloyd v Google LLC [2019] EWCA Civ 1599, dipertimbangkan dalam Pembaruan hukum, Tindakan perwakilan untuk klaim kompensasi DPA 1998 terhadap banding Google diizinkan (Pengadilan Banding) berpotensi memudahkan penggugat untuk berhasil mewakili sebuah kelas, sekarang bahkan tidak perlu lagi menimbulkan kesusahan di pihak individu anggota kelas itu.

Cakupan liability di bawah polis cyber akan selalu mencakup kerusakan, biaya penyelesaian dan pembelaan, tetapi perawatan kadang-kadang perlu dilakukan untuk memastikan bahwa wording US tidak mengecualikan biaya penggugat.

Seperti halnya dengan respons insiden oleh penyedia, perawatan harus selalu dilakukan untuk memastikan bahwa identitas dan tarif pengacara pembela disetujui dengan perusahaan asuransi sebelum biaya dikeluarkan. Pada penempatan yang lebih kecil, perusahaan asuransi cenderung tidak fleksibel dalam menggunakan perusahaan mana pun yang tidak berada di panel mereka sendiri.

Dalam praktiknya, pengacara pembela biasanya adalah mereka yang ditunjuk atau disetujui oleh perusahaan asuransi dan perusahaan asuransi akan (setelah retensi terkikis) langsung membayar setelah dikurangi PPN.

Data protection regulatory fines and costs cover

Polis asuransi cyber mencakup denda dan hukuman perlindungan data “sejauh dapat diasuransikan secara hukum”. Dalam praktiknya, ini mungkin berarti bahwa tertanggung tidak akan dapat memperoleh ganti rugi atas denda yang dikenakan karena kesalahan dari pihak tertanggung yang menyebabkan atau berkontribusi pada insiden cyber.

Hal ini karena di bawah hukum Inggris, doktrin ex turpi causa berlaku di mana seseorang tidak dapat mengejar upaya hukum jika itu muncul sehubungan dengan tindakan ilegalnya sendiri, karena bertentangan dengan hukum, kebijakan, dan kepentingan publik.

Doktrin ini tidak hanya berlaku untuk tindak pidana tetapi juga tindakan “quasi-criminal” atau “semu pidana” yang dapat mencakup “pelanggaran terhadap peraturan perundang-undangan yang dibuat untuk melindungi kepentingan umum yang menimbulkan sanksi perdata yang bersifat pidana”.

Dimungkinkan untuk memulihkan denda dan hukuman yang dijatuhkan jika tidak ada kesalahan dari pihak tertanggung. Namun, denda yang signifikan kemungkinan akan dikenakan hanya dalam keadaan di mana dianggap ada setidaknya beberapa tingkat kesalahan dari pihak perusahaan.

Pada saat penulisan ini, tidak ada kasus hukum di Inggris dan Wales mengenai insurabilitas denda perlindungan data itu sendiri, dan akan menarik untuk melihat berdasarkan kasus per kasus apakah jenis kesalahan yang mungkin terkait dengan kelalaian dalam melindungi data akan mengarah pada penerapan doktrin ex turpi causa.

Mengikuti seruan untuk kejelasan tentang denda dan hukuman yang dapat diasuransikan untuk pelanggaran privasi, Organisasi untuk Kerjasama Ekonomi dan Pembangunan (OECD) telah merekomendasikan bahwa pemerintah harus memberikan pernyataan yang jelas tentang denda, hukuman dan uang tebusan yang dapat diasuransikan di yurisdiksi mereka.

Setiap keputusan yang membatasi insurabilitas harus mempertimbangkan kemungkinan pengecualian untuk:

• Dalam hal denda, situasi di mana tertanggung tidak secara langsung melakukan kelalaian (negligent)
• Dalam hal pembayaran uang tebusan, di mana pembayaran uang tebusan diperlukan untuk menghindari kerugian yang berarti terhadap jiwa atau harta benda.
• Dalam pandangan OECD, pendekatan yang konsisten terhadap isu-isu lintas yurisdiksi di atas akan mengurangi risiko perusahaan asuransi menyediakan pertanggungan untuk kerugian yang tidak dapat diasuransikan secara lintas batas dan mendukung lapangan permainan yang setara bagi penyedia asuransi dan pemegang polis.

Bagaimanapun, asuransi cyber biasanya menanggung biaya hukum yang timbul dalam menanggapi penyelidikan atau tindakan yang dibawa oleh regulator perlindungan data, dan tidak ada keberatan hukum apa pun untuk mengasuransikan biaya tersebut.