Memahami Cyber Insurance: Mengapa Premi Terus Naik?

Cyber Insurance atau Cyber Risk Insurance atau Cyber Liability Insurance Coverage (CLIC) adalah polis di mana perusahaan asuransi berusaha untuk mengurangi eksposur risiko dengan mengimbangi biaya yang terkait dengan kerusakan dan pemulihan setelah pelanggaran keamanan terkait siber atau peristiwa yang serupa.

Apa yang dijamin dalam Cyber Insurance?

Cyber Insurance menjadi lebih beragam seiring dengan semakin matangnya pasar. Luas jaminan polis satu dengan yang lain pun bisa berbeda, tergantung pada beberapa faktor. Meskipun demikian, Lori Bailey, chief insurance officer pada suatu penyedia asuransi komersial bernama Corvus, mengatakan bahwa ada beberapa kesamaan umum di sebagian besar polis asuransi cyber, antara lain:

• Kerugian yang diakibatkan oleh business interruption (kehilangan pendapatan karena sistem sedang down atau terenkripsi)
• Contingent business interruption (kehilangan pendapatan karena sistem tidak berfungsi karena kegagalan pihak ketiga, seperti vendor TI)
• Digital asset destruction
• Biaya pengambilan data dan pemulihan sistem
• Kegagalan sistem
• Pemerasan cyber/ransomware
• Biaya respon atas pelanggaran dan perbaikan
• Social engineering and cybercrime, serta network security and privacy liability

Richard Hodson, direktur dan pialang asuransi di UKGlobal Broking Group, menambahkan bahwa polis cyber insurance juga biasanya mencakup biaya komunikasi dan public relation setelah insiden. “Kami sekarang melihat semakin banyak polis yang menawarkan dana pasca pelanggaran juga yang mencakup pelatihan kepada staf untuk mencegah kejadian berulang dan diagnostik sistem lengkap.”

Tidak semua polis dibuat sama. Luas jaminan yang akan dimasukkan ke dalam suatu polis cyber insurance pun dapat berupa jaminan yang komprehensif dan berdiri sendiri, namun tidak harus dalam suatu paket polis. Terlebih lagi, tidak semua bentuk risiko cyber ditanggung oleh asuransi.

“Misalnya, kerusakan finansial yang disebabkan oleh perang dan/atau terorisme atau kegagalan infrastruktur internal tidak akan ditanggung, begitu pula biaya reputasi yang dapat ditimbulkan setelah serangan. Demikian juga, virus yang tidak dirancang atau dibuat secara khusus untuk menargetkan perusahaan yang terpengaruh mungkin juga dikecualikan,” kata Hodson.

Ransomware dan perubahan dalam Cyber Insurance

Pasar Cyber Insurance sedang mengalami perubahan karena meningkatnya tren keamanan siber. Organisasi dari segala bentuk dan ukuran telah berinvestasi dalam polis Cyber Insurance untuk menambah perlindungan. Sementara itu, ancaman dan risiko siber yang terus berkembang terus mengganggu organisasi dan menguji ketahanan mereka. Akibatnya, penyedia Cyber Insurance menjadi lebih berpengalaman dan responsif terhadap keamanan siber secara spesifik.

Ransomware adalah hal yang mendorong tren serta memengaruhi permintaan dan biaya pertanggungan, syarat dan ketentuan polis, persyaratan, dan batasan. Pelaku ransomware menggunakan metode yang lebih licik dan lebih canggih untuk memeras (dan multi-extort) bisnis dengan potensi kerugian uang dalam jumlah besar.

Peningkatan ransomware telah menyebabkan lebih banyak organisasi mempertimbangkan investasi dalam asuransi cyber karena banyak yang melihat biaya ransomware menyebabkan gangguan keuangan yang besar di berbagai bisnis. Selain dari biaya langsung uang tebusan, pemulihan dari serangan ini mahal. Pada tahun 2021, biaya respons pelanggaran meningkat dari 29% menjadi 52% dari keseluruhan biaya klaim.

Karena permintaan telah meningkat, supply atas Cyber Insurance berjuang untuk mengimbangi. Penanggung menaikkan tarif dan standar untuk risiko yang mereka mau cover. Dalam hal cakupan itu sendiri, beberapa perusahaan asuransi telah menarik diri dari berapa pertanggungan atas serangan ransomware atau mengurangi total limit pertanggungan yang mereka tawarkan untuk bisnis dengan ukuran tertentu.

Bahkan jika perusahaan asuransi tidak secara signifikan mengubah coverage, mereka mungkin akan meletakkan beberapa subjectivity pada polis mereka yang memerlukan sejumlah kepatuhan dengan langkah-langkah keamanan utama tertentu sebagai syarat dari polis tersebut.

Sebuah penelitian yang menyoroti penurunan serangan ransomware dan klaim pembayaran pada organisasi yang memprioritaskan pencegahan dan pemulihan atas risiko cyber. Hal ini menunjukkan bahwa perusahaan asuransi siber mungkin cenderung lebih menyukai bisnis yang mencari proteksi. Namun, perusahaan asuransi global Beazley baru-baru ini mengeluarkan data yang menunjukkan bahwa harga untuk asuransi siber terus meningkat meskipun klaim cenderung menurun, sementara tarif premi untuk renewal meningkat 23% year-on-year pada kuartal ketiga tahun 2021.

“Terlebih lagi, pandemi virus corona meningkatkan kerentanan banyak organisasi terhadap risiko cyber, karena ribuan sistem pindah ke platform berbasis cloud yang memungkinkan untuk bekerja secara remote,” kata CISO, Andrew Rose, residen Proofpoint. “Selama waktu ini, perusahaan asuransi siber mendesak bisnis untuk mengevaluasi kembali polis asuransi mereka, karena evolusi perangkat dan praktik kerja mereka, dan ancaman yang berlaku bagi mereka, mungkin tidak terwakili dalam pertanggungan yang ada atau meninggalkan celah yang tidak terduga dan kekurangan yang bisa menjadi bencana.”

Bagi pengacara teknologi dan compliance, Jonathan Armstrong, pendorong perubahan yang paling signifikan dalam Cyber Insurance adalah permintaan akan perlindungan finansial dari litigasi terhadap organisasi setelah insiden siber. “Kami telah melihat bahwa serangan atau pelanggaran dapat diikuti pada hari berikutnya atau lebih oleh pengacara yang mengklaim bahwa mereka sedang menyelidiki litigasi terhadap perusahaan yang terdampak.”

Masalah ini menjadi sorotan baru-baru ini dalam kasus Lloyd v Google di Inggris. Richard Lloyd menuduh bahwa Google mengumpulkan data dari sekitar 4 juta pengguna iPhone antara 2011 dan 2012 mengenai kebiasaan browsing mereka tanpa sepengetahuan atau persetujuan mereka untuk tujuan komersial, seperti iklan bertarget. Richard Lloyd bertindak sebagai perwakilan atas nama semua individu yang terkena dampak terhadap Google untuk kompensasi, yang ditentang Google.

Mahkamah Agung Inggris berusaha untuk menetapkan apakah klaim untuk pelanggaran undang-undang perlindungan data tersebut dapat berhasil tanpa kerusakan pribadi yang khas dan jika penggugat dapat mengajukan tindakan kelompok atas nama individu yang tidak dikenal, termasuk orang-orang yang bahkan mungkin tidak menyadari bahwa mereka terpengaruh.

Pada 10 November 2021, Mahkamah Agung Inggris memutuskan mendukung Google dalam kedua hal tersebut, yang berarti tindakan terhadap mereka tidak dapat dilanjutkan dalam bentuknya saat ini. Ini akan melegakan bagi pengontrol data Inggris yang khawatir bahwa keputusan yang mendukung Lloyd akan membuka keran untuk klaim yang mahal dan memakan waktu dengan sedikit atau tanpa manfaat.

“Singkatnya, penilaian ini merupakan pemulihan status quo dalam kaitannya dengan klaim data,” kata Will Richmond-Coggan, litigator perlindungan data dan direktur di firma hukum Freeths.

“Saya berharap bahwa kita akan melihat lebih sedikit klaim yang dikejar, dan klaim-klaim itu akan menjadi penyebab kerusakan yang dapat dibuktikan, jadi kita harus berharap bahwa klaim-klaim itu akan lebih mudah diukur dan diselesaikan pada tahap lebih awal. Bahkan klaim bervolume tinggi yang tidak layak dalam beberapa tahun terakhir telah membutuhkan banyak waktu dan biaya yang harus dikeluarkan untuk mencegahnya, sehingga pengecualian klaim tersebut tentu akan meningkatkan profil risiko pelanggaran berdampak rendah, dan ini akan mempengaruhi harga risiko di pasar asuransi siber,” tambahnya.

Pengecualian Cyber Insurance untuk Serangan Siber yang Didukung Negara

Pada bulan Agustus 2022, pasar asuransi Lloyd’s of London mengumumkan bahwa mereka akan memperkenalkan pengecualian asuransi cyber untuk cakupan serangan “bencana” yang didukung negara mulai tahun 2023. Dalam buletin pasar yang diterbitkan pada 16 Agustus 2022, Lloyd’s menyatakan bahwa sementara itu “tetap sangat mendukung penulisan sampul serangan siber” ia mengakui bahwa “bisnis terkait siber terus menjadi risiko yang berkembang.” Oleh karena itu, perusahaan akan mewajibkan semua grup asuransinya untuk menerapkan klausul yang sesuai, tidak termasuk tanggung jawab atas kerugian yang timbul dari serangan siber yang didukung negara sesuai dengan beberapa persyaratan.

Dalam sebuah buletin , Lloyd’s of London menulis, “Saat mengunderwrite risiko serangan siber, underwriter perlu memperhitungkan kemungkinan bahwa serangan yang didukung negara dapat terjadi di luar perang yang melibatkan kekuatan fisik. Kerusakan yang disebabkan oleh serangan ini dan kemampuannya untuk menyebar menciptakan risiko sistemik yang serupa dengan perusahaan asuransi.” Lloyd’s bertujuan untuk memastikan bahwa semua sindikat yang bermain di kelas ini melakukannya pada standar yang sesuai, dengan kata-kata yang kuat, tambahnya. “Kami menganggap kompleksitas yang dapat timbul dari paparan serangan siber dalam konteks perang atau non-perang, serangan yang didukung negara berarti bahwa underwriter harus memastikan bahwa wording ditinjau secara hukum untuk memastikan polis asuransi cukup kuat.”

Ke depan, semua polis serangan siber mandiri yang termasuk dalam kode risiko “CY” dan “CZ” harus menyertakan klausul yang sesuai, tidak termasuk tanggung jawab atas kerugian yang timbul dari serangan siber yang didukung negara sesuai dengan persyaratan baru, kata Lloyd. Persyaratan tersebut akan berlaku mulai tanggal 31 Maret 2023, pada saat dimulainya atau pada saat pembaruan setiap polis, tanpa persyaratan untuk mendukung polis yang sudah ada, yang berlaku, kecuali jika tanggal kedaluwarsanya lebih dari 12 bulan sejak tanggal 31 Maret 2023.

Berbicara kepada CSO pada bulan Agustus, Jonathan Armstrong, pengacara dan mitra di perusahaan compliance Cordery, mengatakan bahwa masalah terbesar yang akan dihadapi organisasi dan CISO sehubungan dengan pengecualian yang diajukan oleh Lloyd’s akan seputar atribusi serangan yang akurat. “Sementara dengan bantuan spesialis Anda sering dapat mengatakan bahwa ada indikator keterlibatan negara-bangsa, kami tahu sulit untuk memastikannya. Kesulitan-kesulitan inilah yang cenderung mengarah ke litigasi, karena perusahaan asuransi mungkin berpikir ada keterlibatan negara-bangsa, tetapi tertanggung mungkin berpikir ini tidak terjadi, ”katanya.

“Menerapkan prosedur yang tepat akan menjadi kunci, dan untuk mendapatkan atribusi yang benar, sebuah organisasi akan membutuhkan pemantauan yang tepat dan efektif pada sistemnya untuk membantu dalam penyelidikan”, tambah Armstrong.

Cara Meninjau Pengecualian Cyber Insurance untuk Serangan yang Didukung Negara

Pada bulan September 2022, Cisco Talos mengeluarkan panduan tentang apa yang perlu dipertimbangkan oleh CISO saat meninjau klausul pengecualian tersebut, dengan fokus khusus pada strategi untuk mitigasi serangan. Cisco menetapkan empat faktor utama ini:

Langkah 1: Kumpulkan bukti forensik: CISO harus memastikan bahwa mereka dapat mengumpulkan bukti forensik dari serangan untuk mengidentifikasi sebanyak mungkin informasi mengenai bagaimana serangan dilakukan, dan infrastruktur yang digunakan oleh penyerang. Kemampuan forensik ini, bagaimana bukti akan dikumpulkan dan disimpan, harus disepakati dengan perusahaan asuransi.

Langkah 2: Tentukan bagaimana atribusi akan dibuat: Atribusi dari serangan tertentu harus dibuat dengan membandingkan bukti yang dikumpulkan dari serangan dengan serangan sebelumnya. CISO harus menyetujui proses di mana artefak forensik digunakan untuk mengaitkan serangan dan tingkat kepastian yang diperlukan untuk menyatakan serangan telah dilakukan oleh kelompok tertentu.

Langkah 3: Pertimbangkan volatilitas atribusi: Pengumpulan bukti dan intelijen adalah proses yang berkelanjutan. Informasi yang sebelumnya dianggap sebagai fakta dapat kemudian diidentifikasi sebagai informasi yang salah atau sengaja dibuat-buat. Bukti baru dapat diidentifikasi berbulan-bulan atau bertahun-tahun setelah serangan yang mengubah perkiraan atribusi serangan sebelumnya. CISO harus menentukan periode setelah atribusi serangan (jika dibuat) tidak akan diubah bahkan jika bukti selanjutnya ditemukan.

Langkah 4: Tentukan sifat dukungan negara: CISO harus menyetujui apa yang dimaksud dengan dukungan negara. Idealnya, CISO harus setuju dengan perusahaan asuransi mereka tentang kumpulan kelompok aktor ancaman (dan sinonimnya) yang dianggap didukung oleh negara. Keterlibatan negara dalam serangan siber adalah spektrum aktivitas. Garis keputusan di mana serangan dapat dirujuk ke negara yang didukung adalah keputusan yang baik yang membutuhkan pertimbangan dan persetujuan.

Bagaimana menilai kebutuhan Cyber Insurance Anda

Setelah perusahaan memahami keadaan pasar asuransi siber saat ini dan cakupan pertanggungan, maka perusahaan dapat mengeksplorasi apakah suatu polis akan bermanfaat. “Asuransi sangat penting untuk banyak aspek kehidupan perusahaan, dan keamanan siber dengan cepat menjadi salah satunya,” kata Rose. “Setiap perusahaan harus menghitung sendiri, untuk menyeimbangkan biaya asuransi, terhadap biaya dari suatu serangan cyber, dan biaya peluang dari uang yang dihabiskan untuk premi tahunan. Identifikasi apa yang paling perlu dilindungi. Menerapkan batasan pada pertanggungan dapat mengurangi risiko dan membantu menyeimbangkan kasus bisnis untuk pertanggungan yang semakin penting ini.”

Memang, organisasi perlu mempertimbangkan berapa kerugian yang akan mereka alami jika sistem mereka benar-benar dimatikan dari serangan, kata Bailey. “Ditambah lagi, biaya rata-rata tebusan hingga Q3 tahun 2021 tetap stabil di sekitar $142.000, dan angka itu tumbuh pesat jika Anda memasukkan biaya bantuan pihak ketiga untuk pemulihan. Organisasi harus tahu apakah mereka dapat membayar ini secara realistis dan bagaimana hal itu dapat memengaruhi stabilitas bisnis mereka.”

Asuransi siber dapat membantu memberikan lebih banyak ketenangan pikiran bagi organisasi karena mengetahui bahwa ada lapisan keamanan ekstra, dan bahwa mereka memantau risiko secara teratur, sesuatu yang menjadi sangat penting bagi bisnis kecil, katanya. “Sementara beberapa tahun yang lalu kami mungkin tidak merasa perlu bagi usaha kecil untuk memiliki kebijakan siber mandiri yang komprehensif, penyerang semakin menargetkan bisnis kecil ini, yang cenderung memiliki pertahanan yang lebih lemah.”

Penting juga bagi organisasi untuk melihat polis asuransi siber sebagai peluang kemitraan untuk meningkatkan strategi risiko keamanan secara keseluruhan. “Ini bisa lebih dari sekadar transfer risiko,” kata Bailey.

“Perusahaan asuransi bisa berada di garis depan gelombang baru ‘standar dasar’ yang bisa jauh lebih dinamis dan responsif terhadap lanskap ancaman daripada standar internasional atau regulator industri mana pun,” tambah Rose.

Apa yang diharapkan perusahaan asuransi cyber dari pelanggan?

Jika sebuah organisasi mengajukan polis asuransi cyber, beberapa faktor kunci dapat menjadi bagian integral dari kesuksesan. Ini karena kemampuan untuk menunjukkan bahwa bisnis dapat memenuhi persyaratan kontrol keamanan yang sekarang dicari oleh perusahaan asuransi ketika mempertimbangkan pemegang polis potensial untuk memastikan status risiko mereka. Penanggung biasanya menilai kontrol keamanan dengan meminta calon tertanggung untuk mengisi kuesioner secara rinci.

Kebersihan cyber yang baik adalah kuncinya di sini, kata Bailey. “Ini termasuk strategi pencadangan yang kuat, multi-factor authentication di semua titik akses penting, dan manajemen patch yang kuat. Kami juga terus melihat kekuatan teknologi pemindaian dan secara proaktif menopang kerentanan.” Organisasi yang lebih besar dan lebih kompleks kemungkinan akan memerlukan analisis yang lebih berat dari underwriter karena kerumitan keamanan jaringan dan desentralisasi infrastruktur mereka, tambahnya.

Richard setuju, dengan mengatakan bahwa organisasi Anda memiliki program kesadaran pelatihan staf, tidak pernah mentransfer uang setelah menerima email/panggilan telepon sampai verifikasi penuh telah dilakukan dan telah membayar untuk perlindungan anti-virus dan titik akhir juga penting. Untuk panduan dan dukungan, ia menyarankan bisnis untuk berbicara dengan broker asuransi yang berpengalaman di cyber risk dan dapat menjelaskan secara sederhana apa yang Anda butuhkan dan apa yang harus Anda lakukan. “Sudah terlalu banyak jargon dalam asuransi, tidak perlu dibuat lebih rumit dengan menambahkan istilah teknologi yang membingungkan.”

Note: Michael Hill adalah editor CSO Online Inggris. Dia telah menghabiskan lebih dari lima tahun terakhir untuk meliput berbagai aspek industri keamanan siber, dengan minat khusus pada peran yang terus berkembang dari elemen keamanan informasi yang terkait dengan manusia.