Teknologi, media sosial, dan transaksi melalui Internet memainkan peran penting dalam cara sebagian besar organisasi menjalankan bisnis dan menjangkau calon pelanggan saat ini. Media itu juga berfungsi sebagai gerbang menuju serangan siber. Entah dilakukan oleh peretas (hacker), penjahat, orang dalam atau bahkan negara, serangan cyber mungkin terjadi dan dapat menyebabkan kerugian sedang hingga berat bagi organisasi besar dan kecil. Sebagai bagian dari rencana manajemen risiko, organisasi secara rutin harus memutuskan risiko mana yang harus dihindari, diterima, dikendalikan atau ditransfer. Transfer risiko adalah tempat Cyber Insurance atau Asuransi Cyber memainkan perannya.
Apa itu Cyber Insurance?
Suatu Polis Cyber Insurance juga disebut sebagai Cyber Risk Insurance atau Cyber Liability Insurance Coverage (CLIC), dirancang untuk membantu organisasi mengurangi risiko-risiko dengan mengimbangi biaya yang terlibat dengan pemulihan setelah pelanggaran keamanan terkait-cyber atau peristiwa serupa. Dengan berakar pada Asuransi Errors and Omission (E&O Insurance), asuransi cyber mulai meningkat pada tahun 2005, dengan total nilai premi diperkirakan mencapai $ 7,5 miliar pada tahun 2020. Menurut PwC, sekitar sepertiga dari perusahaan AS saat ini membeli beberapa jenis Cyber Insurance.
Fakta menunjukkan bahwa organisasi melihat kebutuhan terhadap Cyber Insurance, tetapi apa yang dijamin? Cyber Insurance biasanya mencakup biaya yang terkait dengan pihak pertama serta klaim oleh pihak ketiga. Meskipun tidak ada standar untuk menjamin polis ini, berikut adalah pengeluaran umum yang dapat diganti:
- Investigasi: Investigasi forensik diperlukan untuk menentukan apa yang terjadi, bagaimana memperbaiki kerusakan dan bagaimana mencegah jenis pelanggaran yang sama terjadi di masa depan. Investigasi dapat melibatkan layanan dari perusahaan keamanan pihak ketiga, serta koordinasi dengan kepolisian.
- Kerugian bisnis: Polis Cyber Insurance mungkin mencakup barang-barang serupa yang dicakup oleh polis Error & Omissions (kesalahan karena kelalaian dan alasan lain), serta kerugian moneter yang dialami oleh downtime jaringan, gangguan bisnis, pemulihan kehilangan data, dan biaya yang terlibat dalam mengelola krisis, yang mungkin melibatkan biaya untuk memperbaiki kerusakan reputasi.
- Privasi dan pemberitahuan: Ini termasuk pemberitahuan pelanggaran data yang diperlukan untuk pelanggan dan pihak-pihak lain yang terkena dampak, yang diamanatkan oleh hukum di banyak yurisdiksi, dan pemantauan kredit untuk pelanggan yang informasinya atau mungkin telah dilanggar.
- Tuntutan hukum dan pemerasan: Ini termasuk biaya hukum terkait dengan pelepasan informasi rahasia dan kekayaan intelektual, penyelesaian hukum dan denda peraturan. Ini mungkin juga termasuk biaya pemerasan dunia maya, seperti dari ransomware.
Apa yang harus dicari oleh pembeli Cyber Insurance
Di Indonesia sangat sedikit perusahaan asuransi yang menawarkan polis asuransi cyber. Pengamat industri asuransi percaya bahwa klien akan segera mengharapkan Cyber Insurance untuk menjadi bagian dari lini produk setiap perusahaan asuransi. Namun, seperti halnya asuransi bisnis, jaminan Cyber Insurance bervariasi berdasarkan asuransi dan polis.
Ketika membandingkan polis di antara dua perusahaan asuransi, cari tahu apakah asuransi tersebut mencakup semua item yang tercantum di bagian sebelumnya dan tanyakan tentang keadaan dan batasan khusus berikut:
- Apakah perusahaan asuransi menawarkan satu atau lebih jenis polis asuransi cyber atau apakah pertanggungan hanyalah perpanjangan dari polis yang ada? Dalam kebanyakan kasus, polis yang berdiri sendiri adalah yang terbaik dan lebih komprehensif. Juga cari tahu apakah polis tersebut dapat disesuaikan untuk suatu organisasi.
- Apa sajakah deductible atau excess yang dikenakan? Pastikan untuk membandingkan deductible dengan ketat di antara perusahaan asuransi, sama seperti yang Anda lakukan dengan asuransi kesehatan, kendaraan dan lain-lain.
- Bagaimana luas jaminan dan limit berlaku untuk pihak pertama dan ketiga? Misalnya, apakah polis tersebut mencakup penyedia layanan pihak ketiga? Pada catatan itu, cari tahu apakah penyedia layanan Anda memiliki asuransi siber dan bagaimana pengaruhnya terhadap perjanjian Anda.
- Apakah polis tersebut mencakup serangan apa pun yang menyebabkan suatu organisasi menjadi korban atau hanya serangan yang ditargetkan terhadap organisasi itu?
- Apakah polis tersebut mencakup tindakan tidak berbahaya yang dilakukan oleh karyawan? Ini adalah bagian dari jaminan E&O yang berlaku untuk Cyber Insurance juga.
- Apakah polis tersebut mencakup rekayasa sosial dan juga serangan jaringan? Rekayasa sosial berperan dalam semua jenis serangan, termasuk phishing, spear phising, dan ancaman persisten tingkat lanjut (Adbanced Persistent Threats - APT).
- Karena APT berlangsung dari waktu ke waktu, yang bisa berbulan-bulan hingga bertahun-tahun, apakah polis itu memasukkan jangka waktu yang berlaku?
Tips: Banyak perusahaan asuransi juga menawarkan perbandingan jaminan-jaminan pertanggungan untuk dibandingkan dengan kompetitor mereka. Gunakan 'check list' tersebut untuk ditambahkan ke daftar Anda sebelum memulai penelitian Anda dengan sungguh-sungguh.Apa yang dicari perusahaan asuransi ketika memutuskan coverage?
Perusahaan asuransi ingin melihat bahwa suatu organisasi telah menilai kerentanannya terhadap serangan siber (menciptakan profil risiko siber) dan mengikuti praktik terbaik dengan memungkinkan pertahanan dan kontrol untuk melindungi terhadap serangan sebanyak mungkin. Pendidikan karyawan dalam bentuk kesadaran keamanan, terutama untuk phishing dan rekayasa sosial, harus menjadi bagian dari rencana perlindungan. Dorongan untuk praktik terbaik dapat mencakup organisasi yang telah melakukan assessment ancaman (bahkan jika tidak diharuskan oleh peraturan). Merupakan suatu tindakan yang bijaksana untuk menggunakan layanan intelijen ancaman untuk informasi terbaru tentang serangan zero-day dan tertarget, dan untuk melibatkan layanan peretas etis untuk mengungkap kelemahan keamanan.
Catatan: Jasa intelijen dan layanan peretasan sulit ditemukan atau secara finansial tidak mungkin bagi banyak bisnis kecil. Tetapi berinvestasi dalam beberapa jenis alat penilaian kerentanan atau menggunakan layanan penguji penetrasi untuk menyelidiki pertahanan jaringan eksternal satu kali dapat sangat membantu meningkatkan keamanan saat menegosiasikan asuransi cyber.
Ketika jaminan Cyber Insurance menjadi lebih terstandarisasi, entitas asuransi dapat meminta audit atas proses dan tata kelola organisasi sebagai syarat perlindungan. Dan jangan heran jika perusahaan asuransi setuju untuk memberikan pertanggungan tetapi pada tingkat di bawah (kadang-kadang jauh di bawah) apa yang Anda rasa Anda butuhkan. Jika demikian, terus mewawancarai perusahaan asuransi untuk menemukan kesepakatan terbaik.
Membuat kasus bisnis untuk asuransi siber
Setiap organisasi yang menyimpan dan mengelola informasi pelanggan atau mengumpulkan informasi pembayaran online, atau menggunakan cloud, harus mempertimbangkan untuk menambahkan Cyber Insurance ke dalam anggarannya. Juga pertimbangkan penambahan perangkat yang sekarang terhubung ke jaringan bisnis - konsekuensinya, ada lebih banyak peluang bagi orang jahat untuk mengakses aset organisasi.
Serangan terhadap semua bisnis meningkat. Bisnis kecil cenderung berpikir bahwa mereka aman terselip dari paparan, tetapi Symantec menemukan bahwa lebih dari 30 persen serangan phishing pada 2015 diluncurkan terhadap organisasi dengan kurang dari 250 karyawan. Laporan Ancaman Keamanan Internet Symantec 2016 mengindikasikan bahwa 43 persen dari semua serangan pada 2015 ditargetkan pada bisnis kecil.
Dalam skala yang lebih besar, Pusat Studi Strategis dan Internasional pada tahun 2014 memperkirakan biaya tahunan untuk ekonomi global dari kejahatan dunia maya adalah antara $ 375 miliar dan $ 575 miliar. Meskipun sumber berbeda, biaya rata-rata insiden pelanggaran data untuk perusahaan besar adalah lebih dari $ 3 juta. Setiap organisasi harus memutuskan apakah mereka dapat mengambil risiko sejumlah uang itu, atau jika asuransi cyber diperlukan untuk membiayai biaya untuk apa yang mungkin terjadi.
Ingat, asuransi dunia maya mencakup kerugian pihak pertama dan klaim pihak ketiga, tetapi asuransi General Liability hanya mencakup kerusakan properti. Sony terperangkap dalam situasi itu setelah pelanggaran peretas PlayStation 2011, dengan biaya yang mencapai $ 171 juta yang bisa diimbangi oleh Cyber Insurance seandainya perusahaan memastikan bahwa itu sudah ditanggung sebelumnya. Selama kasus pengadilan, Perusahaan Asuransi Amerika Zurich mengatakan bahwa polis Sony hanya mencakup kerusakan properti fisik, bukan kerusakan dunia maya.
Mengenai biaya, cakupan asuransi cyber dan premi didasarkan pada industri organisasi, jenis layanan yang diberikan, risiko dan paparan data, postur keamanan, kebijakan dan pendapatan kotor tahunan. Sebagai contoh saja, premi dapat berkisar dari $ 800 hingga $ 1.200 untuk konsultan, pembayar pajak dan organisasi kecil dengan pendapatan $ 100.000 hingga $ 500.000, hingga $ 10.000 hingga lebih dari $ 100.000 untuk mereka yang memiliki pendapatan dalam jutaan.
Mulai Langkah Pertama
Langkah pertama yang baik adalah membuat profil risiko dunia maya untuk perusahaan Anda, dan membuat daftar pengeluaran yang ingin Anda tanggung jika terjadi insiden. Kemudian, Anda dapat menentukan taksiran biaya pihak ketiga. Banyak perusahaan asuransi di luar negeri (di Indonesia sepertinya belum ada) yang menyediakan kalkulator asuransi di situs web mereka untuk membantu organisasi membuat daftar coverage dan memperkirakan biaya. Kemudian, Anda dapat mulai meneliti penyedia asuransi cyber.
Disarikan dari CIO
Gambar kredit: StartupNation.com
Luar biasa ulasannya.
ReplyDeleteSemoga perushaan asuransi siber di Indonesia semakin berkembang.