Asia merupakan rumah bagi lebih dari setengah pengguna internet di dunia. Bisnis-bisnis memanfaatkan aktivitas online masyarakat Asia untuk membuat terobosan kepada pelanggan baru dan yang sudah ada, menciptakan produk baru, dan membuat proses menjadi lebih efisien. Manfaat dari peluang ini disertai dengan risiko-risiko unik yang tidak ditangani oleh polis asuransi gangguan bisnis (BI) tradisional. Namun, risiko-risiko tersebut dapat dikelola dengan perlindungan BI dari polis cyber mandiri.
Ketika kita beralih dari dunia fisik ke dunia digital, klaim BI cyber menghadirkan tantangan yang unik -beberapa sudah tidak asing lagi, beberapa berbeda, dan yang lainnya sangat berbeda dari klaim BI tradisional.
Yang sudah dikenal
Seperti halnya semua klaim asuransi, hubungan sebab akibat antara insiden dan kerugian harus ditetapkan. Hal ini dikenal dalam BI tradisional sebagai ketentuan kerusakan material. Kebijakan Cyber BI juga serupa, tetapi alih-alih kerusakan, pertanggungan dapat dipicu oleh kompromi aktual atau dugaan kompromi terhadap sistem TI pemegang polis. Agar kerugian dapat ditanggung, kerugian tersebut harus berasal dari insiden yang diasuransikan.
Jenis perlindungan yang disediakan oleh kebijakan BI tradisional dan cyber BI juga sangat mirip. Perlindungan dapat diberikan atas dasar pendapatan kotor atau laba kotor dan atas dasar peningkatan biaya kerja. Oleh karena itu, tujuannya adalah untuk menempatkan pemegang polis pada posisi tetapi untuk insiden cyber. Insiden ini dapat berupa kejahatan (misalnya, pembobolan data atau malware) atau sebaliknya (mungkin karena tindakan yang tidak disengaja atau kelalaian). Tantangannya, seperti biasa, terletak pada mengisolasi kerugian hanya pada kerugian yang disebabkan oleh insiden tersebut.
Yang agak berbeda
Beberapa perbedaan halus terlihat ketika mempertimbangkan kerugian di bawah kebijakan cyber. Periode ganti rugi untuk kebijakan BI tradisional biasanya dimulai ketika kerugian fisik terjadi. Namun, dengan kebijakan BI cyber, permulaannya sangat bergantung pada kata-kata kebijakan; bisa jadi waktu yang dinilai dari kompromi sistem, atau waktu laporan insiden keamanan dibuat. Hal ini tunduk pada berakhirnya masa tunggu yang ditentukan (yaitu waktu yang dapat dikurangkan), biasanya sekitar 12 jam. Meskipun ini terdengar seperti waktu yang singkat, ini bisa menjadi waktu yang sangat lama bagi pengecer online selama penjualan besar seperti pada Hari Jomblo.
Kebijakan Cyber BI umumnya memiliki periode ganti rugi maksimum sekitar tiga bulan, yang secara signifikan lebih pendek daripada 12 bulan yang biasa kita lihat dalam kebijakan BI tradisional. Hal ini mencerminkan sifat yang lebih pendek dari banyak insiden cyber, yang dapat diselesaikan lebih cepat melalui, misalnya, pemulihan cadangan. Namun, mengidentifikasi dan memperbaiki titik kegagalan dalam sistem TI yang kompleks dapat menjadi tantangan tersendiri, meskipun sudah ada bantuan dari tim tanggap insiden yang berdedikasi.
Yang sangat berbeda
Karena aset yang mendasarinya tidak berwujud, ada beberapa perbedaan utama yang muncul. Berikut ini dua yang patut dipertimbangkan:
- Serangan Ransomware
Meskipun bukan hal baru, serangan ransomware telah menjadi semakin menonjol dan kompleks, sehingga membuat bisnis lebih mungkin menghadapi gangguan. Data dapat dicuri atau aksesnya diblokir (atau kombinasinya), dengan pemeras mengancam akan merilis, menghancurkan, atau memblokir akses ke data rahasia kecuali jika ada pembayaran. Rata-rata uang tebusan pada tahun 2023 dilaporkan mencapai US$1,54 juta, hampir dua kali lipat dari angka tahun 2022.
Dalam kasus tertentu, membayar uang tebusan mungkin merupakan pilihan yang paling murah dan efektif. Beberapa polis bahkan memberikan ganti rugi kepada pemegang polis untuk pembayaran tersebut. Keputusan akhir mengenai apakah akan melakukan pembayaran ada di tangan perusahaan - tetapi, haruskah mereka membayar?
Meskipun mungkin tergoda untuk menyerah pada tuntutan dengan harapan data dipulihkan dengan cepat, bukti-bukti tidak mendukung hal ini. Sekitar satu dari empat orang yang membayar tidak pernah memulihkan data mereka, dan bahkan jika beberapa data dipulihkan, sebagian besar organisasi memerlukan waktu lebih dari seminggu untuk pulih dari serangan ransomware. Juga tidak ada jaminan akan berakhirnya atau penyelesaian serangan - sebuah poin yang digemakan oleh Inisiatif Kontra Ransomware dari 48 negara yang sangat tidak menganjurkan pembayaran semacam itu. Pembayaran juga dapat menjadi sumber dana untuk kegiatan kriminal dan memberikan insentif lebih lanjut untuk melakukan serangan di masa depan.
Perusahaan harus memutuskan apakah merupakan kepentingan terbaik mereka untuk menolak melakukan pembayaran tebusan. Jika perusahaan asuransi mendukung keputusan untuk tidak membayar, pertanggungan umumnya akan mencakup biaya pemulihan dan kehilangan pendapatan yang diakibatkan oleh serangan tersebut.
Karena serangan ransomware dapat menimbulkan kerugian finansial dan menyebabkan waktu henti yang signifikan, maka akan lebih masuk akal jika Anda secara proaktif mempersiapkan diri untuk menghadapi insiden semacam itu. Langkah-langkah ini dapat mencakup:
- Memastikan cadangan dan redundansi sudah tersedia dan terkini
- Melakukan audit TI secara berkala
- Mewajibkan kata sandi yang kuat dan autentikasi multi-faktor
- Mengadakan pelatihan dan pendidikan TI secara rutin
- Mengembangkan rencana tanggap darurat yang dapat dimobilisasi dengan cepat jika diperlukan
Rencana tersebut hanya akan efektif jika melibatkan upaya seluruh organisasi.
- Kerusakan reputasi
Setelah serangan siber, persepsi publik terhadap perusahaan yang menjadi target dapat terpengaruh - terutama ketika data pelanggan yang sensitif dikompromikan. Pelanggan dapat mempertanyakan kemampuan perusahaan untuk melindungi informasi pribadi mereka, yang menyebabkan hilangnya kepercayaan dan loyalitas. Pemadaman layanan juga dapat menyebabkan pengguna beralih ke pesaing yang mempromosikan keandalannya.
Banyak kebijakan cyber BI memberikan perlindungan untuk kerusakan reputasi, mengganti kerugian finansial yang timbul secara langsung dari insiden tersebut. Perlindungan untuk biaya perbaikan reputasi mungkin juga tersedia untuk menyewa konsultan humas untuk mengurangi dampak publisitas yang merugikan. Kesulitannya terletak pada mengukur dan mengaitkan hilangnya pelanggan saat ini dan calon pelanggan dengan insiden tersebut. Selain itu, karena banyak polis cyber memiliki periode ganti rugi maksimum yang pendek, kerusakan reputasi yang sedang berlangsung di luar periode ini tidak akan tercakup dalam polis.
Masih menjadi perdebatan apakah berita tentang insiden dunia maya sudah menjadi hal yang biasa sehingga reputasi bisnis benar-benar rusak. Orang cenderung melihat bisnis yang memiliki tingkat kepercayaan tinggi lebih rentan terhadap kehilangan reputasi. Sebuah bank online, misalnya, akan lebih rentan terhadap kerugian reputasi daripada pengecer online.
Seperti halnya ransomware, pendekatan proaktif untuk mengelola kerusakan reputasi mungkin lebih efektif dan efisien daripada sikap reaktif. Selain langkah-langkah yang tercantum di atas, landasannya adalah komunikasi pemangku kepentingan yang jelas dan efektif - kunci untuk membangun kembali kepercayaan dan mempertahankan reputasi.
Kesimpulan
Klaim BI siber memiliki beberapa karakteristik yang sama dengan klaim BI tradisional, namun ranah digital menimbulkan beberapa pertanyaan unik. Ketika bisnis dihadapkan pada kerugian BI siber, sangat penting untuk melibatkan mitra tepercaya yang memiliki keahlian dalam nuansa klaim BI siber untuk membantu mereka memitigasi dampaknya yang luas.
> Pelajari lebih lanjut - baca tentang Sedgwick jasa akuntansi forensik dan kemampuan gangguan bisnis di Asia atau email [email protected] untuk informasi lebih lanjut
Tags: BI, Gangguan bisnis, Operator, Klaim, cyber, asuransi cyber, Risiko cyber, Properti, Kerugian properti, Mengembalikan properti