skip to main content
Cyber

Cara yang lebih baik untuk mendefinisikan dan memastikan peristiwa siber sistemik

cyber

Risiko sistematik adalah insiden siber yang berdampak pada banyak entitas dalam satu tindakan

 

Potensi serangan bencana siber yang menyebabkan kerusakan luas dengan biaya yang signifikan dibahas secara luas tetapi belum sepenuhnya dipahami.

Akibatnya, sebagian besar perusahaan terus meningkatkan ketahanan siber mereka, dan industri asuransi juga telah mengembangkan solusi untuk mengelola risiko ini.

Terlepas dari upaya ini, ketergantungan organisasi dan konsumen yang terus meningkat akan teknologi, di tambah dengan interkonektivitas teknologi dan mitra telah menciptakan lingkungan di mana risiko siber berkembang secara eksponensial. Seperti pandemi, peristiwa cyber-CAT tidak memiliki batasan geografis atau batasan temporal.

Seluruh pemangku kepentingan – termasuk organisasi yang berisiko, pemerintah, perusahaan asuransi, pialang asuransi dan industri keamanan siber – perlu mengembangkan dan menerapkan solusi yang akan menjaga stabilitas ekonomi secara keseluruhan dan ketahanan masyarakat dan tetap memberikan organisasi dan individu perlindungan asuransi yang mereka butuhkan.

Dalam industri asuransi, salah satu hambatan untuk keberlanjutan jangka panjang adalah kurangnya definisi yang konsisten dan jelas tentang peristiwa siber sistemik. Bagaimana cara agar manajer risiko, pialang dan perusahaan asuransi dapat mencapai pemahaman umum tentang syarat dan ketentuan kebijakan sehingga klien mengetahui cakupan apa yang mereka miliki, dan perusahaan asuransi dapat memenuhi kewajiban risiko klien yang mereka tanggung?

Apa itu risiko sistemik? Bagaimana seharusnya itu didefinisikan?

Pasar asuransi siber tidak memiliki definisi yang jelas tentang apa yang merupakan "risiko sistemik." Di Chubb, kami mendefinisikan peristiwa "sistemik" dalam konteks siber sebagai peristiwa yang dapat menimbulkan kerugian luas bagi banyak pelanggan karena elemen atau kesamaan bersama – seringkali merupakan satu titik kegagalan yang dieksploitasi. Sederhananya, ini adalah insiden siber yang berdampak pada banyak entitas dalam satu tindakan. Salah satu contoh peristiwa sistemik adalah eksploitasi kerentanan dalam perangkat lunak pemindahan data yang digunakan oleh ribuan bisnis untuk menyebarkan malware, mengeksfiltrasi data, atau menyebabkan gangguan dalam bisnis. Dengan begitu banyak klien yang terkena kerugian oleh eksploitasi tunggal itu, kerugian agregat bisa menjadi bencana besar.

 

Bagaimana pasar asuransi siber menanggapi frekuensi serangan ransomware individu yang terus meningkat melawan peristiwa sistemik?

Secara umum, pasar telah mengikuti peralihan dalam lingkungan risiko untuk mengimbangi perubahan biaya kerugian karena tingkat keparahan dan frekuensi peristiwa ransomware. Selama ini, respons terhadap risiko sistemik kurang eksplisit.

 

Bagaimana Anda dan tim Anda berpikir tentang berkembangnya paparan terhadap risiko sistemik?

Di Chubb, kami menyadari tiga masalah sehubungan dengan bagaimana industri menangani risiko siber sistemik: 

  1. kurangnya kejelasan pertanggungan bagi tertanggung
  2. harga risiko yang tidak memadai
  3. fokus yang tidak memadai pada pelacakan dan pemantauan paparan

Untuk menjawab masalah yang pertama, kami memiliki definisi yang jelas tentang apa yang merupakan peristiwa siber yang tersebar luas. Ini menjelaskan bahwa peristiwa sistemik adalah peristiwa yang terjadi melalui satu tindakan dan memperkuat dampak potensial yang luas dari satu tindakan yang unik untuk risiko siber. Ketika kata-kata di polis  jelas dan pasti, litigasi yang mahal dapat dikurangi dan perusahaan asuransi dapat menawarkan lebih banyak kapasitas dan konsistensi.

Kedua, kami merancang kebijakan kami sehingga tertanggung dapat melihat harga untuk pertanggungan sistemik secara transparan dan membuat keputusan aktif tentang batasan dan retensi apa yang harus dibeli sesuai dengan toleransi risiko mereka. Ini adalah konsep yang familier untuk produk asuransi, seperti penyediaan jaminan gempa bumi secara terpisah dari semua jaminan bahaya lainnya dalam polis properti.

Ketiga, kami bekerja dengan perusahaan pemodelan untuk menyelaraskan skenario acara dengan definisi kebijakan untuk mendorong fokus yang lebih konsisten dan intens pada paparan ini.

 

Peristiwa luas apa saja yang dijamin dan yang dikecualikan oleh kebijakan Chubb?

Peristiwa yang meluas - tidak termasuk yang melibatkan perang atau gangguan infrastruktur - ditanggung dan tunduk pada batas dan retensi yang dibeli oleh tertanggung. Tidak ada pengecualian tambahan. Jika peristiwa meluas terjadi dan tidak ada deklarasi perang atau penyebab dari infrastruktur, maka dapat dipastikan bahwa bisnis a mereka terjamin. Insiden siber yang diakibatkan oleh perang atau kerusakan infrastruktur dikecualikan. Selanjutnya, perang dan infrastruktur didefinisikan secara jelas dan obyektif dalam polis, sehingga tertanggung memiliki kepastian kontrak sebelum suatu peristiwa terjadi. Tidak ada ambiguitas karena cakupan tidak tergantung pada penilaian selanjutnya terhadap pelaku serangan (misalnya, penyerang 'disponsori negara' atau 'didukung negara').

 

Bagaimana dengan implikasinya terhadap reasuransi?

Reasuransi secara substansial tetap menjadi pasar saham kuota saat ini, seperti yang telah terjadi selama bertahun-tahun. Di permukaan, itu berarti perusahaan asuransi menyerahkan bagian dari premi dan bagian kerugian yang sama kepada reasuransi. Namun, sebagian besar kontrak termasuk batas atas kerugian reasuransi, yang meninggalkan tail exposure yang signifikan dengan cedant tanpa premi untuk membayar klaim tersebut.

Penggunaan modal yang lebih efisien melibatkan reasuransi yang mencakup kejadian siber berdasarkan kelebihan kerugian. Ini mirip dengan model yang bekerja dengan kelebihan bencana reasuransi kerugian untuk properti, yang melindungi perusahaan asuransi dari akumulasi kerugian karena satu peristiwa CAT. Pendekatan ini menawarkan reasuransi margin yang lebih besar untuk mengasumsikan tail votality dengan penggunaan modal yang lebih sedikit secara proporsional. ROE reasuransi meningkat dan pasar asuransi siber secara keseluruhan menjadi lebih efisien.

Untuk berkembang, pasar reasuransi membutuhkan definisi yang jelas tentang apa itu peristiwa siber sistemik dan pendekatan yang konsisten untuk memodelkan frekuensi dan tingkat keparahan dari peristiwa tersebut.

Baik kebijakan Chubb maupun yang diumumkan oleh Cyber AcuView, sebuah konsorsium industri dari perusahaan asuransi siber terbesar di dunia, memberikan definisi yang jelas tentang peristiwa sistemik, dan perusahaan pemodelan telah sangat meningkatkan kualitas dan konsistensi model mereka selama 12 bulan terakhir.

 

Apa reaksi terhadap policy wording di pasar?

Sudah hampir dua tahun sejak Chubb pertama kali memperkenalkan bahasa ini. Banyak klien memahami apa yang Chubb lakukan dan tentunya mendukungnya. Mereka menyadari nilai dari kejelasan dalam membantu mereka membuat keputusan manajemen risiko yang lebih tepat. Misalnya, bisnis besar dapat memilih untuk membeli hanya cakupan bencana dalam pengesahan dan mengasuransikan sendiri eksposur keuangan yang kurang mengkhawatirkan. Sebuah perusahaan besar dapat memutuskan untuk menyerap kerugian keuangan yang lebih rendah yang disebabkan oleh serangan ransomware dan mengasuransikan risiko yang tidak dapat mereka kendalikan.

 

Menurut Anda, apakah pendekatan Chubb harus diadopsi secara lebih luas?

Chubb adalah salah satu pemimpin penyedia asuransi siber [IMR1] [LF2] di dunia. Kami telah menanggung eksposur siber untuk pemegang polis selama lebih dari dua dekade. Kami fokus untuk menjadi pemimpin untuk menerobos hambatan apa pun. Kami akan terus menggunakan pengalaman, data, dan wawasan underwriting kami untuk mengembangkan solusi guna membantu memenuhi risiko yang terus meningkat ini.

Kami yakin model kami dapat memberikan perlindungan yang berarti bagi klien kami dan berfungsi sebagai model bagi perusahaan asuransi lain untuk diikuti. Dengan menawarkan cakupan yang lebih seragam dan perjanjian asuransi dengan batasan, pengurangan, dan harga yang berpotensi berbeda, manfaat signifikan akan bertambah bagi pembeli dan perusahaan reasuransi.

WAWASAN

Risiko bencana berlipat ganda

Potensi peristiwa siber sistemik dalam menyebabkan kerugian bencana semakin mengkhawatirkan dan berkembang. Selama tahun 2022, jumlah serangan malware di seluruh dunia hampir dua perlima lebih tinggi dari total volume pada tahun 2021, mencapai titik tertinggi sepanjang masa pada Q4 2022, ketika rata-rata 1.168 serangan mingguan per organisasi dilaporkan.1

Lebih dari 25.000 kerentanan perangkat lunak ditemukan pada tahun 2022, angka tahunan tertinggi yang dilaporkan hingga saat ini.2 Kerentanan adalah cacat atau kelemahan dalam perangkat lunak yang dapat dieksploitasi oleh malware. Pada bulan April, Mei dan Juni 2023, Institut Nasional Standar dan Teknologi menghitung 6.991 kerentanan perangkat lunak baru, 1.027 di antaranya dikategorikan sebagai "kritis." 3

 

Perkiraan peristiwa sistemik yang menyebabkan kerugian besar menunjukkan bahwa biayanya akan melebihi kapasitas agregat pasar asuransi global.4 Sebuah laporan oleh Government Accountability Office (GAO) menggambarkan peristiwa ini sebagai insiden siber yang "meluas dari target awal ke perusahaan yang terkait secara ekonomi, sehingga memperbesar kerusakan." Laporan GAO memperkirakan potensi kerugian dari satu peristiwa siber sistemik berkisar antara $2,8 miliar hingga $1 triliun.5

Pendekatan Chubb terhadap Cyber Enterprise Risk Management

Pendekatan berkelanjutan untuk mengasuransikan beragam peristiwa siber, termasuk Peristiwa yang Meluas


Tiga cabang Chubb's Cyber ERM:  

  • Layanan Mitigasi Kerugian – akses ke alat dan sumber daya yang diperlukan untuk mengatasi dan mengukur area utama risiko keamanan siber sebelum suatu peristiwa terjadi.
  • Layanan Respons Insiden – tim ahli yang beragam dalam bidang hukum, forensik komputer, pemberitahuan, pusat panggilan, hubungan masyarakat, konsultasi penipuan, pemantauan kredit, dan area layanan pemulihan identitas untuk membantu membatasi paparan kerugian ketika suatu peristiwa terjadi.
  • Transfer Risiko – perlindungan asuransi yang luas dan berkelanjutan yang didukung oleh kekuatan finansial Chubb.

 

Keunggulan kompetitif  

  • [IMR1] [LF2] penyedia solusi risiko siber sejak produk pertama diluncurkan pada tahun 1998.
  • Solusi risiko yang inovatif dan sangat dapat disesuaikan untuk memenuhi kebutuhan unik klien, terlepas dari ukuran, industri, atau jenis risiko.
  • Tidak ada premi minimum. Skala premi untuk semua ukuran risiko berdasarkan cakupan dan limit.
  • Cakupan kejahatan siber dengan dukungan atau disediakan berdasarkan kebijakan terpisah dari produk Fidelity and Crime Chubb yang terkemuka di industri.
  • Biaya Respons Insiden Siber, dengan solusi berbasis konsumen yang luas yang lebih kuat daripada persyaratan peraturan minimum.
  • Quotation online dan penerbitan polis secara real-time untuk risiko kecil yang memenuhi syarat. Risiko yang dirujuk akan menerima balasan yang cepat dari Underwriter Chubb Anda.
  • Cakupan inovatif yang dirancang untuk mengatasi standar peraturan, hukum, dan keamanan siber yang terus berkembang dan dibangun untuk mempertimbangkan perubahan di masa depan.
  • Formulir yang mudah dibaca selaras dengan aliran insiden siber untuk membantu pengambilan keputusan yang menyeluruh.
  • Cakupan Wilayah berlaku di seluruh dunia untuk mengatasi evolusi hosting dan penyimpanan data yang berkelanjutan.

Widespread event endorsement
 

  • Widespread Event Endorsement membahas peristiwa dengan dampak meluas, mempengaruhi pihak-pihak yang tidak memiliki hubungan dengan tertanggung. Mirip dengan bagaimana risiko banjir dan gempa bumi ditangani dalam kebijakan properti – jaminan, batas, retensi – dan asuransi bersama dapat disesuaikan untuk semua Peristiwa yang Meluas, atau dengan bahaya tertentu:
    • Eksploitasi Kerentanan Berat yang Meluas
    • Eksploitasi Zero-Day Parah yang Meluas
    • Eksploitasi Rantai Pasokan Perangkat Lunak yang Meluas
    • Semua Peristiwa Meluas lainnya
  • Ransomware Encounter Endorsement mengatasi meningkatnya risiko ransomware dengan memungkinkan serangkaian cakupan, batas, retensi, dan koasuransi yang disesuaikan untuk diterapkan secara seragam di semua cakupan siber
  • Neglected Software Exploit Endorsement mengakui dan menghargai kebersihan patching perangkat lunak yang baik dengan menyediakan jaminan penuh selama 45 hari, dan kemudian untuk perangkat lunak yang tetap tidak diperbaiki lebih dari 45 hari, secara bertahap menimbang kembali pembagian risiko antara Tertanggung dan Penanggung seiring berjalannya waktu.
CATATAN KAKI

1  Check Point. Global Cyber-Attack Volume Surges 38 percent in 2022. Jan. 9, 2023.

2  Tenable Research. Mind the Gap: A Closer Look at the Vulnerabilities Disclosed in 2022.

3  NIST National Vulnerability Database. As reported by the Wall Street Journal, June 20, 2023

4  Marsh. Cyber Insurance Market Overview, Fourth Quarter 2021.

5  U.S. Government Accountability Office. Potential Federal Insurance Response to Catastrophic Cyber Incidents. Sept. 29, 2022

Disclaimer - Artikel ini hanya memberikan gambaran umum tentang produk dan layanan terkait yang ditawarkan oleh Chubb. Setiap saran dalam artikel ini hanya bersifat umum dan tidak memperhitungkan tujuan khusus, situasi atau kebutuhan keuangan, atau hukum dan peraturan yang berlaku di yurisdiksi terkait. Pembaca yang mengandalkan saran ini melakukannya dengan risiko mereka sendiri. Referensi apa pun dalam artikel ini ke konten lain bukan merupakan atau menyiratkan dukungan atau rekomendasi oleh Chubb. Grafik dan animasi yang digunakan dalam artikel ini tidak dimaksudkan untuk mengilustrasikan dan juga bukan representasi dari cakupan, layanan, dan tingkat layanan yang ditawarkan oleh Chubb. Harap tinjau syarat, ketentuan, dan pengecualian lengkap dari polis yang relevan dan pertimbangkan apakah saran tersebut tepat untuk Anda. Pertanggungan ditanggung oleh satu atau lebih perusahaan Chubb. Tidak semua perlindungan dan layanan tersedia di semua negara. Perlindungan dan layanan tunduk pada persyaratan perizinan dan pembatasan sanksi. Artikel ini bukan merupakan penawaran atau ajakan produk asuransi atau reasuransi. Syarat dan ketentuan berlaku untuk layanan. Silakan hubungi broker atau agen lokal Anda untuk mendapatkan saran. © 2022 Chubb. Chubb® dan logo Chubb, Chubb.Insured.SM merupakan merek dagang milik Chubb. 

Cyber Insurance

Cari tahu lebih lanjut tentang Asuransi Cyber Chubb.