Krisis CrowdStrike mendorong kenaikan premi asuransi siber

Perusahaan asuransi tengah menyempurnakan kebijakan mereka pasca gangguan untuk mengelola risiko lebih baik.

Krisis teknologi global yang melumpuhkan industri dari maskapai penerbangan hingga bank dan menyebabkan kerugian korporasi serta ekonomi senilai miliaran dolar Juli lalu dapat mendorong kenaikan premi asuransi siber, mencakup tidak hanya peretasan tetapi juga insiden nonmalicious (tanpa unsur kejahatan), menurut analis asuransi.

Krisis digital global yang dipicu oleh pembaruan perangkat lunak CrowdStrike yang mengalami kegagalan juga kemungkinan akan mendorong perusahaan asuransi untuk lebih menyempurnakan pengecualian dan batasan kebijakan mereka guna mengelola risiko dengan lebih baik.

"Insiden ini dapat memperburuk keterbatasan kapasitas, sehingga membuat cakupan asuransi yang komprehensif menjadi lebih sulit diperoleh bagi industri berisiko tinggi," kata Lee Yen Teik, dosen senior dari Departemen Keuangan di National University of Singapore Business School, kepada Insurance Asia.

"Struktur harga bertingkat mungkin akan menjadi lebih umum, di mana premi asuransi disesuaikan secara ketat dengan tingkat kematangan keamanan siber serta memberikan insentif bagi pertahanan yang kuat dan penalti bagi kelemahan," tambahnya.

Insiden CrowdStrike termasuk salah satu peristiwa siber terbesar dalam sejarah, dengan proyeksi kerugian langsung melebihi $5 miliar di antara perusahaan Fortune 500, kata Carmel Green, partner di Reynolds Porter Chamberlain (RPC), dalam wawancara terpisah dengan Insurance Asia.

Peristiwa ini telah mendorong penjamin emisi untuk menilai kembali toleransi risiko mereka, khususnya terkait cakupan gangguan bisnis dan kegagalan sistem, tambahnya.

"Insiden ini telah menyebabkan gangguan layanan dan kerusakan reputasi," kata Green. "Dampaknya terhadap sektor maskapai penerbangan dan transportasi adalah contoh yang jelas. Layanan keuangan, termasuk bank dan institusi lain yang bergantung pada ITyang berkelanjutan turut merasakan dampaknya."

Gangguan IT global yang disebabkan oleh pembaruan CrowdStrike dirancang untuk melindungi sistem Microsoft Windows, namun itu mengakibatkan pembatalan penerbangan dan membuat ribuan penumpang terlantar di bandara, menyebabkan keterlambatan pengiriman, serta penutupan  toko dan taman hiburan.

Peritel dan perusahaan e-commerce yang menghadapi tantangan operasional kemungkinan mengalami kerugian pendapatan serta dampak negatif akan reputasi mereka.

Pangsa Asia-Pasifik dalam total premi bruto yang ditulis untuk asuransi siber, mencakup kerugian terkait dunia siber, lebih rendah dibandingkan Amerika Utara serta gabungan pasar Eropa, Timur Tengah, dan Afrika, yaitu sebesar 6% yang lebih rendah dibandingkan dengan 56% dan 37%.

Namun, pasar asuransi siber di kawasan ini merupakan salah satu yang tumbuh paling cepat dalam lima tahun terakhir, menurut S&P Global.

Tingkat pertumbuhan tahunan gabungan (CAGR) untuk asuransi siber primer dan reasuransi di Asia-Pasifik pada periode 2018-2022 masing-masing mencapai 51,2% dan 43,4%, menurut lembaga pemeringkat tersebut.

Kebijakan asuransi siber bervariasi di berbagai pasar di kawasan Asia-Pasifik, dipengaruhi oleh faktor-faktor seperti perkembangan ekonomi, kerangka regulasi, dan permintaan pasar.

Di pasar maju seperti Singapura, perusahaan asuransi umumnya menawarkan cakupan yang lebih komprehensif, yang diwajibkan oleh regulasi ketat seperti Personal Data Protection Act.

"Ini mencakup tidak hanya ketentuan standar untuk kerusakan properti dan kehilangan pendapatan, tetapi juga perluasan cakupan khusus siber seperti pemerasan siber dan pemulihan data, yang menjadi krusial mengingat tingkat penetrasi digital yang tinggi di ekonomi ini," kata Lee.

Di pasar berkembang, produk asuransi siber masih lebih mendasar. Namun, seiring kemajuan teknologi dan meningkatnya ancaman keamanan siber, kemungkinan akan terjadi pergeseran menuju kerangka regulasi yang lebih kuat serta cakupan asuransi yang lebih luas.

Perluasan cakupan

Green mengatakan gangguan teknologi CrowdStrike menunjukkan bagaimana bisnis dari semua skala semakin rentan terhadap kejadian semacam ini.

“Tekanan yang meningkat pada bisnis untuk memaksimalkan profitabilitas dan efisiensi berarti ketergantungan yang lebih besar pada teknologi bisa mengakibatkan peningkatan risiko kegagalan dan gangguan besar, terutama karena single points of failure,” tambah Green.

Dia menekankan dengan llanskap ancaman yang terus berubah, tim keamanan siber dan operasional perusahaan harus memastikan sistem mereka dapat mengelola dan merespons gangguan yang tidak terduga dengan cepat dan efektif.

Lee menambahkan sifat ekosistem digital modern yang saling terhubung mempersulit penentuan tanggung jawab serta melibatkan banyak pihak dalam kasus gangguan teknologi.

Dampak berantai dari insiden seperti ini tidak hanya dapat merugikan bisnis tetapi juga rantai pasokan yang lebih luas, serta bisa menyebabkan kerugian finansial yang besar dan merusak reputasi.

Meskipun frekuensi gangguan teknologi akibat insiden siber telah menurun, biaya finansial yang ditimbulkannya semakin besar, menurut Uptime Institute yang berbasis di New York.

Green mencatat bahwa lebih dari dua pertiga gangguan teknologi antara 2022 dan 2023 menyebabkan kerugian lebih dari $100.000. Tren ini diperkirakan akan berlanjut karena bisnis semakin mengandalkan infrastruktur digital dan keamanan siber menjadi pilar utama ketahanan bisnis modern.

“Ke depan, seiring meluasnya ancaman digital, perusahaan asuransi diperkirakan semakin memperluas cakupan mereka untuk mencakup risiko yang muncul, seperti perang siber dan serangan terhadap infrastruktur kritis,” kata Lee.

“Perubahan yang diproyeksikan ini memastikan bahwa bisnis dapat bertahan dan pulih dengan cepat dari berbagai gangguan digital,” tambahnya.

Krisis digital global akibat pembaruan perangkat lunak CrowdStrike yang bermasalah juga kemungkinan besar akan mendorong perusahaan asuransi untuk lebih menyempurnakan pengecualian dan batasan dalam kebijakan mereka guna mengelola risiko dengan lebih baik.

“Insiden ini dapat memperburuk keterbatasan kapasitas, sehingga membuat cakupan komprehensif semakin sulit didapatkan bagi industri dengan risiko tinggi,” kata Lee.