Asuransi ada untuk melindungi pihak yang diasuransikan dari malapetaka, tetapi perusahaan asuransi membutuhkan perlindungan agar polisnya tidak disalahgunakan – dan di situlah letak kesalahannya. Namun, dalam kasus asuransi ransomware, kesalahannya menjadi kontroversial dan bisa dibilang merusak kegunaan asuransi ransomware.
Dalam artikel ini, kami akan menjelaskan mengapa, terutama mengingat iklim saat ini, klausul pengecualian perang semakin membuat asuransi ransomware berkurang nilainya – dan mengapa organisasi Anda harus fokus pada perlindungan dirinya sendiri.
Apa itu asuransi ransomware?
Dalam beberapa tahun terakhir, asuransi ransomware telah berkembang sebagai bidang produk karena organisasi mencoba membeli perlindungan terhadap efek bencana dari serangan ransomware yang berhasil. Mengapa mencoba membeli asuransi? Nah, satu serangan yang berhasil hanya dapat menghapus organisasi besar, atau menyebabkan biaya yang melumpuhkan – NotPetya saja menyebabkan total kerugian sebesar $10 miliar.
Serangan Ransomware terkenal sulit untuk dilindungi sepenuhnya. Seperti peristiwa berpotensi bencana lainnya, perusahaan asuransi turun tangan untuk menawarkan produk asuransi. Sebagai imbalan atas premi, perusahaan asuransi berjanji untuk menanggung banyak kerusakan akibat serangan ransomware.
Bergantung pada kebijakannya, kebijakan ransomware dapat mencakup hilangnya pendapatan jika serangan tersebut mengganggu operasi, atau kehilangan data berharga, jika data terhapus karena peristiwa ransomware. Sebuah kebijakan juga dapat melindungi Anda untuk pemerasan – di lain, itu akan mengembalikan uang tebusan yang diminta oleh penjahat.
Pembayaran dan persyaratan yang tepat tentu saja akan ditentukan dalam dokumen polis, yang juga disebut “cetakan halus”. Secara kritis, cetakan halus juga mengandung pengecualian, dengan kata lain keadaan di mana polis tidak akan membayar. Dan disitulah letak masalahnya.
Apa masalah dengan cetakan halus?
Dapat dimengerti bahwa perusahaan asuransi perlu melindungi kumpulan premium mereka dari penyalahgunaan. Lagi pula, mudah bagi seorang aktor untuk mendaftar asuransi bukan karena mereka mencari perlindungan, tetapi karena mereka sudah memikirkan klaim.
Cetakan halus tidak selalu berarti buruk, ini adalah cara bagi kedua belah pihak untuk menentukan ketentuan perjanjian sehingga semua orang tahu apa yang diharapkan, dan apa yang menjadi hak mereka. Dalam asuransi ransomware, cetakan kecil akan membuat beberapa permintaan yang masuk akal.
Misalnya, kebijakan Anda akan mengharuskan Anda melakukan upaya minimal untuk melindungi beban kerja Anda dari ransomware. Lagi pula, masuk akal untuk mengharapkan Anda mengambil tindakan pencegahan di sekitar serangan. Demikian pula, Anda mungkin akan menemukan klausul pemberitahuan dalam kontrak Anda yang mengharuskan Anda memberi tahu perusahaan asuransi Anda tentang serangan itu dalam jangka waktu minimum.
Pengecualian umum lainnya adalah terkait perang, di mana perusahaan asuransi mempertahankan hak untuk menolak membayar klaim jika kerusakan itu akibat perang, atau tindakan seperti perang. Cetakan halus inilah yang saat ini menimbulkan kekhawatiran, karena tiga alasan.
Kompleksitas pengecualian perang
Ketika satu negara-bangsa menyalakan yang lain, perang dunia maya dapat digunakan untuk menimbulkan kerusakan di luar wilayah perang yang biasa. Cyberwarfare bisa sangat membabi buta, pihak yang terkena dampak belum tentu organisasi pemerintah – bisa jadi bisnis yang terjebak dalam baku tembak.
Penanggung memiliki alasan yang sah untuk mencoba dan mengecualikan tingkat eksposur yang besar ini. Namun, ada beberapa masalah. Mendefinisikan perang adalah masalah pertama – kapan suatu tindakan agresi memenuhi syarat sebagai aktivitas yang berhubungan dengan perang? Kesulitan lain adalah atribusi karena penyerang dunia maya umumnya mencoba yang terbaik untuk menyamarkan diri – tidak umum bagi penyerang untuk secara terbuka menyatakan keterlibatan mereka dalam serangan.
Ketika sebuah organisasi menderita serangan ransomware, bagaimana perusahaan asuransi – atau penggugat – membuktikan bahwa organisasi tertentu berada di balik serangan, dan sebagai konsekuensinya, apa motivasi serangan itu – misalnya perang? Bagaimana Anda mengetahuinya sama sekali? Menemukan bukti kuat atau memang bukti apa pun di balik atribusi sangat menantang.
Coba pikirkan kembali berapa kali serangan ransomware dikatakan dilakukan oleh “
Dan inilah masalahnya. Klaim di bawah asuransi ransomware tidak akan kecil – permintaan tebusan biasanya jutaan, sementara kerusakan bisa mencapai satu miliar dolar. Di luar kepentingan pribadi yang dapat dimengerti, perusahaan asuransi akan mencoba mencari alasan yang memungkinkan untuk menolak membayar klaim.
Maka tidak heran jika klaim-klaim ini biasanya ditentang – di pengadilan.
Itu mungkin hanya berakhir di pengadilan
Ketika ada ketidaksepakatan tentang klaim asuransi, penggugat biasanya akan beralih ke pengadilan. Hasil dari kasus-kasus ini tidak pasti dan butuh waktu lama untuk menemukan penyelesaiannya. Salah satu contohnya adalah kasus Merck terhadap asuransi Ace American. Kasus tersebut mengacu pada serangan NotPetya di mana pada bulan Juni 2017 Merck mengalami gangguan besar yang membutuhkan waktu berbulan-bulan untuk pulih, dan perusahaan memperkirakan biayanya USD 1,4 miliar.
Namun, ketika perusahaan mencoba untuk mengklaim polis asuransi “all-risk” senilai USD 1,75 miliar, Ace American awalnya menolak untuk membayar klaim tersebut, dengan alasan bahwa itu tunduk pada klausul pengecualian “Kisah Perang”. Ini mendasarkan klaim ini pada fakta bahwa NotPetya dikerahkan oleh pemerintah Rusia dalam tindakan perang melawan Ukraina.
Klaim tersebut berakhir di pengadilan beberapa saat kemudian, tetapi butuh lebih dari tiga tahun bagi pengadilan untuk mengambil keputusan – keputusan yang menguntungkan Merck pada kesempatan ini, menyatakan bahwa Ace American, seperti banyak perusahaan asuransi lainnya, belum cukup mengubah kata-katanya. dalam pengecualian polisnya untuk memastikan bahwa tertanggung – Merck – memahami sepenuhnya bahwa serangan siber yang diluncurkan dalam konteks tindakan perang akan berarti bahwa pertanggungan polis tidak valid.
Melindungi diri sendiri adalah prioritas pertama Anda
Industri asuransi tentu saja tahu bahwa ada ketidakjelasan. Dalam langkah besar baru-baru ini, Lloyd’s Market Association, sebuah jaringan keanggotaan dari pasar Lloyds of London yang berpengaruh, menerbitkan serangkaian klausul yang dapat disertakan oleh para anggotanya dalam syarat dan ketentuan produk asuransi cyber.
Klausul-klausul ini seharusnya membuat upaya yang lebih baik untuk mengecualikan pelanggaran keamanan siber terkait perang. Tapi, sekali lagi, mungkin ada beberapa poin pertentangan – dengan atribusi menjadi perhatian terbesar.
Karena itu, ada kemungkinan yang semakin besar bahwa asuransi ransomware apa pun yang Anda langgani mungkin tidak membayar saat Anda sangat membutuhkannya – terutama saat mempertimbangkan lingkungan keamanan global yang semakin tinggi saat ini.
Ini tidak berarti bahwa asuransi keamanan siber tidak memiliki peran untuk dimainkan, tergantung pada premi dan tingkat pertanggungan yang mungkin menjadi pilihan. Tapi ini adalah pilihan terakhir: upaya internal Anda sendiri untuk melindungi aset TI Anda dari serangan tetap menjadi garis pertahanan pertama Anda – dan taruhan terbaik Anda.
Asuransi terbaik: postur keamanan siber yang kokoh
Seperti disebutkan sebelumnya, setiap polis asuransi ransomware akan memiliki persyaratan keamanan siber minimum – kondisi yang harus Anda penuhi untuk memastikan polis Anda terbayar. Ini mungkin termasuk hal-hal seperti pencadangan yang teratur dan andal serta pemantauan ancaman.
Kami ingin menyarankan agar Anda melangkah lebih jauh dan benar-benar memaksimalkan perlindungan yang Anda berikan di seluruh kawasan teknologi Anda. Dapatkan lapisan perlindungan tambahan, khususnya mekanisme patching langsung tanpa booting seperti KernelCare Enterprise dari TuxCare, atau dukungan Siklus Hidup yang Diperpanjang untuk sistem lama yang tidak lagi didukung secara resmi. Melakukannya membantu mengatasi masalah tersebut.
Tidak ada solusi yang dapat memberi Anda keamanan kedap udara, tetapi solusi ini dapat membantu Anda mencapai tujuan mengurangi jendela risiko hingga seminimal mungkin yang sedekat mungkin. Mengambil tindakan maksimal dalam melindungi sistem Anda akan membantu memastikan bahwa Anda menghindari situasi di mana Anda mendapatkan kejutan yang tidak menyenangkan: seperti mengetahui bahwa asuransi Anda tidak menanggung kehilangan data Anda.
Jadi ya, tentu saja, ambil asuransi untuk melindungi Anda sebagai upaya terakhir. Tetapi pastikan Anda melakukan semua yang Anda bisa untuk melindungi sistem Anda menggunakan semua alat yang tersedia.