Pergeseran besar dalam cara kerja asuransi siber dimulai dengan serangan terhadap raksasa farmasi Merck. Atau mungkinkah dimulai di tempat lain?
Pada Juni 2017, insiden NotPetya melanda sekitar 40.000 komputer Merck, menghancurkan data dan memaksa proses pemulihan selama berbulan-bulan. Serangan itu memengaruhi ribuan perusahaan multinasional, termasuk Mondelēz dan Maersk. Malware ini menyebabkan total kerugian sekitar USD 10 miliar.
Malware NotPetya mengeksploitasi dua kerentanan Windows: EternalBlue, kunci kerangka digital yang bocor dari NSA, dan Mimikatz, eksploitasi yang memanen kata sandi pengguna dari mesin Windows.
Malware ini dirancang untuk menginfeksi tanpa tindakan pengguna, berpindah secara lateral di dalam jaringan dan menyebar dengan sangat cepat, terkadang menghancurkan jaringan dalam waktu kurang dari satu menit. Setelah dieksekusi, malware ini akan menimpa catatan boot master, mencegahnya melakukan tindakan booting.
Sebuah catatan tebusan menuntut pembayaran untuk dekripsi. Tetapi tidak ada mekanisme atau rencana untuk melakukannya. Tujuannya adalah untuk meyakinkan korban bahwa mereka diserang ransomware. Faktanya, NotPetya hanya ada untuk menghancurkan data tanpa jalur pemulihan.
Merck memperkirakan serangan tersebut menelan biaya USD 1,4 miliar. Biaya tersebut termasuk hilangnya kapasitas produksi sementara, serta biaya peralatan dan perekrutan TI baru yang diperlukan untuk pemulihan.
Perusahaan memiliki polis asuransi “semua risiko” senilai USD 1,75 miliar di Ace American. Tetapi perusahaan menolak klaim mereka, mengatakan bahwa karena NotPetya dimulai dalam perang Rusia/Ukraina, klausul pengecualian “Tindakan Perang” berarti mereka tidak harus membayar.
Merck menggugat Ace American pada November 2019. Kasus mereka berpusat terutama pada argumen bahwa serangan itu bukan hasil dari tindakan resmi negara dan bahwa Merck hanyalah pengamat di luar keadaan konflik. Hakim Pengadilan Tinggi New Jersey Thomas J. Walsh memenangkan Merck.
Ace American mengajukan banding dan pengadilan banding negara bagian dalam kasus ini memutuskan bahwa ketentuan klausul pengecualian perang dalam polis asuransi — yang mengecualikan pertanggungan untuk kerugian yang disebabkan oleh tindakan permusuhan atau perang oleh pemerintah — tidak berlaku dalam kasus ini.
Kedua belah pihak mencapai penyelesaian rahasia dengan perusahaan asuransi pada 5 Januari 2024.
Perusahaan besar lainnya mengalami skenario hukum serupa dan juga harus membayar sejumlah uang, meskipun kemungkinan dalam jumlah yang lebih kecil.
Hasil dari kasus ini tidak sepenuhnya dapat diprediksi atau selalu intuitif. NotPetya sendiri secara luas diyakini telah dimulai dalam perang — dikaitkan dengan pemerintah Rusia (khususnya kelompok peretas Sandworm dalam intelijen militer Rusia) dan dimulai di Ukraina, dengan asumsi ditujukan untuk mewujudkan target Rusia dalam konflik tersebut.
Meskipun mungkin merupakan tindakan perang siber, serangan itu kemudian menyebar ke luar Ukraina ke berbagai mesin di seluruh dunia, menyebabkan apa yang mungkin digambarkan sebagai kerusakan tambahan.
Polis asuransi siber biasanya berisi klausul pengecualian perang. Misalnya, The Lloyd's Market Association (LMA) menerbitkan panduan untuk klausul pengecualian perang siber. Mereka merekomendasikan bahwa pengecualian tidak akan berlaku pada operasi siber yang dilakukan oleh negara-bangsa di luar perang panas yang sebenarnya dalam keadaan tertentu. Misalnya, jika serangan siber terjadi di luar kondisi konflik atau jika bisnis bukan target yang dimaksudkan.
Putusan pengadilan konsisten dengan panduan Lloyd, menemukan bahwa klausul pengecualian perang tidak berlaku pada keadaan serangan NotPetya.
Meski begitu, peraturan itu penting. Beberapa serangan siber yang paling canggih dan merugikan adalah hasil dari tindakan negara-bangsa untuk menyerang pesaing atau musuh. Jika perusahaan asuransi tidak dapat menggunakan klausul pengecualian perang standar untuk serangan siber yang merugikan dan didanai negara, mereka harus menyesuaikan polis, menaikkan harga, atau keduanya di masa mendatang.
Lingkungan asuransi siber telah berubah setidaknya selama satu dekade. Sebagai akibat dari serangan siber yang semakin mahal, pelanggan asuransi telah terpukul dengan kenaikan premi, persyaratan penjaminan yang lebih ketat, dan cakupan yang lebih sempit.
Perubahan ini terjadi karena berbagai tren dalam lingkungan serangan siber, termasuk tren ransomware beberapa tahun yang lalu.
Premi asuransi siber global telah meningkat dari di bawah USD 5 miliar pada tahun 2018 menjadi sekitar USD 18 miliar tahun ini, menurut Swiss Re Institute.
Perusahaan harus mempersiapkan langkah keamanan siber mereka berdasarkan pedoman yang semakin ketat agar pertanggungannya disetujui. Perusahaan asuransi membutuhkan waktu lebih lama untuk menyetujui siapa yang pertanggungannya diterima dan menjadi lebih selektif.
Cakupan asuransi semakin menyempit, sebagian dikarenakan meningkatnya jumlah pengecualian yang membatalkan cakupan asuransi dalam kondisi tertentu (dan “pengecualian perang” merupakan salah satu pengecualian yang besar).
Pertanggungan asuransi Merck telah memusatkan perhatian industri pada tantangan mendefinisikan pengecualian perang dalam polis asuransi siber. Perusahaan asuransi kemungkinan akan semakin memperketat aturan, terutama untuk pengecualian perang — tren yang sudah dimulai pada tahun 2022.
Dan hal ini juga mengalihkan perhatian di kalangan pembeli asuransi. Perusahaan perlu melihat dengan saksama pengecualian, masa tunggu, batas polis, dan faktor-faktor lain ketika mempertimbangkan penyedia asuransi. Elemen penting lainnya adalah memperkirakan apakah perusahaan mungkin menjadi korban atau ditargetkan sebagai akibat dari peristiwa geopolitik dan mempertimbangkan bagaimana pengecualian dapat membuat mereka tanpa pembayaran jika serangan siber serius yang disponsori negara terjadi.
Dan yang terpenting, fokuslah pada keamanan siber yang sebenarnya—terutama alat otomatisasi dan AI.
Sementara Merck dan tuntutan hukum serta penyelesaian terkait kemungkinan akan memberikan kontribusi material terhadap perubahan biaya, kebijakan, pengecualian, dan batasan asuransi keamanan siber, faktor yang lebih besar adalah meningkatnya kecanggihan dan biaya serangan siber secara umum.