Asuransi siber, juga disebut asuransi tanggung gugat siber atau asuransi keamanan siber, menanggung kerugian finansial yang dialami perusahaan sebagai akibat dari serangan ransomware, pelanggaran data, dan insiden siber lainnya.
Dengan cara yang sama seperti asuransi mobil membayar kerusakan kendaraan dan cedera tubuh jika terjadi kecelakaan, polis asuransi siber membayar sistem komputer yang rusak, kehilangan pendapatan, biaya hukum, dan biaya serangan siber lainnya.
Pelanggaran keamanan makin sering terjadi dan makin mahal. Menurut laporan Biaya Pelanggaran Data IBM, biaya rata-rata global dari pelanggaran data (Maret 2024 hingga Februari 2025) adalah USD 4,44 juta. Asuransi siber dapat mengurangi dampak finansial dari pelanggaran ini, menjadikannya bagian penting dari manajemen risiko bagi bisnis saat ini.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Perusahaan mana pun yang menyimpan informasi pelanggan atau mengandalkan teknologi, yang mencakup sebagian besar bisnis, menghadapi risiko dunia siber. Tim keamanan dapat mengambil langkah untuk memitigasi ancaman dunia siber, namun mereka tidak dapat mencegahnya sepenuhnya. Menurut Travelers Risk Index, 57% pemimpin bisnis menganggap serangan siber tidak bisa dihindari.
Produk asuransi bisnis standar, seperti pertanggungan kewajiban umum dan polis kesalahan dan kelalaian, biasanya tidak menanggung kerugian dari peristiwa siber, menjadikan perusahaan rentan terhadap biaya penuh serangan phishing, penipuan penyusupan email bisnis, dan kejahatan siber lainnya. Serangan ini dapat menimbulkan kerugian finansial yang besar. Misalnya, rata-rata pelanggaran data yang disebabkan oleh serangan phishing menelan biaya USD 4,80 juta.
Polis asuransi siber hadir untuk menutup kesenjangan pertanggungan ini. Dengan menanggung pembayaran tebusan, remediasi malware, dan biaya lainnya, polis siber dapat membantu perusahaan membatasi kerugian mereka, memulihkan lebih cepat, dan menaikkan tingkat ketahanan siber mereka secara keseluruhan.
Pertanggungan asuransi siber dapat bervariasi berdasarkan kebutuhan bisnis, jenis data yang disimpan bisnis, dan industri bisnis. Banyak polis siber menawarkan opsi untuk pertanggungan pihak pertama dan pihak ketiga. Pertanggungan pihak pertama membayar kerugian langsung bisnis, seperti biaya pemulihan data dan pemulihan sistem. Pertanggungan pihak ketiga membayar kerusakan yang diderita oleh pihak di luar bisnis, seperti konsumen yang datanya dicuri.
Ketika berbicara tentang kerugian tertentu, banyak polis siber yang membayar untuk hal-hal seperti:
Jika sebuah perusahaan kehilangan pendapatan karena serangan siber membuat sistem komputer offline, polis siber dapat menanggung sebagian atau seluruh kerugian tersebut.
Asuransi dapat membayar untuk respons insiden, perbaikan sistem, investigasi forensik, dan layanan lain yang diperlukan setelah peristiwa siber.
Polis siber dapat membantu membayar litigasi yang timbul dari serangan siber, seperti tuntutan hukum yang diajukan oleh pelanggan. Beberapa perusahaan asuransi dapat menyediakan perwakilan hukum untuk perusahaan yang diasuransikan.
Ketika peretas mencuri informasi identifikasi pribadi (PII) atau informasi sensitif lainnya seperti kartu kredit atau nomor jaminan sosial, polis siber dapat membantu menutupi biaya pemberitahuan pelanggan dan menyediakan layanan seperti pemantauan kredit.
Serangan siber dapat mengarah pada penyelidikan regulasi, terutama di bidang yang sangat diatur seperti layanan kesehatan dan keuangan. Polis siber dapat mencakup biaya untuk mematuhi audit ini, termasuk denda yang harus dibayar perusahaan.
Sebuah perusahaan mungkin perlu menyewa firma hubungan masyarakat atau mengambil langkah lain untuk memperbaiki citra mereknya setelah terjadi serangan. Beberapa polis siber akan membantu membayar biaya-biaya ini.
Banyak polis siber yang menanggung pembayaran ransomware, tetapi beberapa penyedia asuransi mengakhiri atau membatasi pertanggungan ini karena tingginya biaya tebusan.
Meskipun polis siber dapat mencakup banyak hal, ada beberapa insiden yang tidak dapat ditanggung oleh kebijakan tersebut. Ini disebut pengecualian. Pengecualian umum meliputi:
Sebuah perusahaan dapat mengalami pencurian data atau gangguan layanan ketika vendor mereka dan mitra lainnya mengalami pelanggaran data. Asuransi siber tidak selalu membayar kerugian ini, tetapi beberapa perusahaan asuransi menawarkan pertanggungan terhadap pelanggaran pihak ketiga dengan biaya tambahan.
Karena serangan rekayasa sosial seperti phishing memanipulasi orang untuk membahayakan keamanan siber dari dalam, polis siber tidak selalu menanggung kerugian ini. Namun, pertanggungan rekayasa sosial sering tersedia dengan biaya tambahan.
Kerugian yang disebabkan oleh ancaman orang dalam seperti karyawan yang berniat jahat atau lalai jarang ditanggung.
Banyak polis siber menganggap serangan ini sebagai tindakan perang dan tidak akan memberikan perlindungan.
Jika peretas mengeksploitasi kelemahan yang diketahui perusahaan tetapi tidak diperbaiki, banyak polis siber akan menolak klaim tersebut.
Sebagian besar paket tidak mencakup pemadaman yang disebabkan oleh kesalahan konfigurasi dan kesalahan internal lainnya.
Meskipun permintaan akan asuransi siber tinggi, meningkatnya biaya asuransi siber menyulitkan perusahaan—terutama usaha kecil—untuk mendapatkan pertanggungan. Menurut Marsh McLennan, harga asuransi siber naik 110% pada kuartal pertama tahun 2022.
Menurut 451 Research, asuransi siber dapat berkontribusi untuk meningkatkan serangan ransomware. Karena makin banyak bisnis membeli polis siber, mereka menjadi lebih nyaman membayar uang tebusan karena asuransi akan menanggungnya. Peretas, pada gilirannya, merasa terdorong untuk terus meminta tebusan. Salah satu jenis ransomware baru, HardBit, bahkan meminta korban untuk membagikan detail polis siber mereka sehingga peretas dapat menghitung tebusan yang akan ditanggung oleh polis.
Gejolak harga juga dipicu oleh fakta bahwa asuransi siber relatif baru dibandingkan produk asuransi lainnya. Perusahaan asuransi memiliki data historis yang terbatas mengenai biaya serangan siber, sehingga sulit untuk membuat model risiko yang akurat dan menetapkan harga yang stabil.
Ketika perusahaan asuransi melihat kerugian mereka meningkat, mereka merespons dengan menaikkan premi dan membatasi pertanggungan. Perusahaan asuransi AXA telah berhenti menanggung pembayaran ransomware untuk polis yang dikeluarkan di Prancis. Lloyd's of London tidak akan lagi menanggung serangan siber yang disponsori negara, sumber kerugian besar lainnya.
Perusahaan asuransi juga menetapkan persyaratan keamanan jaringan yang lebih ketat untuk perusahaan yang diasuransikan. Beberapa penjamin emisi bahkan tidak akan menawarkan penawaran asuransi kecuali jika perusahaan memiliki otentikasi multi-faktor, enkripsi data, nol kepercayaan , atau kebijakan serupa. Beberapa perusahaan asuransi mengambil peran yang lebih konsultatif, memberikan pemegang polis dan pemilik bisnis akses ke alat keamanan dan penyedia layanan untuk membantu mereka meningkatkan postur keamanan. Beberapa ahli memperkirakan bahwa perusahaan asuransi siber dapat menjadi tokoh kunci dalam menerapkan standar seperti Kerangka Kerja Keamanan Siber NIST, karena perusahaan yang mengikuti standar ini akan lebih murah untuk diasuransikan.