Artikel ini adalah bagian dari edisi khusus VentureBeat, “The Cyber Resilience Playbook: menavigasi era baru ancaman.” Baca lebih lanjut dari edisi khusus ini di sini.
Serangan dunia maya saat ini bisa melumpuhkan – dan sangat mahal – untuk perusahaan modern. Berbekal AI, peretas mengeksploitasi kerentanan lebih cepat dari sebelumnya.
Namun, produk asuransi bisnis standar seperti kebijakan pertanggungjawaban umum atau profesional (kesalahan dan kelalaian, atau E&O) biasanya tidak menutupi kerugian atau kerusakan akibat pelanggaran atau insiden terkait cyber lainnya.
Hal ini membuat asuransi keamanan siber semakin penting pada tahun 2025 dan seterusnya, terutama ketika AI mengubah (dan menyederhanakan) metodologi peretas. Kebijakan asuransi khusus cybersecurity mencakup berbagai biaya perbaikan dan upaya pemulihan untuk membantu perusahaan membatasi kerusakan, memulihkan lebih cepat dan meningkatkan kebersihan cyber mereka secara keseluruhan.
Tetapi seperti halnya jenis pertanggungan lainnya, asuransi dunia maya dapat rumit untuk dinavigasi dan penuh dengan legalese dan celah. Mari kita membahas dasar -dasarnya, mengapa penting, apa yang harus dicari dan tren apa yang diharapkan tahun ini karena AI menjadi pusat perhatian.
Jadi apa yang ditutupi oleh asuransi cyber?
Biasanya, kebijakan dunia maya menawarkan cakupan untuk kerusakan pihak pertama (kerugian langsung) dan pihak ketiga (di luar bisnis). Cakupan umum meliputi:
- Gangguan Bisnis: Kehilangan Pendapatan Saat Serangan Membawa Sistem Offline;
- Remediasi Serangan: Respons Insiden, Investigasi Forensik atau Perbaikan Sistem;
- Pemberitahuan Pelanggan dan Manajemen Reputasi: Peringatan Otomatis Ketika Informasi Identifikasi Pribadi Pelanggan (PII) mungkin telah diakses; pemantauan kredit dan melanggar hotline; PR bekerja untuk membantu memperbaiki merek;
- Biaya Hukum: Litigasi Sebagai hasil dari pelanggaran (seperti tuntutan hukum yang diajukan oleh pelanggan atau vendor), apa yang dikenal sebagai “tugas untuk membela”;
- Tindakan Pengaturan: Investigasi yang membutuhkan layanan hukum dan denda potensial.
Dalam kasus ransomware, penting untuk dicatat bahwa, sementara penyedia telah meliput pembayaran di masa lalu, banyak yang mendukung praktik ini karena peretas menuntut lebih banyak dan regulator meneliti. Dalam beberapa kasus, kelebihan pembayaran mungkin “dibatasi,” atau dikenakan batas pembayaran.
“Dengan lonjakan serangan ransomware baru-baru ini selama beberapa tahun terakhir, sub-batas tersebut semakin rendah dan lebih rendah, itulah sebabnya lebih penting dari sebelumnya untuk meninjau batas kebijakan dengan cermat,” nasihat firma hukum GB & A.
Di sisi lain…
Sekali lagi, seperti halnya jenis asuransi lainnya, ada pengecualian. Misalnya, karena serangan rekayasa sosial seperti phishing atau smishing melibatkan manipulasi pengguna dan kesalahan manusia, perusahaan asuransi sering tidak akan mencakup kerugian selanjutnya (atau mereka akan menawarkan untuk melakukannya dengan biaya tambahan). Demikian pula, ancaman orang dalam – ketika tindakan jahat atau lalai karyawan mengekspos bisnis – biasanya tidak tercakup.
Eksploitasi kerentanan yang diketahui yang diketahui perusahaan tetapi tidak diperbaiki sering kali berada di luar zona cakupan juga, seperti halnya kegagalan jaringan yang dihasilkan dari kesalahan konfigurasi atau kesalahan lain (sebagai lawan dari pelanggaran habis-habisan).
Penting untuk dicatat bahwa beberapa perusahaan asuransi bahkan tidak akan mempertimbangkan untuk menawarkan penawaran kecuali perusahaan memiliki langkah-langkah keamanan yang kuat-seperti kemampuan nol-perawat, kontrol otentikasi multifaktor (MFA), deteksi titik akhir, penilaian risiko terperinci, dan rencana respons insiden, dan rencana respons dan rencana dan rencana insiden dan rencana dan rencana insiden dan rencana dan rencana insiden dan dan rencana insiden dan rencana dan rencana insiden dan dan rencana insiden, dan dan respons insiden, dan dan respons, dan rencana insiden dan insiden, dan insiden, dan insiden, dan insiden, dan insiden, dan insiden, dan insiden, dan insiden, dan insiden, dan insiden, dan respons dan insiden, Pelatihan Kesadaran Keamanan Reguler.
Untuk membantu mengurangi premi asuransi dunia maya, para ahli menyarankan para pemimpin keamanan untuk secara proaktif mengomunikasikan langkah-langkah yang telah diambil organisasi untuk mengurangi risiko cyber dan mengadopsi kerangka kerja standar industri seperti NIST atau ISO 27001.
“Beberapa perusahaan asuransi bahkan menawarkan diskon atau pengurangan premi untuk perusahaan yang dapat menunjukkan kepatuhan dengan kerangka kerja seperti itu,” kata perusahaan keamanan Portnox. Dalam kasus penilaian risiko, “perusahaan asuransi sering melihat ini sebagai kesempatan untuk menurunkan premi, terutama ketika penilaian dilakukan oleh vendor pihak ketiga.”
Pastikan untuk membaca cetakan yang bagus
Seperti halnya kontrak asuransi apa pun, tinjau batas kebijakan dengan hati -hati, GB&A saran. Kebijakan harus berisi definisi luas pemerasan dan ancaman oleh penyerang untuk:
- Mengubah, merusak atau menghancurkan data, perangkat lunak, perangkat keras atau program;
- Mengakses, menjual, mengungkapkan, atau menyalahgunakan info;
- Melakukan serangan Denial of Service (DDOS) terdistribusi;
- Phish atau pelanggan spam dan klien;
- Mengirimkan kode berbahaya ke pihak ketiga melalui jaringan atau situs web perusahaan.
Kebijakan juga harus mencakup definisi sistem komputer tertentu yang dicakup (perangkat keras, perangkat lunak, firmware, sistem operasi, sistem dan mesin virtual, perangkat nirkabel, dan apa pun yang terkait dengan jaringan); kehilangan pendapatan yang dicakup (biaya operasional selama pemulihan atau biaya untuk mempekerjakan akuntan forensik atau konsultan lainnya); dan restorasi data tercakup (biaya untuk membuat ulang data yang rusak atau hilang).
Lebih lanjut, GB&A menekankan bahwa kebijakan harus secara eksplisit menguraikan cakupan di sekitar pengeluaran pemerasan – seperti jenis mata uang digital atau properti yang diserahkan, biaya investigasi dan kerugian yang terjadi ketika mencoba melakukan pembayaran.
“Pemegang polis yang menemukan diri mereka korban ransomware harus sangat berhati -hati dalam melakukan pembayaran sebelum berkonsultasi dengan broker mereka dan perusahaan asuransi masing -masing,” saran perusahaan itu.
Apa yang kami lihat di Cyber Insurance pada tahun 2024 – dan apa yang mungkin kami harapkan pada tahun 2025
Kompromi Email Bisnis (BEC), Dana Transfer Fraud (FTF) dan Ransomware adalah klaim yang dilaporkan tertinggi pada tahun 2024. dan jumlah klaim bervariasi secara luas, dari $ 1.000 hingga lebih dari $ 500 juta, hasil penyerang mencuri atau melanggar di mana saja dari 1 juta hingga hingga $ 500 juta, penyerang mencuri atau melanggar di mana saja dari 1 juta hingga hingga 1 juta hingga hingga $ 500 juta, penyerang mencuri atau melanggar di mana saja dari 1 juta hingga hingga 1 juta hingga 1 juta hingga $ 500 juta, 140 juta catatan.
Melihat ke tahun mendatang, penjamin emisi memperkirakan peningkatan premi, menurut pialang asuransi dan perusahaan konsultan Woodruff Sawyer. Perusahaan menunjukkan bahwa area cakupan paling konsisten yang membutuhkan negosiasi pada tahun 2024 adalah kumpulan informasi pribadi tanpa persetujuan yang tepat – dan ini kemungkinan akan terus menjadi area yang sangat diperebutkan pada tahun 2025.
Juga, perkirakan cakupan yang berkelanjutan dan diperluas untuk CISO sebagai hasil dari pengawasan Komisi Sekuritas dan Bursa (SEC) baru-terutama mengingat pengisian utama agen terhadap kepala keamanan SolarWinds setelah peretasan akhir 2020 yang terkenal di perusahaan. Seperti yang ditunjukkan Woodruff Sawyer, pertanggungan untuk pertanggungjawaban CISO dapat ditemukan dalam kebijakan dan kebijakan Direktur Cyber dan Petugas (D&O). Beberapa operator juga menawarkan cakupan mandiri untuk menutupi pertanggungjawaban pribadi Cisos.
Lebih lanjut, operator mengharuskan klien mereka untuk memiliki program manajemen risiko pihak ketiga yang kuat. Ini harus mencakup persyaratan bagi vendor untuk membeli kesalahan cyber atau teknologi dan kelalaian (E&O) asuransi dan memberikan bukti sertifikasi keamanan siber.
Woodruff Sawyer menggarisbawahi: “The CrowdStrike [outage] Pada bulan Juli 2024 adalah yang terbaru dalam serangkaian insiden yang menargetkan perusahaan teknologi untuk mendapatkan akses ke atau mengganggu jaringan pelanggan mereka. Operator asuransi cyber mencari klien untuk memiliki program manajemen risiko pihak ketiga yang kuat. ”
