Asuransi Siber: Perisai Hadapi Sisi Gelap AI di Indonesia

Kecerdasan Buatan (AI) telah menjadi topik hangat yang menjanjikan inovasi luar biasa, namun di balik itu, ia menyimpan potensi risiko yang tidak kalah besar, terutama dalam konteks keamanan siber. Bagi para eksekutif perusahaan, AI bagaikan pedang bermata dua: ia bisa menjadi penyelamat dalam melindungi data sensitif dari serangan siber yang kian marak, namun di sisi lain, ia juga membuka celah baru bagi para peretas. Di Indonesia, di mana transformasi digital sedang gencar berlangsung, pemahaman akan dinamika ini menjadi krusial.

Ancaman Siber dari AI: Sebuah Keniscayaan dalam Transformasi Digital

Di satu sisi, sistem AI menawarkan kemampuan yang lebih kuat dalam menilai ancaman, mengotomatiskan pertahanan perusahaan, dan mempercepat respons pasca-pelanggaran data. Ini tentu sangat membantu perusahaan multinasional, termasuk yang beroperasi di Indonesia, dalam membentengi diri dari berbagai serangan siber. Namun, AI juga menurunkan standar bagi para penyerang. Kini, pelaku kejahatan siber yang mungkin tidak memiliki keahlian teknologi tinggi sekalipun dapat melancarkan serangan canggih dengan bantuan alat AI. Peter L. Miller, Presiden dan CEO The Institutes, sebuah organisasi nirlaba di bidang manajemen risiko dan asuransi, menegaskan bahwa "AI adalah pedang bermata dua. Ini mempercepat inovasi pasar, tetapi juga menjadi pengganda kekuatan risiko siber pada skala yang belum pernah terjadi sebelumnya."

Darren L. Pain, Direktur Riset di Geneva Association, sebuah lembaga pemikir industri asuransi global, menambahkan bahwa aktor jahat dapat mempersenjatai dan meracuni model AI yang digunakan perusahaan. Hal ini menimbulkan kekhawatiran serius tentang akurasi dan hasil yang diberikan oleh model tersebut. Contoh konkretnya adalah bagaimana peretas dapat menggunakan alat AI untuk membuat email phishing yang sangat meyakinkan, situs web palsu, bahkan video deepfake untuk menyuntikkan perintah atau kode berbahaya. Pain menjelaskan, "Ini memungkinkan penjahat siber untuk membuat pesan dan metode yang dipersonalisasi, realistis, yang melewati mekanisme deteksi tradisional."

Melihat perkembangan ini, pengelolaan risiko AI telah menjadi isu utama bagi dewan direksi perusahaan di seluruh dunia, termasuk di Indonesia. Risiko siber tidak lagi dipandang sebagai masalah TI semata, melainkan sebagai risiko operasional yang setara dengan bencana alam atau ketidakstabilan politik. Bob Parisi, Head of Cyber Solutions – North America di Munich Re Facultative & Corporate, menyatakan bahwa "Organisasi besar terus membeli cakupan siber, berfokus pada risiko katastropik, karena siber kini semakin dipandang oleh dewan mereka sebagai risiko operasional, setara dengan cuaca dan gejolak politik."

Pasar Asuransi Siber yang Terus Berkembang di Indonesia

Sebagai respons terhadap meningkatnya ancaman, pasar asuransi siber telah tumbuh secara signifikan untuk memenuhi risiko AI yang muncul, serta pelanggaran data dan gangguan TI yang menyertai digitalisasi bisnis dan masyarakat. Data dari Geneva Association menunjukkan bahwa premi global untuk asuransi siber meningkat sepuluh kali lipat, dari $1,5 miliar pada tahun 2013 menjadi $15 miliar pada dekade yang berakhir tahun 2023. Munich Re bahkan memprediksi premi siber bruto global akan mencapai $16,3 miliar pada tahun 2025, dengan tingkat pertumbuhan rata-rata tahunan sebesar 10% hingga tahun 2030.

Meskipun penggunaan asuransi siber relatif stabil di kalangan perusahaan multinasional besar, survei risiko tahun 2024 yang dilakukan oleh firma pialang risiko Aon mengungkapkan tingkat underinsurance yang signifikan dalam cakupan siber. Hasil survei menunjukkan bahwa kurang dari 20% perusahaan memiliki cakupan siber, jauh dibandingkan dengan 60% yang memiliki asuransi properti. Rory Egan, Head of Cyber & Analytics di Global ReSpeciality bisnis Aon Reinsurance Solutions di London, menyoroti bahwa ini terjadi "meskipun siber dinilai memiliki probabilitas dan tingkat keparahan kerugian yang lebih tinggi daripada properti." Fenomena underinsurance ini kemungkinan besar juga terjadi di Indonesia, di mana kesadaran akan risiko siber masih perlu ditingkatkan, terutama di kalangan Usaha Mikro, Kecil, dan Menengah (UMKM) yang menjadi tulang punggung perekonomian digital.

Adaptasi Asuransi Siber Menghadapi Risiko Baru

Cakupan asuransi siber saat ini jauh lebih luas daripada produk yang pertama kali ditawarkan 25 tahun lalu. Persyaratan cakupan menjadi lebih konsisten dalam beberapa tahun terakhir seiring dengan adopsi terminologi yang lebih standar oleh para penanggung. Namun, Bob Parisi menambahkan bahwa pasar tidak lantas berhenti merespons risiko baru atau yang berkembang seperti AI dan komputasi kuantum, atau kebangkitan kembali bahaya privasi yang berasal dari biometrik dan lingkungan regulasi yang aktif. Artinya, industri asuransi terus berinovasi untuk melindungi nasabah dari ancaman yang terus berubah.

Menurut Insurance Information Institute (Triple-I), sebuah asosiasi perdagangan asuransi, para penanggung memenuhi kebutuhan pemegang polis dengan menambahkan bahasa yang lebih jelas seputar eksposur terkait AI dan memperketat atau mengklarifikasi pengecualian dan kondisi untuk serangan yang disponsori negara/negara-bangsa dan tindakan perang/permusuhan. Penanggung juga mengubah cara kerugian gangguan bisnis diukur setelah serangan siber. Ketersediaan dan batas cakupan umumnya telah meningkat, bahkan ketika penanggung asuransi menuntut kontrol yang lebih kuat dan mengukir, atau mengklarifikasi, eksposur yang dianggap ambigu.

Komponen cakupan tipikal tetap ada: perlindungan pihak pertama untuk pemegang polis dapat mencakup kompensasi untuk forensik, pemulihan data, gangguan bisnis, pembayaran ransomware, dan hubungan masyarakat krisis. Perlindungan pihak ketiga membantu mengkompensasi tertanggung untuk biaya yang terkait dengan pemberitahuan pelanggan tentang pelanggaran privasi; pembelaan regulasi; denda di mana ia dapat diasuransikan; kewajiban media dan kewajiban keamanan jaringan. Gerald Glombicki, Direktur Senior di kelompok asuransi Fitch Ratings di Chicago, setuju bahwa cakupan siber terus-menerus merespons ancaman yang berkembang. "Siber adalah lini produk yang sangat khusus," kata Glombicki. "Tidak ada dua polis yang sama dalam industri yang sama, dan jika membandingkan polis di dua industri yang berbeda, seringkali ada perbedaan yang sangat besar."

Sektor Kritis dan Keuangan: Target Utama Serangan Siber

Tidak semua sektor menghadapi risiko siber—dan kebutuhan cakupan selanjutnya—secara setara. Situs infrastruktur dan energi kritis yang dioperasikan oleh pemerintah menghadapi eksposur terbesar, karena gangguan atau penundaan layanan "dapat memengaruhi tidak hanya kualitas hidup tetapi berpotensi kehidupan itu sendiri," kata Glombicki. Sektor yang lebih menguntungkan bagi peretas, seperti lembaga keuangan, juga merupakan target yang lebih besar. Triple-I mengutip industri perawatan kesehatan, dengan data pasien dan layanan kritisnya, dan produsen yang menggunakan teknologi operasional dan sistem kontrol industri untuk memantau dan mengelola proses dan mesin industri, di antara industri berisiko tinggi lainnya. Di Indonesia, sektor-sektor ini, termasuk perbankan, telekomunikasi, dan energi, adalah tulang punggung ekonomi yang sangat bergantung pada infrastruktur digital, menjadikan mereka target empuk. "Namun, apa pun yang terhubung ke internet adalah target," Glombicki menunjukkan.

Kapasitas Pasar dan Tren Premi Asuransi Siber

Kabar baiknya bagi pembeli multinasional, para penanggung dan reasuradur saat ini tidak menghadapi kendala kapasitas, sehingga premi masih menurun setelah hampir tiga kali lipat pada tahun 2021 dan 2022. Rory Egan mengatakan bahwa penurunan tarif sebesar 10% dari tahun ke tahun antara 2022 dan 2024 telah melambat menjadi 5% tahun ini. Pembeli korporat dapat memperkirakan pergerakan premi yang stabil hingga sedikit menurun jika tren klaim saat ini terus berlanjut. "Namun, tarif siber dapat berubah dengan cepat sebagai respons terhadap tren kerugian baru yang mungkin muncul," tambahnya.

Pain dari Geneva Association menyatakan bahwa tarif juga bisa meningkat seiring dengan meluasnya cakupan ke sektor dan negara lain, "karena kesadaran perusahaan dan individu tentang eksposur siber meningkat dan pengakuan akan tingkat underinsurance mereka tumbuh." Hal ini sangat relevan untuk Indonesia, di mana edukasi dan kesadaran risiko siber perlu terus digalakkan agar masyarakat dan korporasi lebih proaktif dalam melindungi diri.

Pain menunjukkan bahwa penanggung sangat bergantung pada reasuradur untuk mengurangi risiko siber puncak dan menghindari tekanan pada neraca keuangan mereka sendiri. Meskipun perkiraan bervariasi setiap tahun dan negara, Pain memperkirakan penanggung primer menyerahkan sekitar 50% premi siber mereka kepada reasuradur, jauh lebih banyak daripada lini asuransi lainnya. "Dan reasuradur tetap berhati-hati tentang skala kerugian yang dapat diakibatkan oleh insiden siber besar, termasuk kegagalan tunggal yang tidak disengaja," kata Pain, menunjuk insiden CrowdStrike pada Juli 2024 sebagai contoh. Insiden tersebut, di mana pembaruan konten tunggal dari perusahaan perangkat lunak keamanan siber CrowdStrike menyebabkan lebih dari 8,5 juta sistem lumpuh, termasuk ratusan perusahaan Fortune 1000, diperkirakan menelan biaya sekitar $1,5 miliar dalam pembayaran asuransi untuk gangguan bisnis, siber, dan kegagalan sistem. "Setiap pengumpulan insiden siber juga meningkatkan prospek bahwa reasuransi mungkin secara tidak terduga dipicu jika serangkaian insiden siber terjadi dalam satu periode perjanjian," kata Pain.

Untuk memenuhi permintaan pasar yang diantisipasi akan kapasitas yang lebih besar, para ahli mengatakan mekanisme transfer risiko alternatif dapat memainkan peran penting. Dalam sebuah laporan yang diterbitkan pada Desember 2024 oleh Geneva Association, "Catalysing Cyber Risk Transfer to Capital Markets: Catastrophe Bonds and Beyond," para penulis memeriksa bagaimana mekanisme transfer risiko alternatif ini, termasuk sekuritas terkait asuransi (ILS) seperti obligasi bencana siber, dapat membantu menyebarkan risiko-risiko ini ke pasar keuangan.

Meskipun keterlibatan di pasar ILS siber meningkat, para penulis mencatat bahwa minat investor terhambat oleh ketidakpastian terkait potensi eksposur siber skala besar, variasi dalam bahasa polis asuransi, dan kekhawatiran likuiditas. "Pertumbuhan pasar kemungkinan akan sangat bergantung pada kemampuannya untuk menarik modal tambahan di luar sektor asuransi dan reasuransi untuk menyerap potensi kerugian tak terduga," kata Pain. Ini menunjukkan bahwa untuk menghadapi sisi gelap AI dan risiko siber yang terus berkembang, kolaborasi antara sektor asuransi, reasuransi, dan pasar modal global, serta kesadaran yang lebih tinggi di Indonesia, akan menjadi kunci utama.