SINGAPURA – Media OutReach Newswire – Allianz Commercial mengungkapkan dalam laporan prospek risiko siber tahunannya, bahwa Klaim siber terus mengalami peningkatan selama setahun terakhir, sebagian besar didorong oleh peningkatan insiden pelanggaran data dan privasi.

Frekuensi klaim cyber yang besar (> € 1 juta) dalam enam bulan pertama tahun 2024 meningkat 14% sementara tingkat keparahan meningkat 17%, menurut analisis klaim perusahaan asuransi, setelah hanya terjadi peningkatan 1% dalam tingkat keparahan selama tahun 2023. Elemen terkait pelanggaran data dan privasi hadir dalam dua pertiga dari kerugian besar ini. Secara keseluruhan, jumlah total klaim siber pada tahun 2024 diperkirakan akan stabil, menyusul peningkatan frekuensi sebesar 30% selama tahun 2023, yang menghasilkan lebih dari 700 klaim.

“Semakin pentingnya kerugian akibat pembobolan data dalam klaim asuransi cyber didorong oleh sejumlah tren penting. Meningkatnya serangan ransomware termasuk eksfiltrasi data merupakan konsekuensi dari perubahan taktik penyerang dan meningkatnya ketergantungan antara organisasi yang berbagi lebih banyak data pribadi. Pada saat yang sama, lingkungan peraturan dan hukum yang terus berkembang telah meningkatkan apa yang disebut sebagai litigasi kelompok terkait privasi data yang tidak diserang, yang diakibatkan oleh insiden-insiden seperti pengumpulan dan pemrosesan data pribadi yang tidak benar – jumlah klaim ini telah meningkat tiga kali lipat nilainya hanya dalam waktu dua tahun,” urai Michael Daum, Global Head of Cyber Claims, Allianz Commercial, dalam rilisnya, Rabu (9/10/2024).

Klaim ‘Non-attack’ meningkat seiring dengan meningkatnya litigasi privasi

Meningkatnya klaim privasi data ‘non-penyerangan’ merupakan konsekuensi dari perkembangan teknologi, nilai komersial data pribadi yang terus meningkat, serta lanskap peraturan dan hukum yang terus berkembang. Sebagai contoh, tidak seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, peraturan privasi di AS tidak terlalu preskriptif dan terbuka untuk interpretasi, sementara pengacara penggugat haus akan sumber pendapatan potensial. Hal ini menciptakan area abu-abu yang matang untuk litigasi kelompok, tulis laporan tersebut.

“Kami melihat lebih banyak klaim pelanggaran privasi data di AS, di mana ada tren yang berkembang untuk litigasi kelompok (class action) terhadap perusahaan-perusahaan besar AS dan internasional yang terkait dengan pelanggaran privasi, seperti seputar persetujuan dan penggunaan data. Biaya dari beberapa klaim ini bahkan bisa lebih besar daripada insiden ransomware, yaitu ratusan juta dolar,” ujar Daum.

Khususnya dalam satu tahun terakhir, pelanggaran data telah muncul sebagai salah satu area dengan pertumbuhan tercepat dalam litigasi kelompok di Amerika Serikat. Lebih dari 1.300 gugatan diajukan di berbagai peraturan privasi data pada tahun 2023, lebih dari dua kali lipat jumlah gugatan yang diajukan pada tahun 2022 dan empat kali lipat jumlah gugatan pada tahun 2021, menurut firma hukum Duane Morris.

Beberapa tuntutan hukum kelompok telah diluncurkan terhadap organisasi di berbagai industri, termasuk perawatan kesehatan, media sosial, dan game, karena menggunakan alat pelacakan seperti Meta Pixel untuk memantau perilaku konsumen, sementara platform streaming hiburan juga menjadi sasaran, dengan tuduhan bahwa mereka mungkin telah melanggar hak-hak perlindungan privasi. Peristiwa pelanggaran data yang besar juga dapat berkembang menjadi litigasi yang sangat besar, dengan satu peristiwa yang memicu banyak gugatan perwakilan kelompok.

Lebih dari 240 tuntutan hukum yang terkait dengan pelanggaran data MOVEit tahun 2023 dikonsolidasikan ke dalam satu Litigasi Multidistrik pada Oktober 2023. Dan dengan jumlah penggugat yang banyak, ada insentif bagi para pihak di kedua belah pihak untuk menyelesaikannya. Penyelesaian class action pelanggaran data 10 besar tahun lalu mencapai $516 juta, peningkatan yang signifikan dibandingkan $350 juta yang tercatat pada tahun 2022.

Risiko litigasi pelanggaran data juga meningkat di Eropa. Meningkatnya kesadaran akan hak-hak perlindungan data, peningkatan ketersediaan pendanaan litigasi pihak ketiga, dan lingkungan litigasi yang lebih ramah konsumen dapat membuat klaim privasi data massal menjadi kenyataan, meskipun tidak dalam skala yang sama dengan Amerika Serikat, tulis laporan tersebut.

Perusahaan-perusahaan Asia tidak boleh berpuas diri

Di seluruh dunia, biaya rata-rata pelanggaran data mencapai titik tertinggi sepanjang masa pada tahun 2024 sebesar $4,9 juta. Sebagai perbandingan, rata-rata biaya pelanggaran data di Jepang, Korea Selatan, ASEAN, dan India masing-masing adalah $ 4,19 juta, $ 3,62 juta, $ 3,23 juta, dan $ 2,35 juta, menurut Laporan Biaya Pelanggaran Data IBM 2024.

“Meskipun tingkat keparahan kerugian di Asia relatif lebih rendah dibandingkan dengan wilayah lain, perusahaan harus tetap waspada karena ada peningkatan yang nyata dari insiden cyber di wilayah ini. Salah satu faktor penyebabnya adalah kematangan keamanan siber yang terus berkembang. Selain itu, sejumlah besar penyedia layanan teknologi outsourcing berlokasi di Asia, yang secara konstan menarik minat para pelaku ancaman. Tujuan dari vektor serangan rantai pasokan adalah untuk mendapatkan akses ke banyak korban,” kata Karlis Trops, Head of Cyber and Tech Professional Indemnity, Allianz Commercial Asia.

“Perusahaan-perusahaan di Asia dapat lebih memperkuat ketahanan dan kesiapsiagaan siber. Terlepas dari penerapan peraturan privasi dan undang-undang keamanan siber yang baru, serta pelaporan insiden keamanan siber yang diwajibkan oleh beberapa negara di kawasan ini dalam beberapa tahun terakhir, investasi dalam pengendalian keamanan siber oleh perusahaan-perusahaan di Asia pada umumnya masih tertinggal dibandingkan dengan rekan-rekan mereka di kawasan lain seperti Amerika Serikat dan Eropa.”

AI untuk mendukung dan mencegah pelanggaran privasi data di masa depan

Fakta bahwa hampir semua industri sekarang menggunakan kecerdasan buatan (AI) akan berdampak signifikan terhadap lanskap risiko siber dan privasi di masa depan. AI bergantung pada pengumpulan dan pemrosesan data dalam jumlah besar, termasuk informasi pribadi, kesehatan, dan biometrik, untuk melatih model AI dan membuat prediksi atau rekomendasi.

Namun, alat AI seperti chatbot dapat menimbulkan potensi risiko privasi, informasi yang salah, dan keamanan jika tidak dikelola dengan baik. Dengan banyaknya data yang dikumpulkan dan diproses, ada risiko data tersebut jatuh ke tangan yang salah, baik melalui peretasan atau pelanggaran keamanan lainnya. Ada juga kekhawatiran seputar potensi pelanggaran hukum privasi, seperti apakah organisasi memiliki persetujuan yang tepat untuk memproses data melalui AI.

Dari eksfiltrasi data hingga perlindungan data

Meskipun ada tren umum untuk peningkatan investasi dalam keamanan siber dalam beberapa tahun terakhir, banyak pelanggaran data, termasuk beberapa serangan siber eksfiltrasi data massal terbesar selama 18 bulan terakhir, merupakan hasil dari keamanan siber yang lemah di dalam organisasi dan/atau rantai pasokan mereka.

Insiden semacam itu dapat menyebabkan klaim besar yang melibatkan denda peraturan, biaya pemberitahuan, dan litigasi pihak ketiga, selain tuntutan pemerasan, biaya pihak pertama, dan gangguan bisnis.

“Industri asuransi juga harus meningkatkan fokusnya pada sisi privasi data dari risiko siber dan memiliki peran penting dalam menawarkan saran pencegahan dan mitigasi kerugian kepada bisnis mengenai area eksposur yang semakin penting ini,” kata Vanessa Maxwell, Global Head of Cyber and Financial Lines, Allianz Commercial. “Nilai dari asuransi cyber jauh melampaui pembayaran klaim. Asuransi membantu perusahaan untuk membuat kasus bisnis untuk investasi keamanan siber dan mengarahkan sumber daya mereka pada tindakan yang paling efektif.”

Risiko pembobolan data paling baik dimitigasi melalui kebersihan dunia maya yang baik, termasuk kontrol akses yang kuat, pemisahan basis data, pencadangan, penambalan dan pelatihan. Memiliki pengawasan yang lebih baik terhadap kelemahan siber dalam rantai pasokan mereka adalah area yang perlu ditingkatkan oleh banyak perusahaan.

“Kemampuan deteksi dini dan respons juga merupakan kunci. Sekitar dua pertiga dari pelanggaran biasanya dilaporkan oleh pihak ketiga atau oleh penyerang itu sendiri. Pelanggaran siber yang tidak terdeteksi dan diatasi secara dini dapat menjadi 1.000 kali lebih mahal daripada yang terdeteksi, selisih antara kerugian €20.000 menjadi €20 juta,” kata Rishi Baviskar, Global Head of Cyber Risk Consulting, Allianz Commercial.

“AI juga menjadi alat penting dalam memerangi serangan siber, karena dapat dengan cepat mengidentifikasi pelanggaran keamanan dan secara otomatis mengisolasi sistem dan basis data, serta memiliki potensi untuk secara signifikan mengurangi biaya dan siklus hidup klaim pelanggaran data dengan mengotomatiskan tugas-tugas, seperti forensik dan pemberitahuan, yang berpotensi menghemat jutaan dolar bagi perusahaan,” tutupnya.