Pada
tanggal 5 April 2016 lalu telah diselenggarakan In House Training (IHT) bagi
para anggota Asosiasi Ahli Pialang Asuransi dan Reasuransi Indonesia (APARI) bertempat di Auditorium Graha Wicaksana, Lembaga Administrasi Negara (LAN)
Jakarta. Lebih dari 200 orang anggota yang hadir.
Seminar
kali ini mengambil judul “Cyber Insurance – CyberEdge and Good Corporate
Governance” yang dibawakan oleh team dari AIG. Cyber insurance disampaikan oleh
Mega Manurung sementara Good corporate goverment oleh Alfredo Fernandez.
Berikut
ini catatan saya dari seminar ini:
Cyber
Insurance, CyberEdge
Sekitar
sebulan lalu ada berita yang menggemparkan dunia, sebagian masyarakat bisnis
pernah mendengarnya. Ada sebuah transaksi perbankan dari rekening milik
pemerintah Bangladesh di salah satu bank di Amerika mendapat instruksi dari
pemerintah Bangladesh untuk mentransfer dana dari rekening mereka ke beberapa
rekening di bank lain di Asia sejumlah hampir 500 juta dollar Amerika. Transfer
di buat dalam beberapa kali. Sebagian transfer sudah berhasil dan transfer yang
berikutnya gagal karena kode transfer yang diberikan salah. Kesalahan ini
menimbukan kecurigaan pihak bank dan setelah diselidiki ternyata semua
permintaan transfer itu bukan atas permintaan dari pemerintah Bangladesh akan
tetapi ulah dari penjahat cyber yang berhasil mendapatkan data-data rahasia.
Ini
bukanlah kejadian yang pertama. Sudah ada ratusan bahkan ribuan kasus serupa
yang terjadi. Ini menjadi resiko baru yang harus diantisipasi oleh masyarakat
karena semakin tingginya ketergantungan kita kepada penggunaan data elektronik
yang bisa diakses dan disalahgunakan oleh pihak lain yang tidak bertanggung
jawab.
Resiko
Cyber
Bermacam-macam
resiko yang tidak terlihat yang bisa menyebabkan kerugian bagi pihak pertama
atau pihak perusahaan maupun terhadap pihak ketiga sebagai pelanggan atau
pengguna jasa.
Bagaimana
hal itu bisa terjadi? Melalui penyalahgunaan informasi atau keamanan data atau
karena kurang memadainya system keamanan data atau jebolnya system keamanan
data akibat serangan dari cyber attack.
Informasi
seperti apa saja yang bisa terkena dampaknya? Semua data yang disimpan, semua
informasi yang dapat dikacaukan, diperbanyak, dijual termasuk informasi mengenai
data pelanggan, karyawan, pesaing dan lain sebagainya.
Jenis-jenis
cyber attack
Heckers,
Malwere, Virus, Denial of Service Attack, Phishing, Extortion dan juga Rouge
Employees yang mencuri dan menjual data perusahaan atau kelalaian karyawan.
Penjelasan
lebih lanjut mengenai cyber attack, adalah setiap jenis perlawanan, manuver
oleh perorangan ataupun kelompok yang menargetikan system komputer,
infrastruktur jaringan, jaringan komputer, atau komputer pribadi dengan
berbagai cara dan bentuk kejahaatan, yang biasanya serangan berasal dari sumber
yang tidak diketahui dengan berbagai cara seperti dengan mencuri, merubah, atau
menghancurkan target tertentu dengan menyerang kelemahan dari sebuah system.
Serangan
Cyber Attacks bisa terjadi dalam berbagai bentuk, antara lain:
·
Mendapatkan,
berusaha mendapatakan, akses data secara tidak sah sebuah system komputer atau
data
·
Gangguan
yang tidak diinginkan atau pemutusan hubungan dan layanan, atau mematikan
seluruh sytem web
·
Pemasangan
virus atau perusakan kode (Malwere) pada sembuah system komputer
·
Penggunaan
data system komputer yang tidak sah untuk proses atau penyimpanan data
·
Merubah
bentuk dan karektar hardware dan software dari system komputer tampa
sepengetahuan, tampa instruksi atau perhatian
dari pemiliknya
·
Penggunanan
sytem komputer yang tidak sempurna oleh karyawan atau mantan karyawan
Siapa
saja para pelaku cyber attacks?
·
Hackers
(pelaku kriminal dengan tujuan untuk mendapatkan keuntungan finansial
·
Hacketivist
(protes atau pesan-pesan politis
·
Careless
employees (kehilangan peralatan dan data, tanggapan terhadap pesan phishing dan
gagal dicuri)
·
Rogue
employees ( karyawan yang curang, yang kecewa yang bisa mencuri dan menjual
peralatan dan data)
Menurut
data, hackers merupakan penyebab paling besar terjadinya kerugian dengan
persentasi sebesar 31%. Diikuti oleh Malwere 14% dan oleh karyawan sebesar 11%.
Data
juga menunjukkan bahwa program Healthcare (perawatan kesehatan) merupakan obyek
yang paling banyak diserang dengan persentasi sebesar 21% diikuti oleh
jasa-jasa keuangan sebesar 17%. Kejadian paling sering terjadi pada sektor
retail
Ancaman
terhadap organisasi dan kemungkinan dampaknya.
Ada
tiga akibat yang dapat terjadi pertama ancaman (breach), kerusakan system
keamaan (security failure) dan terhadap pelanggan penyedia data (vendors).
Breach atau ancaman menyebabkan kebocoran, kontaminasi dan kerusakan data
rahasia. Bisa berupa data-data pribadi, data-data dan rahasia perusahaan, data
keamanan serta pemerasan.
Kegagalan
system akan mengakibatkan kegagalan saringan data tertanggung dan keamanan.
Terputusnya akses, hackking, malware, matinya infrastruktur, extorsi serta
pencurian barang dan data.
Pelanggan
penyedia data, clouds, data centers, outside providers, supply chain yang
semuanya bisa menyebabkan kerusakan yang sistemik dan kehilangan data
keseluruhan.
Ketika
system keamanan gagal, apa yang terjadi?
·
Karyawan
tidak dapat masuk ke dalam system sehingga akan menimbulkan kerugian akibat
dari kerusakan system
·
Pelanggan
tidak dapat memperoleh produk yang ditawarkan akibatnya terjadi penurunan
penjualan, biaya perbaikan infrastruktur dan kegagalan perjanjian-perjanjian
yang sudah ada
·
Menggangu
system supply chain dari pihak ketiga akibat ketidak tersediaan produk yang
seharusnya disediakan oleh anda dan bisa menimbulkan penalti akibat kegagalan
anda memenuhi isi perjanjian.
·
Biaya-biaya
yang tidak terduga antara lain biaya-biaya akibat terhentinya usaha, kerusakan
komponen penting dari komputer, mengupload ulang dan menyusun kembali softrware
yang rusak. Biaya yang dikeluarkan untuk mengganti data yang rusak dan hilang
·
Penururan
jumlah stock
·
Kehilangan
reputasi karena rusaknya brand image, hilangnya pelanggan penting, kehilangan
peluang bisnis, menghadapi tuntutan hukum dan lain-lain.
Secara
umum inilah dampak yang bisa terjadi:
·
Resiko
operasional
·
Resiko
keuangan
·
Resiko
kehilangan Hak Cipta
·
Resiko
reputasi
·
Resiko
hukum dan peraturan pemerintah
AIG
Cyberedge
Ketika
informasi rahasia dikompromikan atau sytem keamanan gagal, dampaknya terhadap
perusahaan bisa sangat serius dan berbiaya tinggi sekali. Untuk mengatasi hal
ini AIG menawarkan CyberEdge mulai krisis manajemen, investigasi hukum dan
biaya pemulihan reputasi. AIG bisa membantu, memindahkan dampak dari
kecurangan, sehingga perusahaan tetap bisa fokus untuk hal-hal yang lebih
besar.
CyberEdge
menyediakan jaminan atas klaim yang timbul dari pihak pertama maupun dari pihak
ketiga yang berasal dari kecurangan informasi dan keamanan data termasuk
jaminan tambahan seperti ganggunan jaringan, tanggung jawab media dan
pemerasan.
Biaya-biaya
yang mungkin timbul setelah kejadian
·
Proactive
forensic services. Biaya pendahuluan untuk mengumpul data-data guna mengetahui
apakah benar sudah terjadi pencurian data dan apa penyebabnya
·
Biaya
yang diperlukan untuk menentukan apakah data elektronik bisa diamankan atau
tidak, dibuat ulang, dicari, diamankan atau diperoleh kembali semua data yang
hilang
Biaya-biaya
yang mungkin terjadi untuk mengembalikan reputasi
·
Mengembalikan
reputasi perusahaan dan perorangan dengan mengganti biaya yang timbul akibat
kerusakan reputasi akibat tuntutan, kegagalan informasi pribadi, informasi
perusahaan, atau kegagalan keamanan data
Tuntutan
dari pihak ketiga kepada tertanggung
·
Tanggung
jawab hukum terhadap data-data pribadi
·
Tanggung
jawab hukum terhadap data-data perusahaan
·
Tanggung
jawab hukum terhadap biaya outsourcing akibat pelanggaran data pribadi dan perusahaan
oleh salah satu sumber outsourcing dimana perusahaan bertanggung jawab
·
Tanggung
jawab terhadap keamanan data
Media
content
Tanggung
jawab hukum yang timbul akibat pengumpulan, pembuatan, penyebaran, pencetakan, atau
pendistribusian dari media content, iklan, tulisan, video, digital electronic,
yang isinya menimbulkan pelanggaran, plagiat, pembajakakan atau penyalahgunaan
atau pencurian ide, fitnah, tuduhan yang dilakukan tampa kesekajaan atau
intrusi atau invasi.
Cyber
Extortion
setiap kerugian akibat pemaksaaan yang terjadi
akibat ancaman pada system keamanan.
Netowrk
interruptio insurance
Kehilangan
Pendapatan Bersih (keuntungan atau kerugian sebelum pajak) yang seharusnya bisa
diterima atau kesinambungan usaha sebagaimana seharusnya termasuk gaji sebagai
akibat kegagalan system keamanan
Pertimbangan
asuransi
·
Perihal
system, pemeliharaan system, standard keamanan, back up dan pusat data
·
Manajemen
resiko, cara penangan penyelewengan
·
Rencana
kelanjutan bisnis jika system terganggu
·
Hubungan
dengan perusahaan pengadaan, pengadaan system dalam kondisi kritis, pemeriksaan
standard system, kontrak antar para pihak
Proses
pembuatan penawaran
·
Proposal
form
·
Pemahaman
titik-tirik kritis dari system
·
Penerapan
Manajemen Resiko
·
Pemahaman
tentang masalah keuangan
Disarikan
dari bahan presentasi oleh,
Mhd.
Taufik Arifin, RFP, CIIB, APAI, SE
0 comments:
Post a Comment