Perusahaan asuransi siber dan regulator kini semakin berfokus pada keamanan identitas digital sebagai indikator utama dalam menilai risiko keamanan organisasi. Perubahan ini terjadi seiring meningkatnya jumlah serangan siber yang memanfaatkan akun karyawan yang telah dikompromikan. Data terbaru menunjukkan bahwa satu dari tiga serangan siber kini melibatkan kredensial pengguna yang berhasil dicuri atau disalahgunakan, menjadikan identity security sebagai salah satu faktor paling kritis dalam evaluasi risiko dan penentuan premi cyber insurance.
Perubahan ini mencerminkan realitas operasional di mana akun pengguna, bukan kerentanan perangkat lunak, sering menjadi titik masuk utama bagi penyerang. Setelah mendapatkan akses ke satu akun, penyerang dapat bergerak secara lateral, meningkatkan hak akses, dan mempertahankan keberadaan mereka dalam jaringan tanpa terdeteksi. Bagi perusahaan asuransi, kemampuan organisasi untuk mencegah atau membatasi dampak kompromi akun menjadi indikator langsung dari potensi kerugian finansial yang mungkin timbul akibat insiden keamanan.
Pentingnya keamanan identitas dalam penilaian cyber insurance juga dipicu oleh meningkatnya biaya pelanggaran data secara global. Pada tahun 2025, rata-rata biaya pelanggaran data mencapai $4,4 juta, mendorong lebih banyak organisasi untuk mencari perlindungan finansial melalui cyber insurance. Di Inggris, tingkat adopsi cyber insurance meningkat dari 37 persen pada tahun 2023 menjadi 45 persen pada tahun 2025. Namun, peningkatan klaim yang diajukan juga memaksa perusahaan asuransi untuk memperketat standar underwriting mereka, dengan fokus khusus pada kontrol keamanan identitas.
Dalam konteks ini, identity posture atau postur keamanan identitas organisasi menjadi parameter utama. Identity posture mencakup berbagai aspek, termasuk praktik pengelolaan password, implementasi multi-factor authentication (MFA), serta pengelolaan akun dengan hak akses tinggi atau privileged accounts. Faktor-faktor ini membantu menentukan seberapa mudah penyerang dapat meningkatkan hak akses setelah mendapatkan kredensial awal.
Salah satu aspek penting yang mendapat perhatian khusus adalah password hygiene. Meskipun banyak organisasi mulai mengadopsi MFA dan metode autentikasi tanpa password, password tetap menjadi komponen inti dalam sistem autentikasi modern. Praktik seperti penggunaan ulang password di berbagai akun meningkatkan risiko secara signifikan. Jika satu password berhasil dicuri, penyerang dapat mencoba menggunakannya di berbagai sistem lain untuk memperluas akses mereka.
Masalah lain yang sering ditemukan adalah keberadaan akun lama yang tidak lagi digunakan tetapi masih aktif. Akun dormant ini sering luput dari pengawasan, namun tetap memiliki kredensial valid dan hak akses tertentu. Bagi penyerang, akun semacam ini merupakan titik masuk ideal karena kecil kemungkinan aktivitasnya terdeteksi. Demikian pula, service account dengan password yang tidak pernah kedaluwarsa menciptakan jalur akses jangka panjang yang sulit dilacak.
Selain itu, penggunaan kredensial administratif yang dibagikan di antara beberapa pengguna juga meningkatkan risiko. Praktik ini mengurangi akuntabilitas dan membuat investigasi insiden menjadi lebih sulit. Dari perspektif asuransi, organisasi yang tidak dapat menunjukkan kontrol ketat terhadap kredensial administratif dianggap memiliki risiko lebih tinggi.
Pengelolaan privileged access juga menjadi indikator penting dalam penilaian risiko. Akun dengan hak administratif memiliki kemampuan untuk mengakses sistem kritis, mengubah konfigurasi, dan membaca data sensitif. Jika akun semacam ini dikompromikan, dampaknya dapat meluas dengan cepat ke seluruh infrastruktur organisasi. Oleh karena itu, perusahaan asuransi mengevaluasi bagaimana organisasi mengontrol dan memantau akun privileged, termasuk administrator domain, administrator cloud, dan service account dengan hak akses tinggi.
Masalah umum yang sering ditemukan adalah pemberian hak akses administratif permanen yang tidak diperlukan. Hak akses yang berlebihan memperbesar kemungkinan privilege escalation, di mana penyerang dapat memperoleh kontrol penuh atas sistem hanya dengan mengompromikan satu akun. Dari perspektif underwriting, risiko meningkat secara signifikan jika satu akun yang dikompromikan dapat dengan cepat memperoleh hak administrator tanpa hambatan tambahan.
Implementasi multi-factor authentication juga menjadi faktor penentu dalam evaluasi cyber insurance. MFA menambahkan lapisan keamanan tambahan dengan mengharuskan pengguna memberikan bukti autentikasi tambahan selain password. Namun, efektivitas MFA bergantung pada konsistensi implementasinya. Banyak organisasi mengklaim telah mengimplementasikan MFA, tetapi tidak menerapkannya secara menyeluruh pada semua sistem kritis.
Kasus nyata yang mencerminkan pentingnya MFA terjadi pada City of Hamilton, yang dilaporkan tidak menerima klaim cyber insurance sebesar $18 juta setelah serangan ransomware karena MFA tidak diterapkan secara penuh pada sistem yang terdampak. Insiden ini menunjukkan bahwa keberadaan MFA saja tidak cukup; implementasi harus mencakup semua sistem penting, termasuk akses jarak jauh, email, dan akun administratif.
Meskipun MFA bukan solusi sempurna, mekanisme ini secara signifikan meningkatkan tingkat kesulitan bagi penyerang. Serangan seperti MFA fatigue tetap memerlukan kredensial valid sebagai langkah awal, dan keberhasilan serangan tersebut bergantung pada kesalahan pengguna dalam menyetujui permintaan autentikasi yang mencurigakan. Tanpa kredensial awal, serangan semacam ini tidak dapat dilakukan.
Perusahaan asuransi kini secara khusus mencari bukti bahwa MFA diterapkan pada semua akun dengan hak akses tinggi dan sistem kritis. Organisasi yang gagal memenuhi standar ini sering menghadapi premi yang lebih tinggi atau pembatasan cakupan asuransi. Hal ini mencerminkan pergeseran dalam pendekatan manajemen risiko, di mana kontrol identitas dianggap sebagai garis pertahanan utama.
Selain MFA dan password hygiene, perusahaan asuransi juga menilai praktik audit akses secara berkala. Audit ini membantu memastikan bahwa hak akses pengguna sesuai dengan peran mereka saat ini. Akses yang tidak lagi relevan, seperti hak administratif yang diberikan kepada karyawan yang telah berpindah peran, meningkatkan risiko keamanan.
Perubahan dalam pendekatan underwriting ini menunjukkan bahwa keamanan identitas bukan lagi sekadar masalah teknis, tetapi juga faktor finansial. Kemampuan organisasi untuk menunjukkan kontrol identitas yang kuat dapat secara langsung mempengaruhi premi cyber insurance yang mereka bayar. Organisasi dengan kontrol identitas yang matang cenderung dianggap memiliki risiko lebih rendah, yang dapat menghasilkan premi yang lebih rendah dan cakupan yang lebih luas.
Bagi organisasi, implikasinya jelas. Keamanan identitas kini menjadi komponen inti dalam strategi manajemen risiko. Pengelolaan kredensial, implementasi MFA yang komprehensif, dan kontrol ketat terhadap akun privileged tidak hanya melindungi sistem dari serangan, tetapi juga mempengaruhi bagaimana risiko organisasi dinilai oleh pihak eksternal.
Perubahan ini juga mencerminkan evolusi lanskap ancaman siber. Penyerang semakin fokus pada eksploitasi identitas karena metode ini sering lebih efektif daripada mengeksploitasi kerentanan teknis. Dengan menggunakan kredensial yang valid, penyerang dapat menghindari banyak mekanisme deteksi tradisional.
Sebagai respons, perusahaan asuransi menyesuaikan model risiko mereka untuk mencerminkan realitas ini. Alih-alih hanya mengevaluasi kontrol keamanan jaringan tradisional, mereka kini memprioritaskan keamanan identitas sebagai indikator utama ketahanan organisasi terhadap serangan siber.
Bagi organisasi yang ingin mengurangi risiko dan mendapatkan perlindungan asuransi yang optimal, fokus pada keamanan identitas menjadi semakin penting. Praktik seperti rotasi password secara berkala, pembatasan hak akses administratif, dan implementasi MFA secara menyeluruh bukan lagi sekadar rekomendasi keamanan, tetapi telah menjadi persyaratan operasional yang mempengaruhi stabilitas finansial organisasi.
Perkembangan ini menandai pergeseran fundamental dalam cara risiko keamanan siber dinilai dan dikelola. Identity security kini berada di pusat strategi keamanan modern, bukan hanya sebagai mekanisme perlindungan teknis, tetapi sebagai faktor utama dalam menentukan bagaimana organisasi dilihat oleh perusahaan asuransi dan regulator.
.png)
.png "Image by <a href=\"https://pixabay.com/users/geralt-9301/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=4389372\">Gerd Altmann</a> from <a href=\"https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=4389372\">Pixabay</a>")
.png)
.png)
