Cyber Cat Bond & AI: Cara Baharu Pindah Risiko Siber

Pada 15/12/2025, Beazley melengkapkan penerbitan bon bencana siber (cyber catastrophe bond) bernilai AS$300 juta. Ini bukan sekadar berita “pasaran modal masuk insurans”. Ini isyarat jelas bahawa risiko siber semakin dianggap setaraf bencana—dan industri sedang mencari cara yang lebih matang untuk memindahkan risiko apabila had kapasiti tradisional (insurans dan reinsurans) mula terasa ketat.

Yang menarik, langkah Beazley ini datang dengan dua nombor yang sukar diabaikan: mereka kini mempunyai AS$670 juta bon bencana siber yang aktif, dan lebih AS$1 bilion perlindungan excess-of-loss untuk siber. Pada masa yang sama, pasaran insurance-linked securities (ILS) juga sedang “membesar badan”: sehingga 30/06/2025, modal reinsurans alternatif dianggarkan sekitar AS$121 bilion, dan 45% daripadanya ialah cat bond, dengan cat bond tertunggak pada paras rekod sekitar AS$56 bilion.

Dalam siri “AI dalam Insurans dan Pengurusan Risiko”, saya lihat cyber cat bond ini sebagai contoh paling praktikal tentang bagaimana AI, pemodelan risiko, dan peruntukan modal mula bertemu. Cyber risk bukan macam banjir yang kita boleh petakan dengan data geografi semata-mata. Ia lebih ‘hidup’: ancaman berubah, rantaian vendor saling berhubung, dan insiden boleh merebak serentak. Jadi, kalau kita nak bawa risiko seperti ini ke pasaran modal, kita perlukan disiplin data yang lebih tinggi—di sinilah AI benar-benar ada peranan.

Apa sebenarnya cyber cat bond—dan kenapa ia makin relevan?

Cyber cat bond ialah instrumen ILS yang membolehkan syarikat insurans memindahkan sebahagian risiko siber kepada pelabur pasaran modal. Jawapan ringkasnya: insurer bayar kupon kepada pelabur; jika berlaku peristiwa siber yang memenuhi syarat pencetus (trigger), sebahagian pokok bon digunakan untuk menampung kerugian.

Perbezaan besar berbanding reinsurans biasa ialah sumber modal. Reinsurans bergantung pada kapasiti industri reinsurans; cat bond membuka pintu kepada kolam modal yang lebih luas, termasuk pelabur institusi.

Kenapa “systemic cyber events” menakutkan pasaran?

Risiko siber sistemik ialah insiden yang memberi kesan serentak kepada banyak organisasi—contohnya gangguan meluas pada perisian kritikal, penyedia awan, identiti, atau pembekal rantaian bekalan digital. Dalam bahasa mudah: sekali kena, ramai kena.

Itu yang membuatkan risiko siber sukar ditanggung secara tradisional. Korporat berkongsi vendor, platform, dan ekosistem yang sama. Hubungan ini mencipta “korelasi” kerugian—sesuatu yang pelabur dan underwriter sangat ambil berat.

Apa yang Beazley buat: struktur 144A, SPV Bermuda, dan 3 sub-layer

Beazley menerbitkan bon baharu ini sebagai isu 144A melalui kenderaan tujuan khas (SPV) yang berpangkalan di Bermuda, dinamakan PoleStar Re Ltd 2026-1. Fokus perlindungan ialah insiden siber katastrofik yang jarang berlaku tetapi berimpak tinggi, termasuk komponen sistemik.

Yang paling menonjol: bon ini disusun kepada tiga sub-layer dalam satu transaksi, dengan tempoh tiga tahun hingga hujung 2028. Untuk pembaca yang tak hidup dalam dunia struktur risiko, begini gambaran ringkasnya:

• Layer ialah “tingkat” kerugian: kerugian kecil ditangani sendiri, kerugian besar masuk ke layer perlindungan.
• Sub-layer membahagikan perlindungan kepada beberapa tingkat yang lebih halus.

Kesan praktikalnya: insurer boleh memadankan perlindungan dengan profil kerugian yang berbeza—bukan sekadar beli satu blok perlindungan yang mungkin terlalu mahal atau tak kena pada tempatnya.

Satu ayat yang saya suka untuk bawa pulang: Struktur berlapis menjadikan pemindahan risiko lebih tepat, dan ketepatan itu biasanya bermakna kos modal yang lebih sihat.

Apa kaitan semua ini dengan AI dalam insurans?

Cyber cat bond hanya akan berkembang jika pasaran yakin terhadap tiga perkara: data, model, dan ketelusan pendedahan. AI membantu ketiga-tiganya.

1) AI memperkemas pemodelan risiko siber untuk peruntukan modal

Untuk bawa risiko ke pelabur, insurer perlu menjawab soalan keras: “Apakah taburan kerugian? Berapa kebarangkalian ekor tebal (tail risk)? Apa pendedahan agregat?”

AI (terutamanya gabungan machine learning + analitik rangkaian) boleh membantu dengan:

• Pemodelan korelasi merentas sektor dan vendor (contoh: banyak insured bergantung pada penyedia identiti yang sama).
• Pembelajaran pola insiden daripada data telemetri keselamatan, log, dan laporan ancaman.
• Simulasi senario sistemik yang lebih realistik melalui data hubungan rantaian bekalan digital.

Dalam praktik, AI bukan menggantikan aktuari. AI menambah “deria” pada model—lebih cepat mengesan perubahan pola ancaman dan mengemas kini parameter.

2) AI menaikkan kualiti underwriting siber (dan itu menguatkan ILS)

Underwriting siber sering gagal bukan kerana orang tak pandai, tetapi kerana maklumat tak seragam. Dua syarikat nampak sama pada borang, tetapi berbeza jauh dari segi konfigurasi keselamatan.

AI membantu menstandardkan input underwriting melalui:

• Skor postur keselamatan berasaskan pemerhatian (contoh: pendedahan permukaan serangan, amalan MFA, pengurusan tampalan).
• Pengelasan risiko automatik mengikut industri dan seni bina IT.
• Penilaian kebarangkalian insiden dan jangkaan kos tuntutan.

Bila underwriting lebih tepat, portfolio lebih stabil. Portfolio lebih stabil ialah prasyarat untuk pelabur menerima risiko melalui cat bond.

3) AI mengesan penipuan & mempercepat tuntutan—mengurangkan ‘loss creep’

Dalam insiden siber, kos boleh “membengkak” selepas kejadian: perunding forensik, notifikasi pihak ketiga, guaman, gangguan perniagaan, tebusan, pemulihan sistem. AI membantu mengawal pembengkakan ini dengan:

• Mengesan pola tuntutan luar biasa (indikasi penipuan atau pembekal yang mengenakan caj berlebihan).
• Mengutamakan kes dengan kebarangkalian litigasi tinggi.
• Menyaran langkah mitigasi yang mengurangkan masa henti.

Ini penting untuk struktur ILS kerana pelabur menilai bukan sahaja kebarangkalian kejadian, tetapi juga ketidakpastian saiz kerugian.

Kenapa pelabur sanggup beli risiko siber?

Jawapan paling jujur: pulangan dan kepelbagaian (diversification)—selagi mereka percaya struktur dan modelnya.

Data pasaran menunjukkan cat bond memberikan pulangan yang menarik: menurut data Aon Securities, cat bond menghantar sekitar 14.1% pulangan untuk 12 bulan berakhir Jun 2025, dengan purata tahunan teranuiti 11.8% bagi bon tertunggak. Apabila prestasi aset sebegini kukuh, permintaan cenderung kekal.

Namun, risiko siber bukan risiko taufan. Pelabur akan bertanya:

• Adakah trigger jelas dan sukar dimanipulasi?
• Sejauh mana risiko agregat tersembunyi (hidden accumulation)?
• Seberapa cepat model dikemas kini bila lanskap ancaman berubah?

Dan sekali lagi, banyak jawapan bergantung pada keupayaan analitik—AI termasuk di dalamnya.

Apa maksud trend ini untuk syarikat di Malaysia dan Asia Tenggara?

Walaupun transaksi ini berlaku di pasaran global, implikasinya dekat dengan rantau kita, terutamanya bila banyak organisasi sedang menutup tahun kewangan dan merancang bajet 2026.

1) Harga dan syarat cyber insurance akan semakin berkait dengan bukti kawalan

Jika insurer boleh memindahkan risiko melalui ILS dengan lebih yakin, mereka akan lebih berani menawarkan kapasiti. Tetapi sebagai balasan, mereka akan meminta bukti yang lebih kuat:

• log MFA dan polisi akses
• status tampalan kritikal
• pelan pemulihan bencana dan ujian berkala
• inventori vendor dan ketergantungan awan

Syarikat yang hanya bergantung pada “tick-box compliance” akan membayar lebih mahal.

2) Pengurusan risiko perlu fikir “modal”, bukan sekadar “poli si”

Saya sering lihat organisasi bercakap tentang insurans siber seolah-olah ia produk semata-mata. Hakikatnya, insurans ialah sebahagian daripada strategi pembiayaan risiko.

Dengan kemunculan instrumen seperti cyber cat bond, perbualan akan bergerak kepada:

• berapa retention optimum?
• bila nak beli excess-of-loss?
• bagaimana nak kurangkan volatiliti kerugian tahunan?

AI boleh bantu CFO dan risk manager membuat keputusan ini secara lebih kuantitatif.

3) Vendor risk akan jadi ‘isu meja besar’

Risiko sistemik banyak berpunca daripada vendor bersama. Organisasi yang serius akan membina vendor risk map—dan AI boleh mengautomasikan pemetaan hubungan vendor, menilai tahap kritikal, dan mensimulasikan impak jika vendor tertentu gagal.

Soalan lazim (yang orang akan cari di Google) tentang cyber cat bond

Adakah cyber cat bond sama dengan reinsurans?

Tidak sama, tetapi fungsinya serupa: kedua-duanya memindahkan risiko. Bezanya, cat bond memindahkan risiko kepada pelabur pasaran modal melalui struktur sekuriti.

Kenapa guna struktur berlapis (sub-layer)?

Kerana kerugian siber boleh datang dalam “bentuk” berbeza. Sub-layer membolehkan perlindungan disusun mengikut julat kerugian tertentu, membantu kos dan ketepatan.

Di mana AI paling kuat membantu untuk risiko siber?

Pada tiga tempat: pemodelan risiko agregat, standardisasi data underwriting, dan pengurusan tuntutan berasaskan analitik.

Apa yang patut anda buat selepas membaca ini (langkah praktikal)

Jika anda berada dalam insurans, broker, atau pengurusan risiko korporat, ini tiga tindakan yang saya cadangkan untuk awal 2026:

1. Audit data risiko siber yang anda ada: bukan setakat polisi—tetapi data kawalan sebenar (MFA, EDR, backup, patching).
2. Bina peta ketergantungan vendor: senaraikan vendor kritikal, platform awan, identiti, dan integrasi utama.
3. Mulakan projek AI yang kecil tetapi tajam: contohnya model pemarkahan risiko vendor atau triage tuntutan siber. Fokus pada satu metrik yang boleh diukur (masa proses, kos tuntutan, kadar insiden).

Beazley sudah menunjukkan hala tuju: risiko siber sedang dipakejkan dengan disiplin pasaran modal. Organisasi yang bersedia dengan data dan analitik akan mendapat akses kepada perlindungan yang lebih baik—dan biasanya pada harga yang lebih rasional.

Kalau trend ini berterusan, soalan besar untuk 2026 bukan lagi “adakah kita perlu insurans siber?”, tetapi “adakah data dan AI kita cukup kuat untuk mendapat terma terbaik—dan untuk bertahan bila insiden sistemik benar-benar berlaku?”