Harga Insurans Siber Menurun, Tuntutan Masih Menekan

Premium insurans siber memang sudah “sejuk” berbanding kemuncak 2020–2022. Tapi kalau anda fikir itu tanda risiko siber dah reda, itu silap yang mahal. Realitinya, kekerapan tuntutan (data breach, ransomware, gangguan operasi) masih tinggi—dan itulah sebab margin penanggung insurans terus tertekan walaupun harga nampak lebih mesra pembeli.

Saya suka anggap situasi ini macam “diskaun hujung tahun”: ramai organisasi mula beli semula had perlindungan yang pernah dipotong ketika pasaran keras. Pada masa yang sama, syarikat insurans pula tak boleh ulang kesilapan lama—polisi murah, soalan underwriting longgar, kemudian tuntutan melimpah.

Untuk siri “AI dalam Insurans dan Pengurusan Risiko”, artikel ini sesuai dijadikan kajian kes: apabila harga turun tetapi tuntutan kekal tinggi, AI boleh jadi pemisah antara buku perniagaan yang sihat dengan yang bocor—terutamanya melalui pemodelan risiko, harga dinamik, dan pengurusan tuntutan yang lebih cekap.

Mengapa harga turun, tapi margin masih sakit?

Jawapan ringkas: harga premium turun kerana pasaran semakin yakin, tetapi kerugian (loss) belum turun pada kadar yang sama. Ini mewujudkan tekanan langsung pada loss ratio dan combined ratio.

Selepas 2022, ramai penanggung insurans “mengetatkan semula” portfolio—lebih teliti pada kawalan keselamatan, proses sandaran, MFA, pengurusan tampalan, dan pelan tindak balas insiden. Hasilnya:

• Risiko dipilih dengan lebih baik
• Kapasiti bertambah (lebih ramai pemain masuk)
• Persaingan meningkat, lalu harga premium menurun

Masalahnya, ancaman tak menunggu pasaran stabil. Ransomware masih menguntungkan penjenayah, social engineering makin licik, dan rantaian bekalan digital (vendor/third-party) terus jadi pintu masuk.

“Pasaran boleh melembut, tapi landskap ancaman tak semestinya turut ‘lembut’.”

Dalam konteks pengurusan risiko, ini penting untuk pembeli dan penanggung insurans: harga semasa bukan petunjuk utama tahap risiko semasa.

Pembeli mula naikkan had: peluang, tapi ada perangkap

Jawapan terus: penurunan premium mengubah tingkah laku pembelian—ramai organisasi menaikkan semula had (limits) yang pernah diturunkan.

Dalam tempoh pasaran keras, banyak syarikat:

• Kurangkan had daripada 40 juta kepada 20 juta
• Naikkan retention/deductible
• Hadkan skop perlindungan tertentu kerana kos

Bila harga reda, pembeli kembali membeli had lebih besar. Ini logik: kos turun, risiko kekal, dan serangan siber bukan lagi isu IT semata-mata—ia isu kelangsungan perniagaan.

Risiko sebenar bila had naik tetapi pemahaman polisi rendah

Masalah lazim yang saya nampak: pembeli sangka insurans siber hanya untuk ransomware atau kebocoran data. Padahal banyak polisi siber moden juga menyentuh komponen seperti:

• Gangguan perniagaan digital (business interruption)
• Kos forensik & pemulihan sistem
• Pengurusan krisis & komunikasi
• Tuntutan pihak ketiga (liabiliti)
• Kos pematuhan/penyiasatan (bergantung terma)

Bila organisasi tak faham skop, dua perkara berlaku:

1. Mereka beli had yang tak sepadan dengan pendedahan sebenar
2. Mereka kecewa ketika tuntutan kerana jangkaan tak selari dengan wordings

Di sinilah broker, risk manager, dan penanggung insurans sebenarnya boleh menambah nilai—bukan sekadar “jual had”, tetapi bina kefahaman risiko-ke-kos.

Pengajaran besar pasca-2022: salah tanya soalan, salah harga polisi

Jawapan terus: sebahagian kerugian besar era 2020–2022 datang daripada underwriting yang gagal mengukur risiko dengan soalan yang tepat.

Apabila soalan underwriting terlalu umum—atau hanya “tick-the-box”—risiko sebenar terlepas pandang. Contohnya, dua syarikat boleh sama-sama jawab “ya, kami ada backup”, tetapi realiti berbeza:

• Syarikat A: backup offline/immutable, diuji pemulihan setiap bulan
• Syarikat B: backup dalam rangkaian sama, tak pernah diuji

Kedua-duanya “ada backup”, tetapi kebarangkalian kerugian jauh berbeza.

Di sinilah AI patut masuk (dan saya berpendapat ia wajib)

AI bukan hiasan. Dalam insurans siber, AI boleh menjadikan underwriting:

• Lebih konsisten (kurang variasi antara underwriter)
• Lebih tepat (menggabungkan data keselamatan, industri, dan sejarah insiden)
• Lebih pantas (keputusan awal dalam minit, bukan hari)

Antara aplikasi praktikal AI yang relevan:

1. Pemodelan risiko siber (cyber risk scoring) berdasarkan isyarat seperti pendedahan permukaan serangan, amalan identiti (MFA), posture tampalan, dan konfigurasi awan.
2. Analisis dokumen automatik (policy, laporan audit, soal selidik) untuk mengesan percanggahan atau jawapan berisiko tinggi.
3. Harga dinamik (data-driven pricing) yang mengelakkan perangkap “harga turun ikut pasaran” tanpa mengambil kira trend tuntutan.

Bagi saya, frasa yang patut jadi prinsip pasaran: “Jangan murah tanpa bukti kawalan.”

Tuntutan masih tinggi: AI dalam pengurusan tuntutan bukan pilihan tambahan

Jawapan terus: apabila tuntutan terus menekan margin, kecekapan dan ketepatan pengurusan tuntutan menentukan keuntungan.

Dalam tuntutan siber, kos naik bukan sahaja kerana wang tebusan. Kos besar biasanya datang daripada:

• Masa henti operasi (downtime)
• Kegagalan pemulihan sistem
• Skop pendedahan data yang luas
• Kos vendor forensik, peguam, PR, dan pemulihan

4 cara AI mengurangkan kos tuntutan tanpa “menyusahkan” pelanggan

1. Triaging tuntutan automatik

   • Klasifikasi insiden (ransomware, BEC, data breach, third-party)
   • Penentuan segera tahap keterukan
   • Rujukan pantas kepada panel vendor yang sesuai

2. Pengesanan penipuan & tuntutan bermasalah

   • Corak invois vendor yang tidak munasabah
   • Tuntutan berulang dengan indikator serupa
   • Ketidakselarasan garis masa insiden

3. Cadangan tindakan pemulihan berasaskan data

   • “Playbook” yang dipadankan dengan profil syarikat, industri, dan jenis serangan
   • Keutamaan langkah yang memberi impak paling cepat pada pemulihan operasi

4. Analitik punca akar (root cause analytics)

   • Mengenal pasti kawalan yang gagal (contoh: MFA tidak dilaksana pada akaun pentadbir)
   • Menyambung dapatan tuntutan ke pembaharuan polisi (renewal) dan syarat pembaikan

Ini sebabnya kematangan AI dalam tuntutan berkait terus dengan loss ratio. Bukan sekadar automasi—tetapi pembelajaran daripada setiap insiden.

AI dan risiko baharu: banyak sudah diliputi, tetapi model risikonya belum matang

Jawapan terus: banyak polisi siber/teknologi sudah “boleh bertindak balas” kepada insiden berkaitan AI, tetapi cara kita mengukur pendedahan AI masih lemah.

Contoh pendedahan yang makin relevan pada 2025:

• Kebocoran data melalui penggunaan alat AI oleh pekerja (upload dokumen dalaman)
• Prompt injection atau manipulasi model dalam aplikasi pelanggan
• Pelanggaran hak cipta atau penggunaan data latihan yang dipertikai
• Risiko vendor (AI pihak ketiga) yang tertanam dalam produk

Ramai penanggung insurans mengambil pendekatan “tunggu dan lihat”. Saya faham kenapa—kerangka liabiliti AI masih berkembang. Tetapi dari sudut pengurusan risiko, menunggu tanpa membina data dalaman ialah langkah yang rugi.

Cara praktikal menilai pendedahan AI (untuk underwriting & risk manager)

Gunakan 3 soalan ini sebagai asas:

1. Di mana AI digunakan dalam proses kritikal? (jualan, khidmat pelanggan, kelulusan kredit, automasi tuntutan)
2. Data apa yang masuk dan keluar? (PII, data kewangan, IP, rekod pelanggan)
3. Siapa vendor dan apakah kawalan kontrak? (audit, lokasi data, logging, incident notification)

AI boleh bantu mengumpul jawapan ini secara sistematik, kemudian memetakan kepada pendedahan kewangan: downtime, liabiliti pihak ketiga, dan kos pemulihan.

Berapa banyak had patut dibeli? Jawapan yang lebih jujur daripada “ikut saiz syarikat”

Jawapan terus: saiz syarikat bukan penentu utama; pendedahan digital dan kebergantungan operasi adalah penentu sebenar.

Syarikat kecil boleh mempunyai pendedahan besar jika:

• Memproses pembayaran dalam jumlah tinggi
• Menyimpan PII pelanggan yang sensitif
• Bergantung 100% pada sistem online untuk hasil
• Ada integrasi vendor yang luas

Sebaliknya, syarikat besar mungkin pendedahan lebih terkawal jika sistemnya bersegmen, ada pelan pemulihan diuji, dan pemantauan keselamatan matang.

Kaedah 5 langkah (mudah, tetapi ketat) untuk tentukan had

1. Kira kos downtime harian (hasil hilang + kos operasi + penalti kontrak)
2. Anggarkan tempoh pemulihan realistik (bukan harapan—guna data ujian DR)
3. Senaraikan senario kerugian terbesar (ransomware + exfiltration, BEC, vendor outage)
4. Tetapkan had berdasarkan senario 1-dalam-10 tahun (bukan senario “biasa-biasa”)
5. Semak semula setiap 6–12 bulan kerana aset digital dan vendor berubah cepat

AI boleh mempercepat langkah (1) hingga (4) dengan menarik data operasi, corak transaksi, dan pergantungan sistem—kemudian mensimulasikan kerugian.

Apa yang patut dibuat sekarang (Disember 2025): panduan ringkas untuk 90 hari

Jawapan terus: gunakan “pasaran yang lebih lembut” untuk memperbaiki struktur risiko, bukan sekadar membeli had lebih tinggi.

Untuk pembeli (CFO, CIO, risk manager):

• Audit MFA: pastikan akaun admin dan akses jauh diwajibkan
• Uji pemulihan backup: tetapkan KPI masa pemulihan (RTO/RPO) yang nyata
• Semak vendor kritikal: siapa boleh “menjatuhkan” operasi anda dalam 24 jam?
• Semak polisi siber: senarai apa yang dilindungi selain ransomware/breach

Untuk broker & penanggung insurans:

• Gunakan AI untuk pre-underwriting: skor risiko sebelum quote
• Selaraskan harga dengan trend tuntutan, bukan sentimen pasaran semata-mata
• Bentuk program risk engineering ikut segmen (SME vs mid-market vs enterprise)
• Bina gelung maklum balas tuntutan → underwriting (ini paling kerap gagal)

Penutup: pasaran lembut bukan alasan untuk longgar

Harga insurans siber yang menurun memberi ruang bernafas—tetapi tuntutan yang berterusan ialah peringatan: risiko siber masih aktif, dan margin insurans masih rapuh. Bila pasaran berlumba menurunkan premium, disiplin underwriting dan kecekapan tuntutan akan menentukan siapa kekal untung.

Dalam siri “AI dalam Insurans dan Pengurusan Risiko”, saya melihat satu hala tuju yang jelas: AI mesti digunakan untuk mengelakkan polisi terlebih murah, mempercepat tindak balas tuntutan, dan mengaitkan setiap insiden kepada pembaikan risiko yang boleh diukur.

Kalau organisasi anda sedang mempertimbangkan untuk menaikkan had atau memasuki pasaran insurans siber buat kali pertama, soalan yang patut ditanya bukan “berapa premium sekarang?”—tetapi “adakah kita faham pendedahan sebenar, dan adakah data kita cukup untuk menetapkan harga dan had yang tepat?”