Cyberthreat.id – Masih ingat tentang NotPetya?

Pada 2017, malware metamorfosis dari ransomware Petya yang muncul pada 2016 mulai menyebar ke seluruh dunia. NotPetya lebih merusak daripada pendahulunya, sama-sama menyamar sebagai perangkat lunak ransomware.

Dalam kiprah serangannya, wabilkhusus menyerang mesin Windows dengan exploit “EternalBlue”—NotPetya menyebabkan kerusakan global dengan nilai US$10 miliar, tulis The Record Media, Senin (31 Oktober 2022).

NoPetya mengenkripsi mesin korban juga meninggalkan pesan uang tebusan persis seperti ransomware, hanya saja, malware ini tidak dirancang untuk didekripsi alias tidak bisa dibuka seperti Petya.

Malware menggunakan exploit yang memungkinkan virus menyebar secara otomatis melalui jaringan. Pertama kali diidentifikasi muncul di perusahaan akuntansi Ukraina, lalu dengan cepat menyebar ke luar Ukraina untuk menghantam banyak negara dan perusahaan lain, termasuk Mondelez dan Merck.

Mondelez International, perusahaan di balik biskuit Oreo, Ritz, dan merek snack lain, baru-baru ini menyelesaikan masalah asuransi siber terkait NotPetya.

Mondelez terkena ransomware pada 2017. Mereka pun mengajukan klaim asuransi kepada Zurich American Insurance . Sialnya, klaim perusahaan untuk menutupi kerugian dari serangan siber—kerusakan 1.700 server dan 24.000 laptop—ditolak.

Perusahaan pun memilih jalur hukum. Pekan lalu, mereka mendapatkan hasil akhir atas klaim sebesar US$100 juta, tapi belum jelas bagaimana detailnya.

Sementara, juru bicara Zurich tak mau berkomentar banyak dan hanya mengatakan, “ Para pihak terkait telah menyelesaikan masalah tersebut bersama-sama,” katanya.

Menurut The Record, kasus tersebut tergolong rumit. Mondelez tidak mengeluarkan polis asuransi siber, justru polis properti yang dianggap perusahaan mencakup serangan siber.

Sementara, Zurich mengatakan bahwa kerusakan yang disebabkan NotPetya dikecualikan dari kebijakan tersebut. Alasannya: NotPetya sebagai “tindakan perang atau permusuhan oleh sebuah pemerintah atau kekuatan berdaulat”.

Perang?

Untuk memahami soal “perang” ini, kita tengok dulu kasus yang dialami Merck, perusahaan farmasi Amerika Serikat, yang juga mengalami serangan NotPetya pada 2017. Merck merugi lebih dari 40.000 komputer dan butuh waktu berbulan-bulan untuk pulih.

Terhitung kerugian yang dialami perusahaan US$1,4 miliar—mulai produksi, biaya sewa TI, dan pembelian alat baru. Dengan kondisi itu, Merck mencari cara untuk meminimalkan pengeluaran, berpalinglah mereka ke Ace American, perusahaan asuransi mereka.

Sayangnya, Ace menolak klaim yang diajukan. Ada klausul di perusahaan asuransi yang mengecualikan “Acts of War”. Ace berargumen kerusakan yang dialami Merck sebagai tindakan perang.

Padahal Merck memiliki polis asuransi “semua risiko” senilai US$1,75 miliar yang mencakup insiden kehilangan data terkait perangkat lunak.

Mengapa Ace berargumen seperti itu? Mereka berangkat dari pernyataan yang dikeluarkan pemerintah Amerika Serikat dan Inggris kala itu. Kedua negara itu menghubungkan malware NotPetya ke Rusia.

National Cyber Security Centre, pusat keamanan siber Inggris, menyatakan “militer Rusia bertanggung jawab atas serangan siber NotPetya pada Juni 2017” dengan sejumlah indikator yang ditemukan. Namun, Rusia membantah klaim tersebut.

Merck tak tinggal diam. Gugatan diajukan pada November 2019 dengan mengatakan klausul “Acts of War” tidak berlaku untuk serangan siber yang dialaminya.

Pada 13 Januari 2022, Merck menghela napas kepuasaan. Pengadilan Tinggi New Jersey mengabulkan gugatan dan memihak pada Merck. Hakim yang menangani itu menyatakan klausul pengecualian itu tidak berlaku.

Meski Ace mengetahui bahwa itu sebuah serangan siber, kata hakim, perusahaan tidak memperbarui bahasa dalam klausul pengecualian. “Karena tidak mengubah bahasa kebijakan, Merck memiliki hak untuk mengantisipasi bahwa kebijakan pengecualian hanya berlaku untuk perang tradisional (fisik, red),” ujar hakim Thomas J. Walsh dalam putusannya.

Keputusan yang diterima Mondelez dan Merck mengubah peta industri asuransi. Billy Gouveia, kepala eksekutif Surfire Cyber untuk bisnis respons insiden, mengatakan hasil akhir kedua perusahaan itu bakal mendorong pertumbuhan pasar asuransi siber.

Billy berpendapat risiko siber saat ini menjadi perhatian utama bisnis. Penting bagi organisasi untuk mempersiapkan dan melindungi diri, katanya.

Craig Dunn, Kepala Cyber M&A Insurance EMEA di AON, perusahaan asuransi terkemuka di Inggris, menjelaskan bahwa perusahaan asuransi Llyods of London baru-baru ini mengubah kebijakan pengecualian demi menyesuaikan kebutuhan pelanggan dan pasar asuransi.

Menurut Dunn, Llyods bersama sejumlah perusahaan lain hanya mengecualikan serangan negara-bangsa khususnya dari konflik bersenjata atau berdampak pada fungsi sebuah negara. “Singkatnya, tujuan utamanya tidak untuk mengecualikan insiden seperti Korea Utara meretas Sony pada 2014,” ujar Dunn.[]