Keamanan siber dengan cepat menjadi risiko global teratas berdasarkan dampak dan kemungkinannya, seiring dengan perubahan iklim dan konflik geopolitik. Sebagai tanggapannya, investor memerlukan model yang efisien untuk mengintegrasikan keamanan siber ke dalam keputusan investasi mereka.
Integrasi Environmental, Social, Governance (ESG) adalah pertimbangan material pasar, faktor non-keuangan dalam analisis investasi untuk meningkatkan keuntungan yang disesuaikan dengan risiko dengan cara yang juga mengatasi tantangan sosio-ekonomi dan lingkungan yang penting. Emisi karbon dan perubahan iklim adalah contoh utama bagaimana pergeseran kesadaran dan penetapan harga pasar terhadap risiko-risiko ESG dapat membawa dampak nyata. Misalnya, kini sudah menjadi praktik umum bagi investor untuk mengintegrasikan greenhouse gas (GHG)ke dalam proses investasi.
Akibatnya, triliunan dolar modal saat ini dialokasikan dan diberi harga berdasarkan persepsi investor terhadap kinerja karbon perusahaan. Karena penetapan harga ulang risiko dan penilaian perusahaan, perusahaan mempunyai insentif yang kuat untuk pengurangan emisi guna mendukung upaya mitigasi iklim global. Dengan demikian, investor dapat mencapai dampak nyata dan menghindari risiko investasi dengan mengatasi “kegagalan pasar” akibat eksternalitas negatif yang sebelumnya tidak diperhitungkan. Implikasinya, investor diberi insentif untuk mengidentifikasi faktor-faktor ESG non-finansial baru yang berpotensi mempengaruhi harga pasar secara signifikan.
Keamanan siber kini menjadi pertimbangan utama ESG generasi berikutnya bagi para investor, dengan keselarasan yang kuat terhadap risiko keuangan dan investasi, pengawasan peraturan yang semakin ketat, dan potensi dampak nyata.
Investor semakin tertarik untuk menilai risiko keamanan siber yang melekat pada portofolio investasi perusahaan mereka. Kejahatan dunia siber berdampak pada masing-masing perusahaan melalui peningkatan frekuensi pelanggaran data dan serangan ransomware, belanja pertahanan dan asuransi dunia siber perusahaan yang lebih tinggi, serta kerusakan reputasi. Serangan siber berskala besar dapat menyebabkan gangguan operasional dan bisnis, serta menimbulkan risiko litigasi yang signifikan.
Tingkat keparahan dan frekuensi kejahatan dunia siber semakin meningkat seiring dengan digitalisasi ekonomi yang memperluas “attack surface” dunia siber yang dapat dieksploitasi oleh para peretas. Perkiraan tingkat serangan siber per perusahaan meningkat 31% pada tahun 2021 dibandingkan tahun 2020 dengan biaya rata-rata pelanggaran data individu pada tahun 2022 mencapai $4,35 juta. Ransomware telah menjadi perhatian utama bagi bisnis, dengan data survei menunjukkan bahwa 83% organisasi mengalami serangan ransomware selama dua tahun terakhir. Jumlah uang tebusan yang paling sering diminta oleh perusahaan-perusahaan AS kini berkisar antara $5 hingga 10 juta.
Pengeluaran pertahanan siber perusahaan kini menjadi beban besar bagi dunia usaha. Pasar keseluruhan pengeluaran bisnis untuk produk dan layanan keamanan siber diperkirakan mencapai $1,75 triliun untuk periode 5 tahun dari tahun 2021-2025, dibandingkan dengan $1,0 triliun yang dikeluarkan dari tahun 2017 hingga 2021. Perusahaan keuangan tertentu di AS dilaporkan menghabiskan lebih dari $1 miliar per tahun. tahun hanya untuk mengamankan dan melindungi infrastruktur digital dan data klien.
Semakin banyak perusahaan yang memilih asuransi siber, dengan sebuah penelitian di AS menemukan bahwa tingkat penggunaan asuransi meningkat dari 26% pada tahun 2016 menjadi 47% pada tahun 2020. Pasar asuransi siber secara keseluruhan diperkirakan akan tumbuh menjadi $34 miliar pada tahun 2031, dari sekitar $8,5 miliar pada tahun 2021.
Serangan siber besar baru-baru ini menargetkan rumah sakit dan perusahaan farmasi, perusahaan perjalanan dan rekreasi, operator jasa keuangan dan infrastruktur energi. Peristiwa individual tidak hanya mengganggu operasional dan mengakibatkan kerugian bisnis dan tanggung jawab hukum senilai ratusan juta dolar, namun juga dapat membahayakan data pribadi yang sensitif dan dapat mengancam fungsi-fungsi penting nasional. Dalam satu kasus besar pada tahun 2017, peretas militer Tiongkok mengeksploitasi kerentanan perangkat lunak yang belum ditambal untuk menyusup ke agen pelaporan kredit konsumen di Amerika Serikat. Para penyerang dunia siber mencuri informasi identitas pribadi termasuk nama, alamat, dan Nomor Jaminan Sosial yang terkait dengan catatan keuangan rinci sekitar 145 juta orang.
Ketika perusahaan mengungkapkan pelanggaran data tersebut, sahamnya turun sebanyak 35% dan selisih kredit pada utang Peringkat Investasinya melebar sebesar 118 basis poin. Pada tahun 2019, perusahaan mencapai penyelesaian dengan regulator AS dengan denda setidaknya $575 juta, denda, dan restitusi konsumen. Pada tahun 2019, perusahaan mencapai penyelesaian dengan regulator AS untuk denda, penalti, dan restitusi konsumen setidaknya $575 juta.
Dari perspektif masyarakat yang lebih luas, perlindungan yang tidak memadai di dunia siber dapat menyebabkan kerusakan makro-ekonomi dengan implikasi strategis nasional, spionase industri, terkikisnya insentif untuk inovasi dan investasi, serta pelanggaran privasi data. Hal ini juga mencakup ancaman terhadap fungsi-fungsi penting yang menopang keamanan ekonomi dan nasional, kesehatan masyarakat, serta keselamatan dan kebebasan warga negara. Investor semakin menyadari bahwa risiko dari Keamanan Siber tidak terbatas pada perusahaan yang terkena dampak langsung namun juga mencakup seluruh masyarakat yang mendasari penilaian ekonomi dan pasar.
Kerugian ekonomi akibat kejahatan dunia siber dan spionase dunia siber semakin meningkat dalam skala yang sangat besar. Beberapa sumber memperkirakan bahwa kerugian tahunan global akibat kejahatan dunia siber dapat mencapai $10,5 triliun per tahun pada tahun 2025 dari $6 triliun pada tahun 2021. Sebagai perbandingan, laporan perusahaan reasuransi pada tahun 2021 memperkirakan kerugian ekonomi akibat perubahan iklim sebesar $23 triliun secara kumulatif pada tahun 2050. Sementara perbedaan metodologi dan statistik pengambilan sampel menyulitkan untuk membandingkan angka-angka ini secara langsung, implikasinya adalah dampak ekonomi dari keamanan siber mungkin memiliki skala yang sama dengan perubahan iklim. Mencerminkan hal ini, Keamanan Siber secara konsisten menempati peringkat 5 besar risiko global dalam survei persepsi terhadap CEO dan pengambil keputusan global, bersama dengan perubahan iklim dan konflik geopolitik. Pelaku pasar semakin sadar akan meningkatnya kerugian langsung dan tidak langsung akibat lemahnya keamanan siber perusahaan. Berdasarkan tren ini, kini semakin banyak investor yang mulai memasukkan kinerja keamanan siber sebagai faktor non-finansial (ESG) untuk analisis investasi perusahaan.
Perlu di kembangkan pendekatan eksklusif untuk mengintegrasikan keamanan siber ke dalam analisis kredit secara sistematis dan kuantitatif.
1. Risiko keamanan siber sebagai “Kegagalan Pasar”
Sebagai bagian dari pendekatan yang mempertimbangkan tantangan yang dihadapi pasar saat ini dalam mengenali, menilai, dan memperkirakan risiko keamanan siber perusahaan.
Pertama, keamanan siber perusahaan secara tradisional dianggap sebagai perpanjangan tangan dari departemen TI, sehingga banyak perusahaan memandang ketahanan keamanan siber sebagai biaya kepatuhan yang harus diminimalkan.
Akibatnya, belanja untuk kesiapsiagaan seringkali tidak mencukupi dibandingkan dengan tingkat risikonya. Garis dan tanggung jawab pelaporan keamanan siber perusahaan seringkali tidak jelas, dan pengawasan serta keahlian dewan dalam topik ini terbatas. Kedua, keamanan siber pada umumnya berada di luar lingkup undang-undang dan peraturan. Sebagian besar infrastruktur digital adalah milik swasta, sehingga kebijakan keamanan siber biasanya didasarkan pada “best practice” dan bukan pada persyaratan peraturan. Sebagian besar insiden dan pelanggaran siber tidak dilaporkan atau diakui secara publik, sehingga menyulitkan investor untuk menilai risiko keamanan siber. Ke depan, integrasi sistematis risiko keamanan siber ke dalam analisis investasi akan menciptakan permintaan akan pengungkapan terkait keamanan siber yang lebih material. Pada saat yang sama, pembaruan peraturan akan memerlukan lebih banyak pengungkapan pelanggaran dan memerlukan kesiapan keamanan siber yang lebih besar.
Ketiga, tidak mudah untuk melakukan standarisasi evaluasi kinerja keamanan siber di seluruh perusahaan. Penjahat dunia siber secara oportunistik menargetkan area kelemahan dengan berbagai strategi intrusi, sehingga vektor risiko dan metode serangan terus berubah. Artinya, para pembela keamanan siber tidak bisa hanya fokus pada serangkaian sistem atau proses tertentu yang berisiko tinggi, atau mengandalkan satu metode pencegahan saja. Lebih jauh lagi, investor tidak dapat menggunakan kerangka umum untuk menilai risiko keamanan siber antar perusahaan berdasarkan evaluasi komparatif terhadap titik-titik lemah yang diketahui.
Perusahaan biasanya tidak mengungkapkan rincian penting tentang kebijakan dan kinerja keamanan siber mereka kepada investor publik, dan terdapat kekhawatiran yang wajar bahwa terlalu banyak pengungkapan kerentanan siber hanya akan memicu lebih banyak serangan siber. Hal ini berarti bahwa investor yang mengevaluasi keamanan siber di seluruh perusahaan harus bergantung pada perkiraan kesiapan keamanan siber dan kepatuhan terhadap praktik terbaik sebagai ukuran risiko keamanan siber.
Tantangan-tantangan ini mempersulit investor untuk mengintegrasikan risiko keamanan siber secara komprehensif ke dalam proses investasi. Secara khusus, kurangnya data kinerja keamanan siber yang sebanding telah menghalangi pasar untuk menentukan harga risiko keamanan siber perusahaan secara efisien.
2. Mengadopsi data Keamanan Siber sebagai faktor ESG generasi berikutnya
Untuk mengatasi tantangan dalam mengintegrasikan risiko keamanan siber ke dalam investasi utang perusahaan, fokus perusahaan pada pengukuran “kebersihan keamanan siber,” yang merupakan penerapan praktik terbaik secara rutin yang dilakukan organisasi untuk menjaga keamanan jaringan dan datanya, seperti menambal kerentanan yang diketahui, kuat, dan aman. persyaratan kata sandi, dan cadangan data. Data yang diperlukan untuk mengevaluasi kebersihan keamanan siber secara komprehensif sebagai ukuran risiko siber kini semakin tersedia bagi investor. Penyedia data ESG tradisional cenderung memberikan penilaian subjektif terhadap kebijakan privasi dan perlindungan data emiten. Namun metode survei seperti itu tidak dapat memberikan ukuran menyeluruh yang akurat dan obyektif mengenai kinerja keamanan siber organisasi. Berbagai penyedia data khusus kini memberikan “peringkat risiko dunia siber” berdasarkan pengukuran otomatis kebersihan dunia siber. Sama seperti peringkat risiko kredit yang mencerminkan perkiraan kemampuan penerbit untuk membayar kembali utangnya dengan perkiraan implisit mengenai kemungkinan gagal bayar, peringkat risiko siber dirancang untuk mencerminkan kinerja keamanan siber organisasi secara keseluruhan dan risiko tersirat dari pelanggaran siber atau serangan ransomware. Faktanya, beberapa perusahaan pemeringkat kredit tradisional kini mengintegrasikan peringkat risiko keamanan siber langsung ke dalam peringkat kredit perusahaan mereka sebagai bentuk data nonfinansial (ESG). Hal ini masuk akal karena risiko keamanan siber dapat berdampak langsung pada kualitas kredit dan hasil investasi.
3. Pendekatan dengan mengintegrasikan data Keamanan Siber dalam analisis Kredit ESG
Pengintegrasian Keamanan Siber langsung ke dalam model Penilaian ESG Kredit sebagai faktor “Governance” atau tata kelola untuk strategi investasi utang perusahaan. Hal ini mencerminkan pandangan bahwa kinerja keamanan siber mencerminkan struktur tata kelola organisasi secara keseluruhan. Kebersihan keamanan siber yang baik menunjukkan tata kelola perusahaan yang baik, dan investasi utang perusahaan yang lebih menarik dari perspektif pengurangan risiko dan manajemen berkualitas tinggi. Keluaran nya nanto diintegrasikan ke dalam penyaringan, pemilihan keamanan, pemantauan risiko, dan keterlibatan penerbit di seluruh strategi kredit korporasi global, memastikan bahwa sinyal risiko keamanan siber tercermin secara sistematis dalam proses investasi pendapatan tetap.
Selain kinerja keamanan siber masing-masing emiten, materialitas keamanan siber yang spesifik pada suatu sektor juga merupakan elemen penting untuk mengintegrasikan data risiko siber pihak ketiga ke dalam model ESG kredit dan untuk memprioritaskan keterlibatan dengan perusahaan. Untuk menghasilkan matriks sektor material, perlu Analisa risiko relatif untuk setiap sektor industri dalam tiga dimensi:
1. Potensi dampak sosio-ekonomi dan kerusakan akibat serangan siber terhadap sektor ini
Semakin kritis potensi kerusakan pada penyediaan barang dan jasa penting, semakin tinggi pula materialitas sibernya
2. Frekuensi serangan siber yang teramati terhadap sektor ini
Semakin tinggi frekuensi serangan siber terhadap sektor ini, semakin tinggi pula materialitas sibernya
3. Tingkat kecanggihan keamanan siber dan ketersediaan sumber daya di sektor ini
Semakin tinggi rata-rata kebersihan keamanan siber yang diamati untuk emiten di sektor tersebut, semakin rendah materialitas sibernya. Berdasarkan kerangka kerja ini dapat ditetapkan materialitas siber tertinggi pada sektor-sektor yang paling rentan dan paling sering menjadi sasaran penyerang siber, dan di mana kerusakan yang diakibatkan oleh siber dapat terjadi. - Serangan terhadap penyediaan layanan penting berpotensi menjadi yang terbesar. Data kinerja kebersihan dunia siber kemudian dapat disesuaikan berdasarkan informasi risiko sebagai masukan untuk model penilaian ESF kredit secara keseluruhan.
Kesimpulan
Dengan meningkatnya materialitas keuangan dan lingkungan peraturan dan keterbukaan yang berubah dengan cepat, keamanan siber perusahaan merupakan faktor generasi berikutnya bagi investor arus utama ESG untuk diintegrasikan ke dalam pengambilan keputusan investasi. Mengatasi “kegagalan pasar” akibat kurangnya perhatian terhadap keamanan siber perusahaan dengan memasukkannya ke dalam analisis ESG dapat memberi insentif pada standar kinerja yang lebih tinggi secara menyeluruh, sehingga berpotensi berkontribusi terhadap keuntungan yang disesuaikan dengan risiko dan ketahanan sosio-ekonomi yang lebih baik sebagai dampak positif di dunia nyata.