Case Study: Membangun Platform Cyber Insurance untuk IAG ...

Faisal Affan

3/1/2026

Case Study: Membangun Platform Cyber Insurance untuk IAG ... — 1 / 8

1 / 8

Engineering Case Study: IAG Cybera360

"Cybersecurity is no longer just an IT problem — it's a business risk that demands an insurance-grade solution." — Krishna Nagashwaran, Venture Lead

Context

Sebagai frontend & backend engineer di Kano Solution, saya berkontribusi dalam pengembangan Cybera360 — platform cyber insurance milik IAG (Insurance Australia Group), perusahaan asuransi terbesar di Australia (ASX-listed, ~AU$12B market cap). Platform ini diinkubasi dalam IAG Firemark Labs Singapore sebagai corporate venture pertama IAG ke ranah asuransi cyber.

Cybera360 (CA360) adalah platform online yang menggabungkan cyber insurance dan cyber assurance (keamanan siber) untuk melayani Small-Medium Enterprises (SME) di Asia Pasifik. Di-launch tahun 2019 melalui program inkubasi IAG Firemark, platform ini menjadi pioneer dalam pendekatan one-stop holistic cyber service.

Artikel ini membedah arsitektur teknis, tantangan engineering, dan solusi yang dibangun untuk menghadirkan platform yang mampu mengubah proses underwriting berminggu-minggu menjadi hitungan menit.

🏔️ 1. The Challenge

Lanskap Cyber Insurance Tradisional

Sebelum Cybera360, proses mendapatkan asuransi cyber untuk bisnis kecil-menengah sangat menyakitkan:

Proses Lambat

Mendapatkan quote asuransi cyber membutuhkan 3-4 hari melalui proses manual — mengisi 100+ pertanyaan, menunggu underwriter review, bolak-balik via email.

Kompleksitas Tinggi

SME tidak memiliki tim cybersecurity dedicated. Pertanyaan teknis dalam formulir asuransi seringkali membingungkan dan membuat mereka menyerah di tengah jalan.

Proteksi Parsial

Asuransi cyber tradisional hanya membayar klaim SETELAH serangan terjadi. Tidak ada pendekatan proaktif untuk mencegah insiden sejak awal.

Gap Pasar

Mayoritas produk cyber insurance dirancang untuk enterprise besar. SME — yang justru paling rentan terhadap serangan siber — kurang terlayani.

Tantangan Engineering

Risk Scoring Engine: Membangun modul yang mampu menghitung cyber risk score dari berbagai data point — postur keamanan, vulnerability scan, dan profil bisnis — untuk menentukan insurability dan rekomendasi premi.
Real-Time Visualization: Dashboard interaktif yang menampilkan risk assessment secara visual menggunakan D3.js — harus responsif dan mampu merender data kompleks secara real-time.
Third-Party Integration: Mengintegrasikan multiple API dari partner keamanan siber (UpGuard, Acronis, RHCS) ke dalam satu platform yang seamless.
Cross-Timezone Collaboration: Bekerja langsung dengan stakeholder di Australia dan Singapore — memerlukan adaptasi workflow, timezone management, dan dokumentasi berbahasa Inggris.
Insurance-Grade Security: Platform yang menangani data sensitif bisnis harus memenuhi standar keamanan enterprise-grade — encryption, access control, audit trail.

Business Impact

Industri cyber insurance global bernilai USD 7.8 miliar (2020) dan diproyeksikan mencapai USD 20+ miliar pada 2025. IAG — sebagai perusahaan asuransi terbesar di Australia — membutuhkan platform yang bisa first-mover di pasar Asia Pasifik. Kecepatan development menjadi krusial.

🏗️ 2. Architecture Overview

Platform Architecture

Cybera360 dirancang sebagai platform microservices-based yang mengintegrasikan berbagai layanan third-party ke dalam satu pengalaman pengguna yang seamless.

Data Flow: From Assessment to Quote

Key Architecture Decisions:

🛠️ 3. Technology Stack

Technology	Peran	Alasan Dipilih
Nuxt.js	Web application framework	SSR untuk performa, Vue ecosystem untuk developer productivity, SEO-friendly
D3.js	Risk visualization & dashboard	Library paling fleksibel untuk custom data visualization — risk heatmap, scoring charts
Vue.js	UI components	Reactive data binding ideal untuk form dinamis dan real-time risk score update
Figma	Design system & prototyping	Kolaborasi design dengan tim UX di Singapore dan Australia

Technology	Peran	Alasan Dipilih
Golang	Core backend services	High-performance, strongly-typed, ideal untuk business logic yang kompleks
Node.js	API gateway & middleware	Ecosystem middleware yang kaya, JSON-native untuk integrasi API partner
PostgreSQL	Primary relational database	ACID compliance untuk data insurance policy, audit trail
MongoDB	Document store	Flexible schema untuk menyimpan risk assessment data yang bervariasi

Partner	Service	Integrasi
UpGuard	Vulnerability scanning	API integration untuk automated security posture assessment
Acronis	Backup & endpoint protection	Bundled service untuk value-add cyber assurance
RHCS	Cyber education & training	Training modules terintegrasi untuk edukasi SME tentang keamanan siber
ERGO	Insurance underwriting	Policy creation, premium calculation, broker network distribution

Tool	Peran	Penggunaan
Jira	Project management	Sprint planning, backlog management, bug tracking
Confluence	Documentation	Technical specs, API docs, architecture decision records
Postman	API testing	Testing integrasi dengan UpGuard, ERGO, dan partner APIs
Swagger	API documentation	OpenAPI specs untuk komunikasi antar tim dan partner
DBeaver	Database management	Query, monitoring, dan debugging database PostgreSQL/MongoDB
MS Teams	Communication	Daily standup, cross-timezone meetings dengan tim AU/SG
Docker	Containerization	Consistent development environment dan deployment

📁 4. Project Structure

index.vue

assessment.vue

quote.vue

dashboard.vue

policy.vue

🔍 5. Feature Deep Dives

Feature #1: Cyber Risk Scoring Engine

Problem: Underwriter tradisional membutuhkan waktu 3-4 hari untuk mengevaluasi risiko cyber sebuah bisnis secara manual. Mereka harus memeriksa infrastruktur IT, policy keamanan, incident history, dan compliance — seringkali melalui formulir 100+ pertanyaan yang membosankan.

Solution: Risk scoring engine yang secara otomatis mengagregasi data dari multiple sources dan menghasilkan skor risiko numerik yang actionable.

services/risk-scoring/calculator.go

// Cyber Risk Scoring Engine
type RiskScore struct {
    Overall          float64            `json:"overall_score"`
    Categories       map[string]float64 `json:"category_scores"`
    Vulnerabilities  int                `json:"vulnerability_count"`
    RiskLevel        string             `json:"risk_level"`
    Insurable        bool               `json:"insurable"`
    Recommendations  []string           `json:"recommendations"`
}

type RiskInput struct {
    BusinessProfile  BusinessProfile    `json:"business_profile"`
    VulnerabilityScan VulnerabilityData `json:"vulnerability_scan"`
    Questionnaire    []QuestionAnswer   `json:"questionnaire"`
}

func (s *ScoringService) CalculateRiskScore(ctx context.Context, input RiskInput) (*RiskScore, error) {
    // 1. Score each category independently
    categories := map[string]float64{
        "network_security":   s.scoreNetworkSecurity(input.VulnerabilityScan),
        "data_protection":    s.scoreDataProtection(input.Questionnaire),
        "access_control":     s.scoreAccessControl(input.Questionnaire),
        "incident_response":  s.scoreIncidentResponse(input.Questionnaire),
        "business_continuity": s.scoreBusinessContinuity(input.Questionnaire),
        "compliance":         s.scoreCompliance(input.BusinessProfile),
    }

    // 2. Weighted average — network security and data protection weighted higher
    weights := map[string]float64{
        "network_security":   0.25,
        "data_protection":    0.25,
        "access_control":     0.15,
        "incident_response":  0.15,
        "business_continuity": 0.10,
        "compliance":         0.10,
    }

    var overallScore float64
    for category, score := range categories {
        overallScore += score * weights[category]
    }

    // 3. Determine risk level and insurability
    riskLevel, insurable := classifyRisk(overallScore)

    return &RiskScore{
        Overall:         overallScore,
        Categories:      categories,
        Vulnerabilities: input.VulnerabilityScan.TotalFindings,
        RiskLevel:       riskLevel,
        Insurable:       insurable,
        Recommendations: generateRecommendations(categories),
    }, nil
}

func classifyRisk(score float64) (string, bool) {
    switch {
    case score >= 80:
        return "LOW", true
    case score >= 50:
        return "MEDIUM", true
    case score >= 30:
        return "HIGH", true
    default:
        return "CRITICAL", false // Remediation required before insurable
    }
}

Results:

Metric	Sebelum (Manual)	Sesudah (Cybera360)	Improvement
Time to risk assessment	3-4 hari	< 30 menit	↓ 99%
Pertanyaan assessment	100+ questions	< 30 questions	↓ 70%
Assessment drop-off rate	~60%	~15%	↓ 75%
Scoring consistency	Varies by underwriter	100% consistent	Standardized

Feature #2: Interactive Risk Visualization Dashboard

Problem: Risk assessment data mentah tidak berarti bagi pemilik bisnis SME. Mereka membutuhkan representasi visual yang intuitif untuk memahami postur keamanan mereka dan area yang perlu diperbaiki.

Solution: Dashboard interaktif menggunakan D3.js yang merender risk score secara visual — radar chart untuk kategori risiko, heatmap untuk vulnerability, dan trend chart untuk monitoring berkelanjutan.

components/RiskScoreChart.vue

// D3.js Radar Chart for Risk Category Visualization
interface RiskCategory {
  category: string;
  score: number;
  maxScore: number;
  label: string;
}

function renderRadarChart(
  container: string,
  data: RiskCategory[],
  options: ChartOptions,
): void {
  const svg = d3
    .select(container)
    .append("svg")
    .attr("width", options.width)
    .attr("height", options.height);

  const radius = Math.min(options.width, options.height) / 2 - options.margin;
  const angleSlice = (Math.PI * 2) / data.length;

  // Draw concentric circles (score levels)
  const levels = [20, 40, 60, 80, 100];
  levels.forEach((level) => {
    svg
      .append("circle")
      .attr("r", (radius * level) / 100)
      .attr("class", `level-${level}`)
      .style("fill", "none")
      .style("stroke", getRiskColor(level));
  });

  // Draw radar area
  const radarLine = d3
    .lineRadial<RiskCategory>()
    .radius((d) => (radius * d.score) / 100)
    .angle((_, i) => i * angleSlice)
    .curve(d3.curveLinearClosed);

  svg
    .append("path")
    .datum(data)
    .attr("d", radarLine)
    .style("fill", getOverallColor(data))
    .style("fill-opacity", 0.3)
    .style("stroke", getOverallColor(data))
    .style("stroke-width", 2);

  // Interactive tooltips on hover
  data.forEach((d, i) => {
    const x = radius * (d.score / 100) * Math.cos(angleSlice * i - Math.PI / 2);
    const y = radius * (d.score / 100) * Math.sin(angleSlice * i - Math.PI / 2);

    svg
      .append("circle")
      .attr("cx", x)
      .attr("cy", y)
      .attr("r", 6)
      .on("mouseover", () => showTooltip(d))
      .on("mouseout", hideTooltip);
  });
}

UX Decision

Visualisasi radar chart dipilih karena memungkinkan pemilik bisnis melihat sekilas di mana kekuatan dan kelemahan keamanan mereka. Warna intuitif (hijau = aman, kuning = perlu perhatian, merah = kritis) membantu non-technical users memahami postur risiko tanpa harus membaca laporan panjang.

Results:

Metric	Sebelum	Sesudah	Improvement
User engagement (time on dashboard)	N/A (teks PDF)	4.2 menit avg	New capability
Customer understanding of risk posture	Survey: 23%	Survey: 78%	↑ 239%
Broker presentation efficiency	30 menit	5 menit	↓ 83%

Feature #3: Streamlined Insurance Quoting Flow

Problem: Proses quoting asuransi cyber tradisional memerlukan formulir 100+ pertanyaan, review manual oleh underwriter, dan bolak-balik via email — total 3-4 hari kerja. Banyak SME menyerah di tengah proses.

Solution: Smart questionnaire yang mengurangi pertanyaan dari 100+ menjadi < 30 dengan teknik adaptive branching — pertanyaan berbeda berdasarkan jawaban sebelumnya.

composables/useAssessment.ts

// Adaptive Questionnaire Engine
interface Question {
  id: string;
  text: string;
  type: "select" | "text" | "number" | "boolean";
  options?: string[];
  dependencies?: {
    questionId: string;
    condition: "equals" | "gt" | "lt" | "includes";
    value: any;
    action: "show" | "skip";
  }[];
  weight: number; // Impact on risk score
}

function getNextQuestions(
  allQuestions: Question[],
  answers: Record<string, any>,
): Question[] {
  return allQuestions.filter((q) => {
    if (!q.dependencies) return true;

    return q.dependencies.every((dep) => {
      const answer = answers[dep.questionId];
      if (answer === undefined) return dep.action === "skip";

      switch (dep.condition) {
        case "equals":
          return dep.action === "show"
            ? answer === dep.value
            : answer !== dep.value;
        case "gt":
          return dep.action === "show"
            ? answer > dep.value
            : answer <= dep.value;
        case "includes":
          return dep.action === "show"
            ? dep.value.includes(answer)
            : !dep.value.includes(answer);
        default:
          return true;
      }
    });
  });
}

Results:

Metric	Sebelum (Traditional)	Sesudah (Cybera360)	Improvement
Time to quote	3-4 hari	< 30 menit	↓ 99%
Number of questions	100+	< 30	↓ 70%
Completion rate	~40%	~85%	↑ 112%
First-month deals closed	N/A	4 deals	Via ERGO brokers

Feature #4: Integrated Cyber Assurance Ecosystem

Problem: Asuransi cyber tradisional bersifat reactive — hanya membayar klaim setelah serangan terjadi. Tidak ada insentif atau alat untuk mencegah insiden sejak awal.

Solution: Platform one-stop yang menggabungkan insurance dengan layanan keamanan proaktif — vulnerability scanning, backup, dan edukasi — menciptakan ekosistem yang mengurangi risiko sebelum klaim terjadi.

UpGuard (portfolio company IAG Firemark Ventures) menyediakan continuous cyber risk monitoring dan third-party risk assessment. Integrasi dengan Cybera360 memungkinkan:

Automated vulnerability scanning saat customer mendaftar
Continuous monitoring yang mengupdate risk score secara berkala
Third-party risk assessment untuk vendor dan supplier customer
Security rating yang visible di dashboard customer

Data dari UpGuard langsung di-feed ke Risk Scoring Engine untuk menentukan eligibility dan level premium.

Acronis menyediakan solusi backup dan endpoint protection yang dibundel sebagai value-add service:

Automated backup untuk data bisnis kritikal
Endpoint protection terhadap malware dan ransomware
Disaster recovery yang mempercepat pemulihan pasca-insiden
Compliance reporting untuk memenuhi regulasi data protection

Bisnis yang menggunakan Acronis melalui platform memiliki claim severity yang lebih rendah karena recovery time yang lebih cepat.

RHCS menyediakan modul edukasi dan awareness training:

Phishing simulation untuk menguji kewaspadaan karyawan
Security awareness training yang disesuaikan dengan industri
Best practices guide untuk kebijakan keamanan SME
Compliance training untuk standar seperti PDPA (Singapore)

Edukasi karyawan adalah pertahanan pertama — 95% insiden cyber dimulai dari human error (phishing, weak passwords, social engineering).

🚢 6. Implementation & Collaboration

Phase 1: Foundation & Risk Engine

Setup project structure (Nuxt.js frontend, Golang backend), database schema (PostgreSQL + MongoDB), dan implementasi core risk scoring engine. Define scoring model berdasarkan framework industri cyber insurance.

Phase 2: Dashboard & Visualization

Pengembangan dashboard interaktif dengan D3.js — radar chart, heatmap, scoring gauge, dan trend visualization. Iterasi design bersama UX team di Singapore melalui Figma prototyping.

Phase 3: UpGuard & Partner Integration

Integrasi API UpGuard untuk automated vulnerability scanning, Acronis untuk backup & endpoint, dan RHCS untuk training modules. Build adapter layer untuk normalisasi data dari berbagai partner.

Phase 4: Quoting & Underwriting Flow

Implementasi adaptive questionnaire engine dan integrasi dengan ERGO underwriting system. Build premium calculation module berdasarkan risk score output.

Phase 5: Testing & Launch

UAT dengan ERGO broker network di Singapore. Closed-door "test and learn" — refine scoring model berdasarkan feedback broker dan underwriter. Successful launch: 4 deals closed dalam bulan pertama.

Cross-Border Collaboration

Salah satu aspek unik project ini adalah kolaborasi cross-border: tim engineering di Surabaya (Indonesia), product & business di Singapore (Firemark Labs), dan stakeholder di Sydney (IAG HQ). Timezone spread 3 jam memerlukan komunikasi asinkron yang disiplin — Confluence untuk dokumentasi, Jira untuk tracking, dan stand-up window yang overlapping.

🤝 7. Key Partners & Ecosystem

Platform Cybera360 tidak berdiri sendiri — ia adalah pusat dari ekosistem partner yang saling memperkuat:

Prop

Type

🚀 8. Business Impact

Implementasi Cybera360 membuktikan bahwa cyber insurance bisa di-deliver secara digital, cepat, dan terintegrasi:

Key Numbers

Time to quote: dari 3-4 hari → < 30 menit (↓99%)
Assessment questions: dari 100+ → < 30 (↓70%)
First month: 4 deals closed via ERGO broker network
Partner trust: Gained recognition dari Munich RE, Enterprise SG, SGInnovate, AustCyber, Austrade
Market position: First corporate venture IAG ke ranah cyber insurance di Asia Pasifik

Broader IAG Impact

Pembelajaran dari Cybera360 kemudian mempengaruhi strategi cyber insurance IAG secara global:

Cylo (Australia): IAG meluncurkan "Cylo backed by CGU" — dedicated cyber insurance underwriting agency untuk SME Australia. Model yang serupa dengan pendekatan Cybera360.
Firemark Ventures Fund II: IAG meluncurkan fund kedua senilai **AU $75 juta** (total AU$ 150 juta), dengan cyber risk sebagai salah satu tema investasi utama.
UpGuard Growth: IAG terus meningkatkan investasi di UpGuard, yang kemudian menutup Series B-1 funding round senilai US$19 juta.

🎓 9. Lessons Learned

D3.js terbukti sangat powerful untuk custom risk visualization — fleksibilitas yang tidak bisa dicapai oleh library charting biasa. - Nuxt.js SSR memberikan performa yang sangat baik untuk dashboard data-intensive sekaligus SEO-friendly. - Microservices architecture memudahkan integrasi multi-partner tanpa coupling yang berlebihan. - Adaptive questionnaire berhasil mengurangi drop-off rate drastis — bukti bahwa UX engineering sama pentingnya dengan backend engineering. - Cross-border collaboration berjalan lancar dengan disiplin dokumentasi (Confluence) dan project tracking (Jira). - Pengalaman bekerja langsung dengan klien internasional (IAG Australia) menjadi fondasi kemampuan komunikasi lintas budaya dan timezone.

Gunakan GraphQL untuk API layer — dengan banyaknya data entity yang berbeda (risk scores, policies, vulnerabilities), GraphQL akan lebih efisien daripada multiple REST endpoints. - Invest lebih awal di automated E2E testing untuk partner API integration — mock server untuk UpGuard dan ERGO API akan mempercepat development cycle. - Pertimbangkan WebSocket untuk real-time risk score updates — polling-based approach kurang responsif untuk dashboard monitoring. - Feature flags untuk A/B testing questionnaire flow — bisa mengoptimasi conversion rate lebih cepat dengan data-driven approach.

🎉 Conclusion

Cybera360 membuktikan bahwa asuransi cyber tidak harus rumit dan lambat. Dengan pendekatan technology-first, proses yang sebelumnya membutuhkan berminggu-minggu bisa dipadatkan menjadi hitungan menit — sambil memberikan value yang lebih dari sekadar polis asuransi.

Yang membuat project ini istimewa bukan hanya skala kliennya (IAG — perusahaan asuransi terbesar Australia), tapi filosofi di balik produknya: jangan hanya bayar klaim setelah serangan, bantu cegah serangan sejak awal. Itu adalah pergeseran paradigma dari reactive ke proactive insurance.

Personal Note

Cybera360 adalah pengalaman pertama saya bekerja dengan klien internasional di level enterprise. Dari sini saya belajar bahwa engineering skill saja tidak cukup — kemampuan berkomunikasi lintas budaya, beradaptasi dengan workflow internasional, dan mendokumentasikan keputusan teknis dengan standar tinggi sama pentingnya dengan menulis kode yang bersih.

Project Tepati: Offline-First Architecture

Case study membangun sistem offline-first untuk pembiayaan mikro syariah — single-fighter dalam 30 hari.

Petrosea Minerva: IoT Mining Platform

Deep dive arsitektur Edge-to-Cloud untuk fleet management dan predictive maintenance di industri pertambangan.

Case Study: Membangun Platform Cyber Insurance untuk IAG ...

Engineering Case Study: IAG Cybera360

🏔️ 1. The Challenge

Lanskap Cyber Insurance Tradisional

Proses Lambat

Kompleksitas Tinggi

Proteksi Parsial

Gap Pasar

Tantangan Engineering

🏗️ 2. Architecture Overview

Platform Architecture

Data Flow: From Assessment to Quote

🛠️ 3. Technology Stack

📁 4. Project Structure

🔍 5. Feature Deep Dives

Feature #1: Cyber Risk Scoring Engine

Feature #2: Interactive Risk Visualization Dashboard

Feature #3: Streamlined Insurance Quoting Flow

Feature #4: Integrated Cyber Assurance Ecosystem

🚢 6. Implementation & Collaboration

Phase 1: Foundation & Risk Engine

Phase 2: Dashboard & Visualization

Phase 3: UpGuard & Partner Integration

Phase 4: Quoting & Underwriting Flow

Phase 5: Testing & Launch

🤝 7. Key Partners & Ecosystem

🚀 8. Business Impact

Broader IAG Impact

🎓 9. Lessons Learned

🎉 Conclusion

Project Tepati: Offline-First Architecture

Petrosea Minerva: IoT Mining Platform

Related Articles

The 10x Engineer Myth: Kenapa 'Lazy' Architect Dibayar Le...

Pentingnya Jadi Product Minded Developer

Case Study: Membangun Platform Cyber Insurance untuk IAG ...

Proses Lambat

Kompleksitas Tinggi

Proteksi Parsial

Gap Pasar

Microservices untuk Integrasi Multi-Partner

Server-Side Rendering dengan Nuxt.js

Risk Scoring sebagai Isolated Service

ERGO sebagai Underwriting Partner

Project Tepati: Offline-First Architecture

Petrosea Minerva: IoT Mining Platform

Related Articles

The 10x Engineer Myth: Kenapa 'Lazy' Architect Dibayar Le...

Pentingnya Jadi Product Minded Developer