Avustralya Sigorta Konseyi, veri ihlali olaylarında fidye ve haraç ödeme taleplerinin tamamen yasaklanması konusunda hükümeti dikkatli davranması konusunda uyardı.
Konsey ayrıca federal hükümetin, belirli bir Siber Güvenlik Yasası taslağı hazırlamayı düşünürken, iş dünyasındaki siber güvenlik gereksinimlerini basitleştirmesini ve “uyumlaştırmasını” istiyor.
Yorumları bir gönderide yaptı [pdf] geçen hafta sonunda sona eren 2023-2030 Avustralya Siber Güvenlik Stratejisi istişaresine.
CEO ve genel müdür Andrew Hall, işletmeleri olaylardan kaynaklanan kayıplara karşı sigortaladığı için sigorta endüstrisinin siber güvenlikte bir payı olduğunu yazdı.
Sigortacılar, bunları teminat altına alıp almamaya karar verirken firmaların sahip olduğu güvenlik duruşunu ve korumaları dikkate alır.
Hall, “Sigortalama sürecinin bir parçası olarak, sigortacılar genellikle bir kuruluşun siber savunmalarını inceler, güvenlik açıklarını belirler ve siber güvenliğin nasıl güçlendirileceği konusunda rehberlik sağlar” diye yazdı.
“Sigorta Konseyi, firmaların siber risk duruşunu iyileştiren hükümet girişimlerini memnuniyetle karşılayacaktır.
“Bu girişimler, sırayla, muhtemelen siber sigortanın kullanılabilirliğini artıracaktır.”
Fidye yazılımı ödemeleri konusunda konsey, bunların doğrudan yasaklanmasının “karmaşık bir politika sorunu” olduğunu ve fidye yazılımına verilen yanıtın daha incelikli ve çok yönlü olması gerektiğini savundu.
“Sigorta Konseyi, siber sigorta için mevcut uygulamanın, fidye ödeme veya ödememe kararının müşteri tarafından verilmesi olduğunu belirtiyor” dedi.
“Ayrıca, herhangi bir fidye ödemesi sigortacı tarafından değil, mağdur tarafından yapılır ve poliçenin limitlerine ve yaptırım politikalarına uygunluğa bağlı olarak (kısmen veya tamamen) geri ödenebilir.”
Konsey, fidye ödemenin “suçlu bir iş modeline katkıda bulunduğu” iddiasını kabul ederken, ödeme kararının “büyük ölçüde kurtarma ve iyileştirme maliyetinin fidye talebinden daha yüksek olmasının bir işlevi olduğunu” söyledi.
“Sigorta Konseyi, bir sigorta satın almadan önce hükümeti sigorta sektörüyle daha fazla istişare etmeye şiddetle teşvik ediyor. [definite] Fidye ödemelerini yasaklama pozisyonu” dedi.
“Bu arada fidye ödeyip ödememe kararı mağdur örgüte ait olmalı.
“İşletmeler tarafından fidye ödemelerinin ve/veya sigorta şirketlerinin geri ödemelerinin yasaklanması, dikkatle değerlendirilmesi gerektiğini öne sürdüğümüz başka istenmeyen sonuçlara yol açabilir.”
Konsey sunumunun başka bir yerinde, hükümete, olaylara müdahalede işbirliğini teşvik etmek için endüstri ile güven oluşturmaya çağırdı.
Ayrıca, belirli bir Siber Güvenlik Yasasına “karşı olmamakla birlikte”, yeni mevzuatın dikkate alınması gerekmeden önce, düzenlemelerin yasama dışı uyumlaştırılmasının çok şey başarabileceğini söyledi.
Konsey, “Hükümet, mevcut mevzuat ve düzenlemelerle etkileşimler açısından daha fazla karmaşıklık ve netlik eksikliği yaratması muhtemel ek bir yükümlülükler katmanı oluşturmaktan kaçınmalıdır” dedi.
“Pratik olarak, sigorta sektörü, devam etmekte olan APRA’yı kopyalayan yeni bir Yasanın oluşturulmasından hayal kırıklığına uğrayacaktır. [Australian Prudential Regulation Authority] düzenleme.”