İstisnalar ve Reasürans, Aşırı Siber Risklere Karşı Direnci Artırıyor
David Perera (@daveperera) •
26 Ocak 2023
İngiliz sigorta şirketleri, sistemik fidye yazılımları gibi aşırı siber olaylara dayanma yeteneklerini değerlendiren bir stres testinden çoğunlukla geçti, ancak düzenleyiciler, sigorta şirketlerinin bu olayların gerçekten meydana gelme olasılığı konusunda keskin bir şekilde bölündüğü konusunda uyarıyor.
Ayrıca bakınız: Canlı Web Semineri | Sektör Lideri Bir Üçüncü Taraf Güvenlik Risk Yönetimi Programı Oluşturma
İngiltere Merkez Bankası, Birleşik Krallık sigortacılarının periyodik ödeme gücü stres testi için yaygın bir bulut bilgi işlem kesintisi, veri hırsızlığı ve fidye yazılımını içeren üç senaryo oluşturdu. Yalnızca bir avuç sigortacı, ulusal ödeme gücü sermaye gereksinimlerinin gerektirdiğinden daha az parayla senaryolardan çıktığını bildirdi.
Merkez bankasının İhtiyati Düzenleme Kurumu, her senaryonun sigorta şirketlerinin “en önemli risklerini” seçmesini gerektirdiği göz önüne alındığında, bu sonuçların bile abartılabileceği sonucuna vardı.
Sigortacıların senaryolardaki başarısı, savaştan kaynaklanan kayıpların hariç tutulmasının ulus devletlerin neden olduğu siber olaylar için geçerli olduğuna dair yaygın endüstri mutabakatı da dahil olmak üzere bir dizi faktöre dayanıyordu. Ulus-devlet saldırıları amaçladıkları hedeflerin çok ötesine yayılabileceğinden, bu dışlamayı pratikte başarmanın karmaşık olduğu kanıtlanmıştır (bkz.: Oreo Maker, NotPetya Hasar Talebi Konusunda Sigortacıyla Anlaştı).
Bazı sigortacılar, düzenleyicilere, savaş hariç tutmalarına başvurmak için “belirli bir yönetişim yaklaşımına” sahip olduklarını ve son zorlukları dikkate almak için dışlayıcı dillerini güncellediklerini söyledi.
Sigortacılar ayrıca başarılarını, emlak sigortası gibi diğer kapsam hatlarından siber kayıpları hariç tutma konusundaki gelişmiş hassasiyete bağladılar.
Reasürans da güçlü bir rol oynadı ve sigortacılar reasürans yoluyla riskin %52 ila %56’sını boşaltabildiklerini belirttiler.
Ancak rapor ayrıca, gerçek bir aşırı siber olayı yönetmek zorunda kalma olasılığı söz konusu olduğunda, sigorta şirketlerinin aynı varsayımlarla hareket etmeyebileceğini de öne sürüyor. Fikir birliği, fidye yazılımı konusunda en güçlüydü ve bir bulut kesintisi konusunda en az tutarlıydı. Düzenleyiciler, siber senaryoların olasılığına ilişkin “katılımcılar arasındaki büyük farklılıklar, sektör genelinde sermaye karşılaştırılabilirliğini etkileyebilir” uyarısında bulundu.
İngiltere Merkez Bankası ayrıca, kilit istisnaların geçerli olması durumunda etkiyi değerlendirmeye geldiğinde, sigortacıların yeteneğinin oldukça değişken olduğunu tespit etti.
Sigortacıların siber riskleri kapsama konusundaki coşkusu, siber olayların öngörülemezliği ve ayrıca siber riskin endüstri veya coğrafya ile sınırlı olması gerekmediğinden riskleri havuzlara dağıtmanın zorluğu göz önüne alındığında yıllar içinde azaldı. Amerika Birleşik Devletleri’nde federal hükümet, kritik altyapıya yönelik feci bir siber saldırı olması durumunda bir geri durdurma sağlaması gerekip gerekmediğini araştırıyor (bkz.: ABD Hükümeti Siber Sigorta Backstop’u İnceleyecek).