Mevcut tehdit ortamında, aralarındaki ilişki siber sigorta sağlayıcılar ve potansiyel (hatta mevcut) poliçe sahipleri, en iyi ihtimalle, genellikle gergindir. Kuruluşlar, artan primlerle birlikte uzun ve karmaşık süreci, sigorta şirketlerinin bunlardan yararlanması olarak algılayabilir. Ancak sigorta şirketleri, özellikle birkaç yıl önce aşırı derecede artan hasar oranlarını dengelemek için çabalıyor.
Bu kopukluk sıkıntılı olsa da, hâlâ bazı şeyleri çözmeye çalışmamız şaşırtıcı değil. Siber sigorta diğer sigorta segmentleriyle karşılaştırıldığında henüz yeni gelişme aşamasındadır. İlk siber poliçe, 1997 gibi yakın bir tarihte AIG tarafından yazılmıştır. Buna karşılık, hayat ve mülk sigortasının yaşı 250’nin, otomobil sigortasının ise 125 yaşın üzerindedir. Hayat ve mal sigortası gibi alanlarla karşılaştırıldığında, nispeten yeni ve akıl almaz bir hızla gelişen bir süreçte bazı sancıların yaşanması doğaldır. İyi haber şu ki, hem sağlayıcılar hem de poliçe sahipleri için rahat bir pozisyon bulmaktan o kadar da uzakta değiliz. Önemli olan hepimizin bu işte birlikte olduğumuzu hatırlamaktır. Aslında şef bilgi güvenliği görevlilerinin (CISO’lar) yapabileceği en büyük hatalardan biri sigorta sağlayıcılarına ortak muamelesi yapmamaktır.
Buraya Nasıl Geldik?
Mevcut zorlukları takdir edebilmemiz için sektörün nasıl geliştiğine dair kısa bir fikre sahip olmak faydalıdır. Başlangıçta siber sigorta primleri neredeyse tamamen içgüdülere dayanıyordu ancak bunun uzun vadede savunulması mümkün değildi. Böylece, hasar beklentilerinin sigortalı havuzu genelinde uygulanan genel piyasa kayıplarına dayandığı, makro görünümlere dayalı bir sistem geliştirildi.
Ancak bu yaklaşımın sorunu, hasar taleplerinin hızla tahminleri aşmaya başlaması ve sigortacıların zarar riskinin poliçe sahiplerinin bir alt kümesi arasında yoğunlaştığını gözlemlemesidir. Ayrıca sigortacılar, bir poliçedeki kaybın diğer poliçelere karşı talep olasılığını artırdığı sistematik veya korelasyon riski konusunda da endişe duymaya başladı. Sigortacılar için işler hızla kontrolden çıkıyordu.
Bizi şu anki durumumuza getiren bir sonraki gelişme, sigortalama sürecinin kendisidir. Makro görünüme dayalı poliçelerin neden olduğu kayıpları azaltmak için sigorta uygulamaları önemli ölçüde daha karmaşık hale geldi ve özel bir poliçe oluşturmak amacıyla ayrıntılı görüşmeler, görüşmeler ve saha ziyaretleri gerektirdi. Kuruluşların genellikle çok faktörlü kimlik doğrulama ve uç nokta algılama ve yanıt yeteneklerini kullanma gibi belirli eşik koşullarını karşılamaları ve tarafsız bir üçüncü taraf tarafından yapılan ortamlarının “dışarıdan içeriye” taramasını geçmeleri gerekir.
Buradaki sorun, BT varlıklarının politika dönemi boyunca sürekli bir değişim halinde olmasıdır; bu da, en doğru ve ayrıntılı bilgileri sağlamaya çalışan kuruluşlar için bile, bir anket yoluyla gerçek anlamda doğru ve ayrıntılı bilgilerin elde edilmesini neredeyse imkansız hale getirmektedir. Bu durum, fiyatlandırma ve poliçe koşullarında önemli dalgalanmaların olduğu bir ortam yaratarak sigortacılar ile poliçe sahipleri arasında gerilimin artmasına neden oldu.
Nereye Gitmemiz Gerekiyor
Gerçek anlamda ortak olabilmek için kuruluşların ve sigortacıların öncelikle ortak bir hedef üzerinde anlaşması gerekir: riskin azaltılması. Bu işin kolay kısmı olmalı. Mevcut sigortalama süreci riski belirlemeye çalışıyor, ancak bunu bireysel kuruluşlar için güvenilir bir şekilde belirleyemedi. Sigortalı tarafta, CISO’lar düzenli olarak yönetim kuruluna yönelik bütçe görüşmelerini risk açısından çerçeveliyor, dolayısıyla terminoloji üzerinde anlaşmaya varılıyor.
Eksik parça, her iki tarafın da memnun olduğu riski ölçmenin bir yolunu oluşturmak ve böylece politika fiyatlandırmasının buna dayanmasını sağlamaktır. Bunu başarmanın tek yolunun, başvuran bir kuruluşun siber duruşu inceleyen güvenlik duvarı içinden elektronik olarak toplanan ölçümlerin paylaşılması olduğunu düşünüyorum. Manuel olarak doldurulan anketlerin aksine, bu veriler ortamın güvenilir bir anlık görüntüsünü sağlayabilir. Bu, bir olayın görgü tanığı olmak ile o olayın yüksek çözünürlüklü kaydı arasındaki farktır; aslında ikisi arasında hiçbir karşılaştırma yoktur.
Bu ortaklık temasının gündeme gelmeye devam etmesinin nedeni, herhangi bir CISO’nun bu tür özel bilgileri paylaşmasının büyük bir talep olmasıdır, özellikle de sağladıkları bilgilerin primleri artırmak için kendilerine karşı kullanılacağından endişeleniyorlarsa. Çok sayıda sigortacıyla yakın çalışma nedeniyle tanıdığım hiçbir siber sigortacının motivasyonu bu değil. Sektördeki siber güvenlik uzmanları gibi onlar da sürekli değişen bir ortamda yönlerini bulmaya çalışıyorlar ve bu radikal şeffaflık sigortalıya fayda sağlayacak.
Sigortacılar bu anlık görüntüyü aldıktan sonra, bunu inceleyebilecek ve temel bulgular ve öncelikli iyileştirme önerileriyle ilgili ayrıntılarla yanıt verebilecek ve başvuru sahibinin bu ayarlamaları yapmasına ve daha iyi bir poliçe fiyatı almak için yeniden göndermesine olanak tanıyacak.
Günün sonunda sigorta sağlayıcıları ve CISO’lar aynı takımda yer alıyor, dolayısıyla CISO’lara en büyük tavsiyelerimden biri: siber sigorta şirketi bir ortak olarak. Güçlü bir ilişki geliştirmek ve düzenli diyalog içinde olmak, yenileme ve hak talepleri sürecini iyileştirecektir. Unutmayın, hiç kimsenin siber güvenlik riski ve kayıpları hakkında bir siber sigorta şirketinden daha fazla verisi yoktur.