Veri ihlallerinin, fidye yazılımlarının ve diğer siber saldırıların maliyetlerindeki artış, artan siber sigorta primlerine ve daha sınırlı siber sigorta kapsamına yol açmaktadır. Bu siber sigorta durumu, kapsam bulmakta zorlanan veya büyük artışlarla karşı karşıya kalan kuruluşlar için riskleri artırıyor.
Örneğin, Akin Gump Strauss Hauer & Feld LLP’nin hukuk firması müşterileri, sigorta oranlarında üç kat artış bildirdi ve taşıyıcılar, son iki yılda teminat limitlerinde “büyük bir geri çekilme” yapıyor. Siber güvenlik uygulamalarının eş başkanı Michelle Reed, “Azaltılmış teminat miktarı artık poliçe sahiplerini siber kayıplardan koruyamaz. 10 milyon dolarlık bir poliçe, siber dolandırıcılık için 150.000 dolarlık bir sınırla sonuçlanabilir.”
Siber sigorta durumu o kadar endişe verici ki, ABD Hazine Bakanlığı kısa süre önce potansiyel bir federal siber sigorta müdahale programına ilişkin kamu girdisi için bir talep yayınladı. Bu talep, Federal Sigorta Ofisi (FIO) ve İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından ortaklaşa yürütülen değerlendirmeye ek olarak, “felaket siber olaylardan ve potansiyel finansal risklerden kritik altyapıya yönelik risklerin boyutunu belirlemek için. riskler federal bir sigorta yanıtını garanti eder.”
Bu, dijital ortamların evrimini ve kripto para suçlarını kolaylaştırma etkisini yansıtan siber saldırıların doğasının evriminin doğrudan bir sonucudur. Siber suçlu tarafında, Kendin Yap kötü amaçlı yazılım kitleri ve Hizmet Olarak Kötü Amaçlı Yazılım platformları, siber suça giriş engelini ortadan kaldırdı ve karmaşık saldırıları başlatmayı teknoloji bilgisinden yoksun özenti suçlular için uygun maliyetli hale getirdi.
Siber sigorta kapsamı yalnızca iş kesintisini, veri kurtarmayı ve altyapı hasarını kapsamak için kullanılır. Bugün, kuruluşların siber şantaj maliyetlerini, itibar risklerini, uyumsuzluk cezalarını ve üçüncü taraf sorumluluk risklerini de kapsamaları bekleniyor; bu, kuruluşlar arasındaki ara bağlantı genişlemeye devam ettikçe büyüyen bir alan.
Bir siber sigortacının klasik prim değerlendirme araçları, en iyi uygulama değerlendirme ve sızma testlerine bağlılıktır. Ancak, bu yaklaşımların doğasında bulunan sınırlar birçok düzeyde sorunludur.
- En iyi uygulamalara dayalı değerlendirmenin sınırları:
- En iyi uygulamaların tümü her kuruluşla alakalı değildir.
- En iyi uygulamalara bağlılık bile sınırlı koruma sağlar.
- Kapsamlı yama gibi bazı en iyi uygulamalara ulaşılamaz. CVSS puanı 9’un üzerindeyken yamayı güvenlik açıklarıyla sınırlamak bile gerçekçi değildir. 2021’de ortaya çıkarılan 20184 yeni güvenlik açığından 1165’i 9’un üzerinde puan aldı.
- Sızma testinin sınırları
- Sonuçların geçerliliği, test eden kişinin becerisine ve araçlarına bağlıdır.
- Süreklilikten yoksundur. Kesin bir test olarak, organizasyonun tek bir zamanda anlık görüntüsünü sağlar: çevik geliştirme, ortaya çıkan tehditler ve birbirine bağlılık, penetrasyon testi ömür boyu alaka düzeyini sınırlar.
Güvenlik programlarını optimize eden, maruz kalmayı en aza indiren ve zaman içinde izlenebilen nicel KPI’lar sağlayan İhlal ve Saldırı Simülasyonu, Saldırı Yüzey Yönetimi ve Tehdit Maruziyeti Değerlendirmesi gibi sürekli güvenlik doğrulama teknikleri oyunun kurallarını değiştirir. Sigortalı tarafın tehdide maruz kalmasını değerlendirmeye yönelik savunmacı, reaktif bir perspektiften geçiş yapmak, saldırı saldırılarının tüm MITRE ATT&CK TTP’ler matrisinde neden olacağı değerlendirmeye doğru ilerlemek anlamına gelir.
Güvenlik doğrulama teknolojileri ile gerçekleştirilen sayısal, belgelenmiş değerlendirmeler sağlayabilen bir şirket, bir siber sigorta sigortacısı ile müzakere ederken, aşağıdakileri nasıl yaptığını göstererek tartışmaya öncülük edebilir:
- En iyi uygulamaların ötesinde riskleri azaltır – Kapsamlı değerlendirmeler, en iyi uygulamalara bağlı kalınarak elde edilen güvenliğin teorik bir projeksiyonu yerine, kuruluşun güvenlik duruşunu saldırılara karşı gerçek dayanıklılığına göre ölçer.
- Riski ölçer – Savunma araç yığını tarafından tespit edilen ve önlenen saldırı öykünmesi yüzdesine dayalı sayısallaştırılmış risk puanları, gerçek siber savunma etkinliğinin anında değerlendirilmesini sağlar. Gelişmiş güvenlik doğrulama teknolojileri, başarılı bir ihlalin elde edebileceği potansiyel hasarın kapsamının tam bir ölçüsünü sağlayan tam öldürme zinciri değerlendirmelerini ve yanal hareket yeteneklerini içerir.
- Güvenlik kaymasını önler – Saldırı simülasyon otomasyonu, bağlam içi esnekliğin sürekli olarak yeniden değerlendirilmesini sağladığından, yeni dağıtımlardan veya ortaya çıkan tehditlerden kaynaklanan güvenlik açıkları gecikmeden işaretlenir ve güvenlik duruşunu tehlikeye atmadan önce ele alınabilir.
- Yeni siber sigorta taahhüt yolları açıyor – Güvenlik doğrulamasının sürekli doğası, bir politika sonrası bağlama aşamaları tanımlamak için kullanılabilir. Güvenlik duruşunun zaman içindeki gelişimini ölçmek için güvenlik puanı ile belirlenen güvenlik duruşu sağlığının sürekli veya periyodik olarak yeniden değerlendirilmesi, sigortalıya geçerli pazarlık mühimmatları sağlar.
Bir sigorta sözleşmesi, üzerinde mutabık kalınan temel çizgilerden sapmayı makul bir süre içinde düzeltme gereklilikleri, otomatik olarak oluşturulan değerlendirme raporlarını düzenli olarak paylaşma yükümlülüğü veya kapsam kapsamı ile temel varyansa uyum arasında bir bağlantı gibi unsurları içerebilir.
Güvenlik doğrulaması, son PCI DSS v4.0 güncellemesi gibi uyumluluk düzenlemeleri için bir uyumluluk yolu haline geliyor. Siber sigorta taahhüt süreçlerine güvenlik doğrulamasını dahil etmek, mevcut siber sigorta durumunu ele almak için uzun bir yol kat edebilir ve çevrelerinde böyle bir proaktif yaklaşımı uygulamak için ek bir teşvike sahip olacak kuruluşların siber direncini destekleyebilir.
Not – Bu makale, Cymulate’in baş strateji sorumlusu Andrew Barnett tarafından yazılmış ve katkıda bulunmuştur.