Siber güvenlik sigortası pazarı gelişip olgunlaştıkça, sigorta devi Lloyd’s of London, çoğu ulus-devlet saldırısını kapsam poliçelerinden hariç tutmaya hazırlanıyor. Bu tür değişikliklerin ardından kuruluşlar siber sigorta stratejilerini yeniden değerlendiriyor.
Lloyd’s duyurusu, ulus-devlet veya ulustan ilham alan tüm siber saldırıları açıkça dışlamasa da, neyin kapsandığı ve kapsanmadığıyla ilgili bazı tanımları sağlamlaştırıyor.
Next DLP’de güvenlik stratejisti olan Chris Denbigh-White, “Bu kılavuz artık siber sigorta poliçesi sağlayıcılarının ifadelerine sızacak” diye açıklıyor.
Kuruluşlar, siber sigortanın ele alamayacağı riskleri anlamak istiyorlarsa, hangi poliçelerin en iyi değeri ve kapsamı sunduğunu bulmalı ve diğer risk tedavi önlemlerini incelemelidir, diyor.
Kendi kendini sigortalama, şirketlerin sigorta kapsamlarını ve maliyetlerini daha dikkatli bir şekilde uyarlamalarına olanak sağlayabilir.
Kendi Kendini Sigortalamada Fırsatlar ve Riskler
Denbigh-White, “İyi uygulanmış bir kendi kendini sigortalama stratejisi, bir kuruluşa maliyetlerin ve kapsamın ayrıntılı kontrolünü sağlama potansiyeline sahiptir” diyor. “Kısa vadede, amacı üçüncü taraf bir sigortacı için gelir elde etmek yerine potansiyel siber olayların iyileştirilmesini kapsamak olacağından, belirli bir ölçüde maliyet tasarrufu sunabilir.”
Bununla birlikte, kendi kendini sigortalayan bir kuruluş, bir sigorta talebinde bulunmayı gerektiren bir olayın olasılığını azaltmak için kaynaklarını güvenlik kontrollerini ve yeteneklerini geliştirmeye odaklamazsa, en azından kendi kendine sigorta fonunu iflas etme konusunda ciddi bir şansa sahip olur – eğer değilse. tüm şirket — bir veya iki etkinlik aracılığıyla.
Denbigh-White, “Kendi kendine sigorta, bir kuruluşun tüm kayıpları karşılamaktan sorumlu olmasını gerektirir” diyor. “Bu bariz görünse de, kendi kendini sigortalayan bir kuruluş, gelecekteki herhangi bir iddiayı ele almak için yalnızca kendi sigortasına yatırdığı parayı çekebilir.”
Buna karşılık, ticari sigorta şirketleri yalnızca çok sayıda müşteri priminden fonlara erişim sağlamakla kalmaz, aynı zamanda yukarı yönlü destekten de yararlanabilirler. Bu genellikle reasürans (yükleme) ve hatta bazı durumlarda hükümetlerin desteğini içerir.
Ek olarak, bir kuruluş içinde böyle bir kendi kendini sigortalama işlevi kurmanın idari yükü, engelleyici derecede karmaşık ve maliyetli olabilir. Kendi kendine sigorta, kuruluşların harici bir sigorta sağlayıcısını değiştirebilecekleri şekilde “geçiş yapabilecekleri” bir şey değildir, Denbigh-Beyaz notlar.
“Böyle bir programın uygulanması, çoğu durumda yönetimi, talep işlemeyi, düzenleyici iletişimleri ve günlük operasyonları desteklemek için bir iş fonksiyonunun kurulmasını gerektirir” diyor.
Para Tasarrufu Pahalı Olabilir
İdari ve mali kapasiteye sahip kuruluşlar için kendi kendine sigorta geçerli bir yaklaşım olabilir. Ancak olmayanlar için, hizmet veren pahalı bir girişim olabilir. daha fazla maliyet ve daha az koruma.
Viakoo CEO’su Bud Broomhead, kendi kendini sigortalamanın, kuruluşu işine özgü doğru bir risk değerlendirmesi yapmaya odaklanmaya zorlama avantajına sahip olduğunu söylüyor.
“Sonuçta, bir kuruluş kendi kendini sigortalama yoluyla önemli maliyet tasarrufları elde edebilir ki bu nihai olarak ana faydadır” diyor.
Ana risk, yanlış anlamada yatmaktadır. Bir saldırının kurbanı olan kendi sigortalı bir kuruluş, sigorta yoluyla olabileceği gibi kayıplarını telafi edemez. Broomhead, “‘Siyah kuğu’ riski şirket tarafından tamamen karşılanır ve risk değerlendirmesinde dikkate alınmadığı için çok daha pahalı olabilir” diye ekliyor.
Güvenliği Artırma Bir Sigorta Stratejisidir
Deepwatch bölge başkan yardımcısı Bill Bernard, en iyi sigorta stratejisinin sigorta kullanmaya ihtiyaç duymamak olduğunu söylüyor.
“Bir benzetme olarak, otomatik çarpışma korumalı frene sahip bir araba satın almak, bir araba sigortası talebinde bulunmam gerekme olasılığını azaltıyor” diye açıklıyor. Bu tür önleyici düşünme, siber güvenlik olaylarına karşı başarılı bir şekilde kendi kendini sigortalamak için kritik öneme sahip olacak, diyor.
Talep olaylarının sayısını en aza indirmenin yolu, olayları talep oluşturan olaylara dönüşmeden önce algılamak, yanıtlamak ve bunlardan kurtarmak için iyi hazırlanmış bir yetenek dahil olmak üzere sağlam bir güvenlik programına sahip olmaktır.
Bernard, “Ne yazık ki, bu yetenekler şirketler tarafından genellikle maliyet merkezleri olarak görülüyor ve bu düşüncenin değişmesi gerekecek” diyor.
Federal Düzenlemelerin Etkisi
Su, demiryolu, havacılık ve sağlık gibi kritik sektörlere getirilen yeni düzenleme ve üçüncü taraf güvenliğine artan odaklanma ile birçok kuruluş, devlet sözleşmeli işleri için daha iyi rekabet edebilmek için kontrolleri güçlendiriyor.
Critical Insight’ın CISO’su Mike Hamilton, “Kontroller geliştikçe, bu kontrollerin daha düşük teminat maliyetiyle sonuçlanacağını ummak için sigorta şirketiyle yapılan görüşmeyi yeniden gözden geçirmeye değer” diyor. “Ayrıca, federal hükümetin TRIP programı doğrultusunda reasürör olmayı incelemesiyle, sigorta şirketlerine daha fazla nefes alma alanı tanınıyor ve bu da primlerin düşmesine neden olabilir.”
ekler Sonraki DLP’ler Denbigh-Beyaz: “Özellikle ABD pazarıyla ilgili olarak, siber sigorta için olası bir federal geri durdurmayla ilgili daha fazla duyuru için yakından izliyor olacağım.”
Hamilton, kendi kendini sigortalamanın dönüşümlü olarak “sigorta yok” olarak adlandırıldığına dikkat çekiyor.
“Yetersiz bir miktar ayrılırsa, bir siber olay varoluşsal olabilir” diyor. “Öte yandan, bu zarları bir yıl boyunca atmak ve kontrollere yatırım yapmak, risk gözle görülür şekilde azaldığı için prim maliyetlerini düşürme etkisine sahip olacak.”
Siber Sigorta Pazarında Daha Kapsamlı Değişiklikler
Nasıl sürdüğünüzü sigorta şirketine bildiren aracınızdaki bir cihaza dayalı araba sigortası gibi, siber sigorta da müşterinin siber güvenlik uygulamalarını sürekli izleyerek riski fiyatlandırmak için verilere ihtiyaç duyar. Hamilton diyor ki,
“Sonunda, sigorta şirketleri bu hizmeti sigortalı olmanın bir koşulu olarak gruplandırmaya başlayacak” diye açıklıyor.
Denbigh-White, sigorta şirketlerinin güçlü siber güvenlik önlemlerinin yalnızca yürürlükte olmakla kalmayıp belirtilen amaçları doğrultusunda etkili olduğuna dair daha yüksek düzeyde “kanıt” talep etmesi nedeniyle risk yönetimine daha fazla önem verileceğini tahmin ediyor.
“Politikalar, basit istisnaların ötesine geçebilir ve müşterilerin kendi özel ihtiyaçlarını ve risk profillerini ele alan kapsamı seçmelerine olanak tanıyacak şekilde giderek daha fazla kişiye özel hale gelebilir” diyor. Bu, müşterilerin risklerinin bir kısmını kendi kendine sigortalamaya karar verdiği hibrit düzenlemeleri destekleyen sigortacıları içerebilir.
Denbigh-White ekliyor: “Genel olarak 2023, siber sigorta sektörünün kesin olarak olgunlaştığını ve müşterilerin risk azaltma stratejileri içindeki yerinin daha iyi anlaşıldığını görecek.”