Fidye yazılımları ve özellikle kimlik bilgileri düzeyindeki diğer ihlallerle ilgili artan endişeler, kuruluşların siber sigortaya her zamankinden daha yüksek oranlarda yatırım yapmasının nedeni olabilir: %48’i zaten kimlikle ilgili olaylar için siber sigortaya (kayıt gereklidir) yatırım yaptı ve bir diğeri %32’si yatırım yapmayı planlıyor.
Ancak birçok kuruluş siber sigortayı siber riski yönetmek için hayati bir araç olarak görse de, sigortacılar daha sıkı teminat politikaları uyguluyor ve talepleri giderek daha fazla reddediyor. Kuruluşlar daha fazla incelemeyle karşı karşıya kaldıkça ve daha sıkı sigortalama süreçlerinden geçerken, kuruluşunuzun siber sigorta kapsamına layık olduğunu gösterebilmek önemlidir.
Siber Sigortanın Değişen Dinamikleri
Son birkaç yıldır sigorta şirketleri, siber sigorta poliçelerini taahhüt etme konusunda giderek daha dikkatli hale geldi ve bu da kuruluşların, ihtiyaç duyulan kapsam düzeyiyle uygun bir fiyat noktasında poliçe satın almasını zorlaştırdı. Sigorta şirketlerinin neden tereddüt ettiğini anlamak zor değil — siber saldırılar artmaya devam ederken, kayıplar sigorta piyasasının kaldırabileceğini aşabilir. 2020 ve 2021’de siber sigorta için daha yüksek hasar oranları, 2022’de bu riski yönetmek için daha yüksek primlerle sonuçlandı.
Check Point Research’e göre, 2021’e kıyasla 2022’de küresel saldırılarda %38’lik bir artış oldu ve buna siber hasarları savunan ve çözüme kavuşturan sigorta şirketlerinin artan maliyetleri eşlik etti. IBM’in “Veri İhlali Maliyeti Raporu 2023” (kayıt gereklidir), kuruluşların %83’ünün birden fazla veri ihlali yaşadığını, bir veri ihlalinin ortalama maliyetinin ise ABD’de 9,44 milyon dolara ve dünya çapında 4,25 milyon dolara ulaştığını gösterdi. Verizon’un “2023 Veri İhlali Soruşturmaları Raporu”, çalınan kimlik bilgilerini saldırganların bir kuruluşa erişmesinin birincil yolu olarak derecelendiriyor ve ardından kimlik avı geliyor.
Primlerin artması, hasar ödemelerinin genellikle sınırlı olması ve bazı taleplerin tamamen reddedilmesine şaşmamak gerek. Willis Towers Watson tarafından 2013-2019’da yapılan bir analiz, veri ihlali iddialarının %27’sinin politikada ödemeyi veya tam ödemeyi engelleyen bir hariç tutma olduğunu gösterdi. Daha yakın bir tarihte, Travellers Property Casualty Company of America, kurum çapında çok faktörlü kimlik doğrulamanın (MFA) kullanımıyla ilgili olarak CEO tarafından imzalanan International Control Services Inc. (ICS) uygulamasındaki önemli yanlış beyanlar nedeniyle kapsama alanını reddetti ve bir siber politikayı feshetmeye çalıştı. Her iki taraf da poliçeyi geçersiz kılmayı kabul etti. Yerinde kimlik kontrollerini yanlış tanıtmak, kesinlikle ICS’yi saldırganlardan korumadı – ancak siber sigortanın kaybolmasına neden oldu.
Sigorta şirketlerinin artık poliçe sahipleri için daha etkili siber risk yönetiminin savunucuları olması şaşırtıcı değil. Sigortacıların aşağıdakileri yapmasını bekleyin:
- Yerinde minimum kontrolleriniz yoksa kapsamı reddedin. Bu, minimum kontroller için çıtayı yükseltmeyi içerebilir. Örneğin, ortadaki adam (MitM) saldırıları nedeniyle geleneksel MFA yeterince güçlü bir kontrol olarak kabul edilmeyebilir.
- Primleri güvenlik kontrollerinizin vadesine bağlayın.
- Poliçe sahiplerinin güvenlik durumuna ve bir olay meydana geldiğinde uygulanan kontrollere dayalı olarak politikalara ek koşullar ve sınırlamalar ekleyin.
Kontroller Politika Değerini Gösterir
Pek çok kuruluş, siber sigorta sigortacılarının değişen gereksinimlerini karşılamak için tam olarak neleri uygulamaya koymaları gerektiğini anlamaya çalışıyor. Siber riski yönetmek için bu 10 kontrolle başlamak iyi bir yerdir:
- Görünmez/kimlik avına dayanıklı MFA kullanın ve parolasız bir çözüme geçin.
- Ağları bölümlere ayırın ve ayırın.
- Sağlam bir veri yedekleme stratejisi benimseyin.
- Uç noktalarda yönetici ayrıcalıklarını devre dışı bırakın.
- Düzenli olarak çalışanlara güvenlik farkındalığı eğitimi verin.
- Uç nokta algılama ve yanıt (EDR) ve kötü amaçlı yazılımdan koruma çözümlerini devreye alın.
- E-posta sahteciliği ve kimlik avı girişimlerini önlemek için Gönderen Politikası Çerçevesi’ni (SPF) uygulayın.
- 7/24 çalışan bir güvenlik operasyon merkezi (SOC) oluşturun.
- Tehdit algılama, olay yanıtı ve uyumluluk yönetimini etkinleştirmek için bir güvenlik bilgileri olay yönetimi (SIEM) platformu dağıtın.
- Active Directory (AD) ortamlarındaki hizmet hesapları için sağlam güvenlik önlemleri uygulayın.
Bu 10 kontrol harika bir başlangıç noktasıdır, ancak sigortacıların yeni poliçe uygulamalarını incelerken değerlendirecekleri çok daha fazla faktör vardır. Sigortacıların, bir veri ihlalinin olasılığını ve olası etkisini en aza indirmek için kimlik koruma, kimlik doğrulama mekanizmaları, erişim kontrolleri ve kimlik yönetimi süreçlerine yönelik gereksinimleri konusunda daha karmaşık hale geleceği kesindir. Sigorta piyasası ve siber saldırı ortamı değişmeye devam ederken, siber risk yönetimi yaklaşımlarınızın da buna ayak uydurduğundan emin olun.
Daha İyi Kapsam İçin Risk Yönetimini İyileştirin
Birçok siber sigorta poliçesi, kuruluşların veri koruma ve mahremiyetle ilgili belirli düzenlemelere uymasını gerektirir. Bu düzenlemelere uygunluğun gösterilmesi, sigorta kapsamına girme olasılığınızı artırır ve muhtemelen daha uygun poliçe koşullarına da yol açar. Uyum ayrıca, sigorta yüklenim kararlarını, teminat şartlarını ve primleri olumlu yönde etkileyebilecek kimlikleri ve kişisel bilgileri güvence altına alma taahhüdünüzü de gösterebilir.
Siber saldırılar artmaya devam ederken, iyi bir siber sigorta poliçesi kuruluşların kaçınılmaz gibi görünen fidye yazılımı saldırılarına ve veri ihlallerine karşı hazırlanmalarına ve bunları yönetmelerine yardımcı olur. Kimlik erişimi yönetimini ve yeni nesil kimlik doğrulamayı güvenlik programınızın merkezine koymak, siber riski yönetmenize, düzenlemelere uymanıza ve siber sigorta taahhüt gereksinimlerini karşılamanıza yardımcı olabilir.