İngiltere Merkez Bankası düzenleyicisi Prudential Düzenleme Otoritesi (PRA), sektöre yönelik bir stres testi yaptıktan sonra, büyük sigorta şirketlerinin siber riski nasıl modellediği ve buna nasıl tepki verdiğiyle ilgili bir dizi ilgili boşluğu ve sınırlamayı vurguladı.
Stres testi uygulamasında 17 genel sigortacı ve 21 Lloyd’s of London sendikası, siber olaylardan kaynaklanan kayıplara karşı ödeme gücü durumlarını değerlendirdi. Katılımcılar, siber saldırıları önleme, tepki verme ve yanıt verme becerilerine ilişkin bir değerlendirme sağladı.
PRA’da sigorta denetimi icra direktörü Charlotte Garden, “Siberin gelişen bir tehlike olduğunu ve sonuç olarak siber kapsamın gelişmeye devam edeceğini not ediyoruz” dedi. “Bu alıştırma bize pazar genelinde, gelecekteki denetime bilgi verecek çok çeşitli mevcut uygulamaları sağladı.”
Sigorta şirketlerinin – test amacıyla fidye yazılımı saldırıları, veri sızıntıları ve bulut bilgi işlem kesintileri olarak tanımlanan – siber olayların olasılığını belirlemekte zorlandıklarını ve siber politikalarını çok muğlak ifade etme eğiliminde olduklarını tespit etti.
Mevcut uygulamaların “bireysel sigortacılar için senaryo etkilerinin yanlış tahmin edilmesine” yol açabileceği konusunda uyardı.
Diğer şeylerin yanı sıra, uygulama, sigorta şirketlerinin riski nasıl değerlendirdiği konusunda önemli farklılıklar olduğuna dair kanıtlar buldu; bu, nispeten genç bir pazarda mutlaka olağan dışı değildir, ancak ileriye dönük olarak ele alınması gerekir.
Ayrıca, bireysel sigorta şirketlerinin ve sendikaların, sözleşme belirsizliğinin sonuçlarını belirleme yeteneğindeki eşitsizliklerin altını çizdi; bazı taraflar, önemli istisnaların – ulus devlet saldırıları gibi – tutmaması durumunda potansiyel etkiyi doğru bir şekilde değerlendiremedi. Test edilmemiş politika dili ve sözleşme belirsizliği konusunda uyarıda bulundu ve kurulların bu sorun hakkında daha iyi bilinçlendirilmesi gerektiğini söyledi.
PRA ayrıca, politikaların bir olayın ardından tetiklendiği, ancak siber risklerin bunlara açıkça dahil edilmediği veya dışlayıcı dilin bu noktada belirsiz olduğu, olumlayıcı olmayan veya sessiz teminattan kaynaklandığı belirlenen potansiyel iddiaların yüzdesinin şu şekilde olduğunu kaydetti: daha önce yayınladığı kılavuza uygun olarak azaltıyor.
Son olarak, genel olarak, sigorta şirketlerinin siber olayların defterleri üzerindeki etkisini azaltmak için hala maddi olarak reasüransa bağımlı olduğunu da kaydetti.
Garden, gelecekte PRA’nın sigorta şirketlerinin siber olaylardan kaynaklanan potansiyel zararı yönetme ve azaltma uygulamalarını geliştirmelerine yardımcı olmak için hazır olacağını söyledi.
Absolute Software EMEA bölge başkan yardımcısı Achi Lewis şunları söyledi: “Özellikle ekonomik belirsizlik dönemlerinde, kuruluşların siber dayanıklılıklarının, tehdit olasılıklarının ve saldırıları hem önlemenin hem de yanıt vermenin farkında olmaları hayati önem taşıyor.
“PRA’nın tedbiri, firmaları, önemli kesinti sürelerine, veri ihlallerine ve finansal maliyete neden olan büyük siber saldırılarla olabilecek en kötü duruma karşı hazırlamak için önemlidir.
“Büyük saldırıların düzeltilmesi maliyetli olabilir ve genellikle saldırının kendisinin ilk hasarının ötesinde tam bir soruşturma, restorasyon ve yasal prosedürlerin uygulanması haftalar, aylar ve hatta yıllar alır” dedi. “Bu nedenle, tüm kuruluşların siber güvenliğe en yüksek öncelik olarak sahip olması çok önemlidir.”