Yılın o zamanı – kurumsal siber sigorta poliçesini yenileme zamanı ve şirketteki en kıdemli siber güvenlik uzmanı olarak yıllık siber güvenlik anketini doldurmanız isteniyor. CIO veya CISO’nun sandalyesinden, her bir taşıyıcının sorulan farklı sigortalama sorularının şirkette güvenlik riskini yönetme gerçekliğinizle çok az ilgisi yok gibi görünebilir. Sorulan soruların düzenliliğine dayanarak, MFA veya PAM’ın siber güvenlik duruşunuzu tanımladığına inanmaya yönlendirilebilirsiniz, ancak birincil riskinizin MFA’nın etkinleştirilmesi olmadığını biliyorsunuz – hepsi uygulamada.
Yirmi yılı aşkın bir süredir dünyanın en büyük broker ve taşıyıcılarında CIO ve CISO olarak geçirdikten sonra, teknik güvenlik ve sigorta kapsamı arasındaki bağlantıların tekrar tekrar gerçekleştiğini ve daha da önemlisi bunların nasıl köprü kuracağını gördüm.
Güvenlik ve kapsam arasındaki artan bölünme
Siber sigorta piyasası temelde değişmiştir. Bugünün sigortalı soruları keyfi değil – onlarca yıllık talep verilerine ve kayıp kalıplarına dayanıyorlar. Güvenlik liderlerinin sıklıkla reddettikleri sorular, gerçeklikten kopukluk olarak, ödemeleri iddia eden şeyin kesin göstergeleridir.
Taşıyıcı zihniyetini anlamak
Sigorta taşıyıcıları ve güvenlik liderleri risk söz konusu olduğunda genellikle farklı diller konuşurlar. CISO’lar kapsamlı risk yönetimi ve güvenlik en iyi uygulamalarına odaklanırken, taşıyıcılar ampirik kayıpların azaltılmasına lazer odaklıdır-tarihsel verilere dayalı iddiaları önleyen şeydir. Bir güvenlik kontrolü, NIST veya ISO 27001 gibi çerçevelerle mükemmel bir şekilde hizalanabilir, ancak talep verilerinde ölçülebilir kayıp azalması göstermediyse, taşıyıcılar yükleme kararlarında buna değer vermez.
Bu gerçeklik, Uluslararası Kontrol Hizmetlerine (ICS) karşı 2022 Travellers sigorta davasında açık bir şekilde gösterilmiştir. Tüm ağlarını şifreleyen yıkıcı bir fidye yazılımı saldırısı geçirdikten sonra ICS, siber politikaları kapsamında bir talepte bulundu. İddia soruşturması sırasında gezginler, ICS’nin çevrelerinde çok faktörlü kimlik doğrulama (MFA) kullandıklarını belirtmiş olsa da, aslında birkaç kritik uzaktan erişim noktasında uygulanmadığını keşfettiler-sadece ihlalden sonra ortaya çıkan bir ayrıntı. Bu, gezginlerin tüm politikayı iptal etmeye çalışarak IC’leri milyonlarca kurtarma maliyetlerine maruz bırakmasına neden oldu.
Broker’in Gözü Kapsam Boşlukları Görünümü
Bu model sektörde oynamaya devam ediyor. 2021’de Sinclair Yayın Grubu olayını ele alalım – bu sadece başka bir fidye yazılımı saldırısı değildi. Olay, kritik yayın sistemlerini şifreledi ve şirketi reklam sistemlerinden yerel haber üretimine kadar her şeyi etkileyerek haftalarca aksamaya daldı. Sinclair’in siber sigortası olsa da, özellikle ağ iş kesintisi kapsamı etrafında 70 milyon dolarlık iddialarıyla önemli engellerle karşılaştılar. Karmaşıklık ortaya çıktı çünkü politikaları gerçek operasyonel bağımlılıklarıyla iyi uyumlu değildi.
Şubat 2024’teki son değişiklik sağlık saldırısı bu dersleri daha da güçlendiriyor. Bu sadece bir sistem kesintisi değildi – ülke çapında işleme işlemini işleyen sağlık iddialarını bozan basamaklı bir başarısızlıktı. Olay, teknik bağımlılıkların ve iş kesintilerinin bir kuruluşun doğrudan operasyonlarının çok ötesine nasıl uzanabileceğini, teknik liderlerin neden sadece güvenlik kontrollerini değil, aynı zamanda bu kontrollerin kapsam gereksinimlerine nasıl dönüştüğünü göstermesi gerektiğini gösterdi.
Stratejik Entegrasyon: Her iki dünyadan dersler
İşte işe yarayan kritik adımlar:
- Sigortalama mantığını anlayın
- Sigortalama sorularının gerçek talep verilerini yansıttığını unutmayın
- Kontrol ortamınızı sigorta ile ilgili terimlerle doğru bir şekilde belgeleyin
- Güvenlik uygulamalarını, sigorta taşıyıcılarının kapsamı temin etmesi gereken belirli kontrollerle hizalayın.
- Teknik sigorta boşluğunu köprü
- Güvenlik kontrollerinizi doğrudan politika gereksinimleriyle eşleştirin
- Uygulamalar ve kapsam arasında sürekli uyum
- Kapsamı etkileyebilecek güvenlik değişikliklerini belgeleyin
- Politikanızı aktif olarak yönetin
- Hem güvenlik hem de sigorta lensleri ile kapsama tetikleyicilerini inceleyin
- Hem teknik hem de politika dili perspektiflerinden istisnaları anlayın
- Mevcut tehdit manzarasına karşı kapsam yeterliliğini düzenli olarak değerlendirin
- Olay Yanıt Planlamasına Sigorta Ortakları Ekleyin
- Kapsam boşluklarını belirlemek için brokerinizi masa üstü egzersizlerine entegre edin
- Taşıyıcı onaylı olay müdahale satıcılarını önceden tanımlamak ve doğrulamak
- Bir olay meydana gelmeden önce bildirim gereksinimlerini ve talep prosedürlerini belgeleyin
İlerlemek: Birleşik Bir Yaklaşım
Etkili siber risk yönetimi, hem teknik hem de sigorta perspektiflerini anlamayı gerektirir. En başarılı kuruluşlar, sigorta ortaklarına sadece işlemsel politika sağlayıcılar değil, güvenlik ekibinin uzantıları olarak ele alınır.
Siber sigorta piyasası son yıllarda önemli ölçüde olgunlaştı. Bugünün politikaları daha sofistike ama aynı zamanda daha zorlu. Başarı, hem taşıyıcının risk konusundaki bakış açısını hem de güvenlik uygulamasının teknik gerçeklerini anlamayı gerektirir. Unutmayın: Siber sigortanız sadece bir politika değil, herhangi bir teknik önlem kadar özenle yönetilmesi gereken kritik bir güvenlik kontrolüdür.
Risk yönetimi titremenizdeki tüm oklar arasında – güvenlik kontrollerinden olay müdahale planlarına kadar – Cyber Insurance, bir olay meydana geldiğinde finansal kayıpları azaltmayı garanti eden tek kişi olarak tek başına durur. Ancak bu garanti yalnızca kapsamınızı aktif olarak yönettiyseniz geçerlidir. Sadece anketi doldurmayın ve politikayı dosyalayın. Sigorta satın alma sürecinde aktif bir paydaş olun, kapsamınızı iyice anlayın ve güvenlik uygulamalarınızın politika gereksinimleriyle uyumlu olduğundan emin olun. Bugünün tehdit manzarasında, bunu daha az bir şey olarak göremezsiniz.
Daha fazla okuma
“Gezginler, poliçe sahibi mevcut siber politikayı geçersiz kılmayı kabul et” – Sigorta Dergisi, 30 Ağustos 2022
“Change Healthcare Fidye Yazılımı Saldırısı’ndan Dersler” – Jama Sağlık Forumu, Mart 2024
“Fidye Yazılımı Saldırısı bazı Sinclair Televizyon İstasyonlarını Havadan Çekiyor” – Washington Post, 18 Ekim 2021
Yazar hakkında
Mathew Kulangara, Amerika Birleşik Devletleri’ndeki en büyük bağımsız sigorta aracılarından biri olan Woodruff Sawyer’da ortak, baş bilgi memuru ve Baş Bilgi Güvenlik Görevlisi olarak görev yapmaktadır. Hem Fortune 100 sigorta taşıyıcılarını hem de büyük aracı kurumları kapsayan yirmi yılı aşkın deneyime sahip, teknoloji, güvenlik ve sigortanın kesişimine benzersiz bir fikir getiriyor.
Harvard’daki görev süresi boyunca Kulangara, siber sigorta fiyatlandırma modellerinde öncü çalışmalara katkıda bulundu ve dijital riski ölçmek için erken çerçevelerin kurulmasına yardımcı oldu. Chubb’da kıdemli bir teknoloji yöneticisi olarak deneyimi, taşıyıcı operasyonlar ve iddialar analizi konusunda derin anlayışını bildirdi.
Bugün, teknoloji girişimlerine düzenlenmiş endüstrilerdeki inovasyon konusunda tavsiyelerde bulunuyor ve yapay zeka, siber güvenlik, proje yönetimi ve sigorta dijital dönüşüm konusunda sık sık konuşmacı.
Onunla LinkedIn’de bağlantı kurun veya x @matt_cio hakkındaki görüşlerini takip edin.