Birçok şirket, siber sigortanın bir saldırıdan sonra onları finansal kayıplardan koruyacağını düşünüyor. Ancak birçok politikanın boşlukları var. Bazı iddialar reddedildi. Diğerleri beklenenden daha az kapsar. Cisos, bir saldırı gerçekleşmeden önce riskleri anlamalıdır.
Siber sigorta ile ilgili yanılgılar
Efsane: Sigorta, bir ihlalden sonra tüm maliyetleri karşılayacaktır.
Gerçek: Politikalar genellikle önemli masrafları hariç tutar. Bazıları fidye yazılımı ödemelerini kapsamıyor. Diğerleri iş kesintisi için ödemeleri sınırlar.
Efsane: Güvenlik standartlarını karşılaşırsak, talebimiz ödenecektir.
Gerçek: Sigortacılar saldırı sırasında güvenliği gözden geçirir. Zayıf noktalar bulurlarsa, bir iddiayı inkar edebilirler.
Efsane: Ulus-devlet saldırıları ele alınmıştır.
Gerçek: Birçok politika onlara “savaş eylemleri” diyor. Bu, ödeme anlamına gelmez.
Ciso, Merkür Riski ve Uyumunda Matthew Rosenquist, siber sigorta yararlı bir araç olsa da, genellikle yanlış anlaşıldığına dikkat ediyor. Çok fazla kuruluş “sigorta inanma hatasını yapmak etkili bir yedek veya kapsamlı bir siber güvenlik risk yönetimi stratejisinin merkezi olabilir” dedi. Gerçekte, sigorta ihlalleri veya fidye yazılımlarını durdurmaz. Sadece aşırı siber saldırılar için bazı mali kayıpları yerinden eder.
Rosenquist, “Sigorta, risk aktarmak için bir mekanizmadır,” diye açıkladı Rosenquist. Bir olayın şansını azaltmaz, ancak eğer gerçekleşirse finansal darbeyi yumuşatabilir. Siber saldırı maliyetleri bazen milyonlarca hatta milyarlara ulaştığında, bir politikaya sahip olmanın “değerli bir zihin parçası” sunabileceğini belirtti.
Yine de, sigorta gümüş mermi değil. Politikalar genellikle sınırlamalar, yüksek primler ve güvenlik duruşu etrafında katı gereksinimlerle birlikte gelir. “Sigortacılar güvenlik duruşlarını inceliyor, katı gereksinimleri zorluyor ve uygun kontrollerin mevcut değilse iddialarını reddedebilir” dedi. Birçok politika, karara karmaşıklık katan istisnalar ve kapsam boşlukları da içerir.
Uygun şekilde kullanıldığında, siber sigorta önde gelen bir rol değil, destekleyici bir rol oynar. Rosenquist, “Kayıptan kaçınmaya ve en aza indirmeye odaklanan savunma yeteneklerini tamamlamalılar” dedi. “Siber sigorta önemli mali yardım sağlayabilir, ancak asla ilk veya tek savunma hattı olmamalıdır.”
İddialar neden reddedildi
- Politika istisnaları: Birçok politika, zayıf güvenlik, çalışan hataları veya kötü yedeklemelerin neden olduğu saldırıları hariç tutar.
- Savaş eylemleri: Yabancı hükümetlerden gelen saldırılar genellikle ele alınmaz.
- Belirsiz terimler: Bazı politikalar, kapsamı kafa karıştırıcı hale getirerek belirsiz bir dil kullanır.
Siber güvenlik ihlallerinin maliyetlerinin büyük bir kısmı, birbirlerine karşı müzakere eden avukatlardan geliyor.
Halock Güvenlik Laboratuarları baş danışmanı ve ortağı Chris Cronin, “Her yıl, netlık siber iddialar çalışması, sigorta ödemelerinin önemli bir kısmının teknik iyileşmeye değil, yasal yükümlülüklere doğru gittiğini gösteriyor” dedi. “Bu, sigorta taşıyıcılarına poliçe sahiplerinin portföylerinde büyük bir sorumluluk riskini temsil ettiğini söylüyor.”
Bu sorumluluk maliyetleri, ihlal edilen bir kuruluşun kullanılıp uygulanmadığı konusunda yasal olarak yasallaşmadan kaynaklanmaktadır. mantıklı Siber güvenlik uygulamaları. Cronin’in söylediği gibi, “sorumluluk suçlamaları genellikle avukatlar arasındaki müzakerelerin sonucudur. Bir taraftaki düzenleyiciler, diğer tarafta savunma avukatları, mantıklılık hakkında tartışır.”
Proaktif risk yönetimi bir oyun değiştirici haline geliyor. Cronin, “Şirketiniz mantıklılığı yönetiyorsa, bu tartışmayı başlamadan bile kazandınız” dedi. “Ve bu sizi sigorta taşıyıcınız için daha düşük bir risk haline getiriyor.”
Düzenleyiciler ve davacılar, dengeleme testine bağlı olan makul siber güvenliğin çalışan bir tanımı etrafında birleşmeye başlıyor: kontrollerin maliyetini halka açılan riske karşı tartmak. Cronin, “Bu, sonsuza dek güvenliğe harcamakla ilgili değil,” diye açıkladı. “Yatırımlarınızın kuruluşunuz dışındaki insanlara – müşteriler veya genel halk gibi risklerle orantılı olduğunu göstermekle ilgili.”
Bu değişim sigorta şirketlerine ve poliçe sahiplerine siber riski azaltmak için pratik bir çerçeve verir. Cronin, “Risk analiziniz bu dengeyi gösteriyorsa, mantıklılık için güçlü bir iddianız varsa ve sorumluluk ücretleriniz azalıyor” dedi.
Sigortacılar için, müşterilerinin risk seviyesini ölçmek için de aerodinamik bir yoldur. Cronin, “Taşıyıcıların sadece poliçe sahiplerinin, geçmiş ihlal yerleşimlerine gömülü ilkeleri (bakım riski analizi veya Docra gibi ilkeleri kullanarak siber güvenlik programları yürüttüğünü sormaları gerekiyor” dedi. “Yüksek ve düşük riskli poliçe sahiplerini tanımlamak için etkili bir turnusol testi.”
Cisos nasıl kapsamı sağlayabilir?
- Yasal ve risk ekipleriyle çalışmak – Politikaların gerçek güvenlik uygulamalarıyla uyumlu olduğundan emin olun.
- Sigortacı Güvenlik Standartlarını karşılamak ve aşmak – Güçlü güvenlik araçları kullanın. Sigortacılar iyi güvenlik kanıtı arıyor.
- Ayrıntılı güvenlik kayıtlarını saklayın – Bir hak talebinde bulunurken uyumluluğu kanıtlayabilmeniz için güvenlik eylemlerini belgeleyin.
- Daha iyi terimler müzakere edin – Bazı CISO’lar daha net terimler ve daha iyi kapsama alanı elde etmek için sigortacılarla birlikte çalıştı.
“Henüz yapmadılarsa, BT hizmet sağlayıcıları, sadece başka bir potansiyel gelir akışı sağlamakla kalmayıp, bu güvenilir danışman statüsünün oluşturulmasına yardımcı olmak için hizmet olarak uyumluluk oluşturmaya yatırım yapmalıdır. Amaç, müşterilerinin siber sigorta poliçelerinde belirtilen yükümlülüklerle güncel kalmasına yardımcı olmak ve kalışları arıtmak ve yazılımları sürdürmek gibi gereksinimlere uymaktır. dış kaynak kullanımı Veri koruma veya uç nokta korumasına benzer şekilde uyum ”dedi.
“BT hizmetleri sağlayıcıları için büyük bir kuyruk rüzgarıdır. Bazı ortaklarımız siber sigorta, sahip oldukları ‘en iyi satış elemanı’ olduğunu iddia eder, müşterilerini güvenilir güvenlik çözümleri ve en iyi uygulamalar benimsemeye yönlendirirler. Siber esneklik, bu işletmelerin sağlayamaması zor olan bir endüstriyi, daha fazla etkilenen bir endüstriyi adlandırmaya yönlendirir. Uygunluğa bağlanırken teknolojiler, know-how ve hizmetleri desteklemek için, ”diye ekledi Pagliuca.
Cisos neden proaktif kalmalı
Sigortacılar daha katı güvenlik gereksinimleri belirleyerek şirketlerin kapsam almaya hak kazanmasını zorlaştırıyor. Siber suç daha maliyetli hale geldikçe primler de artıyor. Hükümetler, politikaların nasıl çalıştığını yeniden şekillendirebilecek Dijital Operasyonel Esneklik Yasası (DORA) gibi yeni düzenlemelere adım atıyor. Aynı zamanda, sigorta şirketleri riski değerlendirmek ve primler belirlemek için AI kullanıyor ve sigortayı daha fazla veri odaklı hale getiriyor. Cisos, güvenliği güçlendirerek, politika değişikliklerini anlayarak ve hem sigorta şirketlerinden hem de düzenleyicilerin daha sıkı bir incelemeye hazırlanarak bu vardiyaların önünde kalmalıdır.
“Birçok işletme hala hedeflenemeyecek kadar küçük olduklarına, siber sigortanın sadece büyük şirketler için olduğunu ya da çok pahalı olduğunu düşünüyor. Bununla birlikte, küçük işletmelerin% 60’ından fazlasının siber saldırılar kurbanı olması, gizlilik ihlalleri, her büyüklükteki örgütleri etkiliyor ve siber sigorta, rekabetçi, özel olarak hazırlanan bir değer yaratarak, uzmanlık ve yardımlar sunuyor. Özel risklerini ve ihtiyaçlarını ele alan, “Interomnia’da sigorta ve reasürans için lisanslı bir komisyoncu olan Tijana Dusper’ı açıkladı.
Siber sigorta bir güvenlik ağı değildir. Cisos bunu daha büyük bir risk stratejisinin bir parçası olarak ele almalıdır. İnce baskıyı okumak, güvenliği geliştirmek ve daha iyi terimler müzakere etmek, şirketlerin maliyetli sürprizlerden kaçınmasına yardımcı olabilir.