Siber sigorta çoğumuzun düşündüğünden daha uzun süredir var. American International Group (AIG), 1997 yılında ilk siber sigorta poliçesini başlattığında, pazar payı kazanmak için tamamen bilinmeyen bir alana adım attı. Şimdi, 26 yıl sonra, siber sigorta, 20 kişiye sunulan bir fikirden, büyük ölçüde yönetici liderliğin yönlendirdiği stratejik bir gerekliliğe geçiş yaptı.
Siber sigorta hâlâ pazarda yeni ortaya çıkan bir alan olarak görülse de, bir güvenlik olayından kaynaklanan mali kayıpları azaltmak ve paydaşlara ve yatırımcılara güvence vermek amacıyla bir poliçe edinmek artık birçok şirket yönetim kurulu için bir öncelik haline geldi.
Şirketlerin politikalarına giderek daha fazla güvendiklerine dair açık kanıtlar da var. Delinea’nın yeni araştırması, işletmelerin neredeyse yarısının (%47) politikalarını geçen yıl birden fazla kullandığını ve bu oranın bir önceki yıla göre %40’a göre %7 arttığını ortaya çıkardı. Ortalama veri ihlali maliyetinin şu anda 4,45 milyon dolar seviyesinde olmasıyla sigorta, hukuki hizmetler, iyileştirme ve soruşturmalara ilişkin ödemelerin karşılanmasında önemli destek sağlayabilir.
Sigortacılar pazara yeni ürünler getirirken, potansiyel ve mevcut poliçe sahiplerinin üstlendikleri siber risklere ilişkin gerekliliklerini giderek sıkılaştırıyor ve kuruluşlardan teminat alabilmek için yüksek düzeyde güvenlik hazırlığı göstermelerini talep ediyor.
Bu senaryoda, başvuru süreci öncesinde yapılan kapsamlı planlama, kuruluşların sigorta kapsamına girme ve politikalarının avantajlarından yararlanma konusunda en iyi konumda olmalarını sağlar. Peki kuruluşların kalifiye olma şanslarını artırabilmelerini sağlamak için öncelikler ve önemli güvenlik faktörleri nelerdir?
Dinamik siber sigorta pazarı
Birleşik Krallık’ta siber sigortanın benimsenme oranları, bir kuruluşun büyüklüğüne bağlı olarak önemli ölçüde farklılık gösterse de, ABD’de son iki yılda birçok pazarda kayda değer bir talep artışı görüldü; primler, büyük ölçüde sigorta primlerinin 2022’de %50 oranında artmasına neden oldu. fidye yazılımı saldırılarının artması. Daha fazla kuruluş finansal güvenlik ağı görevi görecek siber sigorta poliçeleri arayışına girdikçe, küresel siber sigorta pazarının değerinin ikiye katlanarak 2027 yılına kadar 40,3 milyar dolara ulaşabileceği tahmin ediliyor.
Bu rakamlar bir yandan daha fazla şirketin işlerini korumak için proaktif adımlar attığını gösterirken diğer yandan fiyatların keskin bir şekilde arttığını da gösteriyor. Potansiyel müşterilere en cazip şartları sunmak için yarışan sigortacılar arasındaki ilk şiddetli rekabetin ardından, sağlayıcılar verilerinden ve zararlarından ders alarak risk maruziyetlerini azaltmaya başladı. Başvuruları derinlemesine inceliyorlar ve makul bir prim karşılığında bir poliçeyi güvence altına almak için gereken gereksinimlerin sayısını artırıyorlar.
Kendi araştırmamız, sigortaya hak kazanmak için altı ay veya daha fazla süreye ihtiyaç duyan kuruluşların sayısının, tıpkı siber sigorta kapsamını geçersiz kılabilecek istisnalar listesi gibi, hızlı bir şekilde arttığını gösterdi. Bu durum yalnızca yeni başvuru sahipleri için değil, aynı zamanda poliçelerini yenilemek isteyen, ayrıntılı bilgilerden daha fazla haberdar olması, neleri kapsadıkları ve ne zaman talepte bulunup bulunamayacakları konusunda net bir anlayışa sahip olmaları gereken şirketler için de geçerlidir.
Siber sigortaya hazırlığın sağlanması
Sigortacılar siber güvenliğin karmaşıklığıyla başa çıkmaya başladıkça, başvuru sahiplerinin kapsamlı siber risk yönetimi sigorta kapsamı için bir ön koşul haline geldi.
Örneğin ABD’deki sigortacılar politika gereksinimlerini belirlerken giderek daha fazla NIST siber güvenlik çerçevesine başvuruyor. Bu nedenle kuruluşların prim elde etme şanslarını artırmak için odaklanması gereken birkaç temel alan vardır.
İşletmelerin sigorta kapsamına girmeden önce kendilerine özgü siber riskleri iyice anlamaları gerekir. Bu, güvenlik açıklarını tespit etmek ve kuruluşlarının siber risk toleransını belirlemek için ayrıntılı siber güvenlik risk değerlendirmeleri yapmak anlamına gelir.
Sigortacılar, kuruluşların kritik varlıklarını korumak için kötü amaçlı yazılımlara karşı savunma katmanları ve net bir veri güvenliği ve bakım stratejisi gibi sağlam önlemler almasını bekliyor. Kimlik güvenliği özellikle önemlidir; Delinea’nın araştırmasındaki şirketlerin yarısından biraz azı (%49) Kimlik ve Erişim Yönetimi (IAM) ve Ayrıcalıklı Hesap Yönetimi (PAM) kontrollerinin politikaları gereği gerekli olduğunu bildirmektedir.
IAM ve PAM, kuruluşlara hesapların nasıl kullanıldığı ve kimliklerin nasıl davrandığı ve sistemlere nasıl eriştiği konusunda daha fazla görünürlük ve kontrol sağlar; bu, birçok saldırının kimlikten yararlanmaya odaklandığı düşünüldüğünde kritik bir yetenektir. Çok Faktörlü Kimlik Doğrulama (MFA) gibi kontroller de aynı şekilde standart olarak mevcut olmalıdır.
Saldırı tespiti ve tepkisi
Siber sigortacılar ayrıca bir kuruluşun, özellikle dizüstü bilgisayarlar ve bulut sunucuları gibi uç noktaları içeren riskleri ve ihlalleri tespit etme yeteneğine de öncelik veriyor. Bu, gelen güvenlik tehditlerine zamanında tespit ve yanıt verebilen gelişmiş güvenlik araçlarının yanı sıra, iş istasyonlarında ve sunucularda olası kötüye kullanıma yönelik kapsamlı izleme ve uyarı sistemlerinin, şirketin korunması ve kapsama alınması açısından hayati önem taşıdığı anlamına gelir.
Ayrıca sigortacılar, siber tehditlere hızlı ve etkili bir tepki vermek için BT, güvenlik ve geliştiricileri aynı hizaya getiren sağlam bir strateji öngörerek olay müdahale planlarına da büyük önem veriyor. Rol kontrol listeleri ve müdahale önlemleriyle kapsamlı planlar hazırlamak ve düzenli simülasyon egzersizleri düzenlemek, kuruluşların olaylara hazırlıklılığını artıracak ve sigortacılara gerçekten hazırlıklı olduklarını gösterecektir.
Son olarak, saldırı sonrası kurtarma planları da kapsama uygunluğunda önemli bir rol oynamaktadır. Sigortacılar, bir kuruluşun bir ihlal sonrasında operasyonları nasıl eski haline getirmeyi planladığını ve stratejilerini yeniden değerlendirmek için siber olayları nasıl kullanacaklarını ve şirketin güvenlik duruşunu iyileştirmek için tüm çalışanlar için bir öğrenme fırsatı olarak titizlikle değerlendiriyor.
Siber sigorta, herhangi bir azalma belirtisi göstermeyen siber risk seviyeleriyle vazgeçilmez bir varlık haline geliyor. Ancak bu teminatı almak, bir başvuru formunu doldurmaktan daha fazlasını gerektirir. İşletmelerin siber güvenlik konusunda sektördeki en iyi uygulamalar ve çerçevelerle uyumlu proaktif bir yaklaşım sergilemesi gerekiyor. Siber sigorta pazarı geliştikçe, bir şey netleşiyor: Kapsamlı hazırlık sadece bir gereklilik değil, aynı zamanda bir zorunluluktur.