Siber Sigortacılık, Yönetim ve Risk Yönetimi
Kredi Derecelendirme İşletmesi Siber Sigorta Pazarının ‘Önemli Büyümeye Hazır’ Olduğunu Söyledi
Mathew J. Schwartz (euroinfosec) •
6 Eylül 2024
Yakın gözlemciler, siber sigorta pazarının, pazara yeni girenlerin neden olduğu sigorta primlerinde düşüşlere yol açabilecek artan talep nedeniyle patlamaya hazır olduğunu söylüyor.
Moody’s Ratings’in bu haftaki haberine göre, siber saldırıların sistemsel risklere yol açabileceği endişelerine rağmen yeni oyuncular sigorta poliçeleri düzenliyor ve bu durum, birkaç yıllık oran artışlarının ardından sigorta primlerinde “orta düzeyde” bir düşüşe yol açıyor.
Moody’s, “Siber saldırıların sayısı ve karmaşıklığı artmaya devam ederken, önemli mali ve itibar hasarına yol açma ve iş operasyonlarını aksatma potansiyeli nedeniyle siber sigorta pazarı önümüzdeki birkaç yıl içinde önemli bir büyümeye hazırlanıyor” dedi.
Ayrıca bakınız: Hazırlıksız Olmanın İşletmenize Maliyeti
Sigortacılar siber tekliflerine yönelik talebin daha da artacağını düşünüyor. Çokuluslu sigorta devi Munich Reinsurance Company bu yılın başlarında 15 ülkede 7.500 üst düzey karar vericiye siber risk ve siber sigorta hakkındaki görüşlerini sordu ve %87’sinin çevrimiçi tehditlere karşı yeterince korunmadıklarını düşündüklerini buldu.
Endişelenenler, küresel siber sigorta pazarını 2023’te 14 milyar dolardan – 2018 pazarının iki katı – 2027’ye kadar yaklaşık 29 milyar dolara çıkaracak, Munich Re tahmin ediyor. Şirket Şubat ayında brüt siber primlerde 2 milyar dolar yazdığını bildirdi ve siber sigorta işinin henüz bir sigorta kaybı yaratmadığını söyledi.
Fidye yazılımları, iş e-postası ihlal saldırıları ve veri hırsızlığı “risk sahipleri ve siber sigortacılar için ana kayıp sürücüleri olmaya devam edecek” diye bildirdi Munich Re. Ayrıca yapay zeka, bulut bilişim ve veri analitiği araçları gibi yeni teknolojilerin artan benimsenmesi ve tedarik zinciri ve jeopolitik riskler de önemlidir.
Düzenlemeler ek bir faktördür. “Önemli büyüme potansiyeli özellikle artan raporlama gereklilikleri ve veri koruma yasalarının ötesine geçen düzenlemeler ve karar vericiler için artan sorumluluk tarafından yönlendirilecektir,” dedi.
Munich Re, giderek daha fazla kuruluşun risklerini daha iyi yönetmek için siber sigortaya yöneldiğini ancak “sigortalı kayıplar ile ekonomik kayıplar arasındaki boşluğu kapatmak için hala kat edilmesi gereken uzun bir yol olduğunu” söyledi.
8,5 milyon Windows ana makinesinin çökmesine neden olan hatalı bir CrowdStrike yazılım güncellemesinin tetiklediği son küresel kesinti, hem günümüz sistemlerinin ve tedarik zincirlerinin birbirine bağlılığını hem de tek noktadan kaynaklanan arızaların yaygınlığını gösteriyor.
Sigortacılar açısından, büyük ölçekli saldırıların veya kesintilerin olasılığını ve etkisini tahmin etmek hâlâ zorlayıcıdır.
“Siber modelleme ilerledi, ancak riskler sürekli olarak evrimleşiyor ve bu da geri dönüş dönemleri ve bir olayın olasılığı konusunda belirsizlik yaratıyor,” dedi. “Son zamanlardaki büyük kayıplar ve tedarik zinciri saldırıları, Ukrayna’daki topyekün savaşın zaten yol açtığının ötesinde, politika dilinin, risk kümelerinin ve modelleme uygulamalarının daha fazla incelenmesine yol açacak.”
Munich Re, CrowdStrike, Progress Software’in MoveIT güvenli dosya transfer aracı, Microsoft Exchange Online, SolarWinds, yönetilen hizmet sağlayıcısı Kaseya veya Change Healthcare ile bağlantılı büyük kesintiler veya ihlallere rağmen, sağlam verilerin eksikliği nedeniyle doğru modeller oluşturmanın karmaşık olmaya devam ettiğini söyledi. Şirket, bunların zarar verici olsa da “şimdiye kadar en büyük sorun” olmaktan uzak olduğunu belirtti.
Moody’s, bunun siber sigorta pazarının henüz olgunlaşmamış olmasına katkıda bulunduğunu ve bunun “sektör genelindeki poliçe dili, hüküm ve koşullardaki anlamlı farklılıklara” yansıdığını söyledi. Ayrıca, birçok siber riskin sigortasız veya yetersiz sigortalı olduğu ve bunun da işletmeler ve küresel ekonomi için önemli riskler oluşturabileceği belirtildi.
Moody’s, sigortacıların bu belirsizliklere savaşla ilgili olaylar için istisnalar ve “diğer sistemsel olaylar için alt limitler” koyarak tepki verdikleri konusunda uyardı (bkz: İhlal Özeti: Siber Sigorta İhlal Maliyetlerini Karşılamıyor).
Son CrowdStrike kesintisi, siber sigorta kapsamı ile gerçek hasarlar arasındaki açıkları vurguluyor. Bulut kesintisi risk modellemesi ve sigortacılık ajansı Parametrix Solutions, en kârlı 500 ABD şirketinin dörtte birinin kesintiden etkilendiğini ve bunun sonucunda toplu olarak 5,4 milyar dolarlık doğrudan kayıp göreceğini söyledi. Sigortacıların bu kayıpların yalnızca 400 milyon ila 1,5 milyar dolarlık kısmını karşılayacağını öngördü.
Munich Re yönetim kurulu başkanı Joachim Wenning, sigortacıların en zararlı, felaket niteliğindeki siber olayların oluşturduğu riski asla yönetemeyeceğini ve bunun için hükümet düzeyinde müdahalenin gerekeceğini söyledi. Bu yılın başlarında, “Felaket niteliğindeki olaylar için ‘hükümet destekleri’ konusunda umut vadeden diyaloglar çoktan başladı,” dedi.
Munich Re, “Almanya ve Avrupa’daki politikacılar böyle bir güvenceyi tartışmalı; bu konuda ABD’de diyalog halihazırda devam ediyor” dedi.