Bir siber sigorta sağlayıcısı, rakipsiz güvenlik açıklarından kaynaklanan talepler ödemeyecek rakiplerle sorun katıyor.
Yakın tarihli bir LinkedIn görevinde, Siber Sigortacı Koalisyonu, bu istisnaların “yaygın olarak konuşlandırılmasa” olsa da, şirketin son zamanlarda daha fazlasını gördüğünü söyledi. Sigortacı, bazı siber sigorta şirketlerinin, belirli sayıda gün boyunca açılan bir güvenlik açığından kaynaklandığı takdirde ödeme yapmayacağını söyledi. Diğerleri, ödemenin düştüğü sürgülü bir ölçek kullanır.
Koalisyon, “iyi bilinen” bir ABD sigortacısı, üç hafta boyunca bir yama mevcutsa ve uygulanmadıysa, CVSS önem skoru 8.0’dan fazla olan CVV’lerden kaynaklanan kayıpları hariç tutuyor.
Koalisyon Başkanı Tiago Henriques, “Bu mantık, yama basit ve anlaşılır olsaydı mantıklı olabilir” dedi. “Ancak gerçekte, güvenlik açığı yönetimi, sofistike güvenlik ekiplerine sahip işletmeler için bile karmaşık ve kıvrımlı.”
Siber Sigortacılar ve CVE istisnaları
Koalisyon, CVSS 8.0 yama hariç tutmayı çevreleyen verilere baktı. Temmuz 2025 itibariyle, 61.000’den fazla güvenlik açığı bu dışlamaya uyacak, ancak bu güvenlik açıklarının sadece% 1’inden fazlasının CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğunda olduğunu söyledi.
Henriques, yılda 40.000’den fazla yeni güvenlik açıkının bulunduğu bir dönemde, “CVE istisnaları işleri imkansız bir duruma sokuyor” dedi. “Ya binlerce düşük olabilirlik güvenlik açıklarını kovalayan değerli kaynakları boşa harcıyor ya da eşleştirilmemiş bir sistem ihlal edildiğinde reddi reddetme riskini alan bir siber sigorta poliçesine yatırım yapıyor.”
Koalisyon, sigortacıları yama istisnaları veya onayları ile adlandırmadı, ancak CHUBB, güvenlik düzeltmeleri uygulamak için gevşek poliçe sahipleri için “ihmal edilmiş bir yazılım sömürüsü onay” ekleyebilir.
Chubb’un web sitesi, “Güçlü yama yönetimi hijyeni olmayan poliçe sahipleri için Chubb, ihmal edilen yazılımdan yararlanmayı ekleyerek bu riski ele alabilir” diyor. “Bu onay, poliçe sahiplerine, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından işletilen ulusal güvenlik açığı ve maruziyetleri (CVES) olarak yayınlanan yazılım güvenlik açıklarını yamaya 45 günlük bir lütuf dönemi sağlar. 45 günlük lütuf dönemi sona erdikten sonra, politika sahibi ve sigortacının artan bir şekilde karşılaşması arasında risk paylaşımı vardır. Güvenlik açığı 45-, 90-, 180- ve 365 günlük işarette yamalı değil. ”
Siber sigorta yama gereksinimlerine riske dayalı bir yaklaşım
Koalisyon, sigorta şirketinin teknik yardımı ile daha riske dayalı bir yaklaşımı onaylar ve yeni aktif siber politikası kapsamında iyi güvenlik hijyeni olan poliçe sahiplerini ödüllendirir.
Koalisyon güvenliği-sigortacının güvenlik iştiraki-fidye yazılımı çeteleri tarafından kullanılanlara benzer güvenlik açıklarına odaklanıyor ve “önemli finansal riskli en acil, yüksek etkili tehditler için” uyarılar gönderiyor.
Koalisyon, 2024’te, yayınlanmış güvenlik açıklarının sadece% 0,15’ini temsil eden ayda ortalama 5.5 bu tür uyarıyı ve poliçe sahiplerinin% 90’ının geçen yıl tek bir uyarı almadığını söyledi.
Şirket, “Başka bir deyişle, bir koalisyon güvenlik uyarısı alırsanız, önemli olduğu için dikkat edin” diyor.