Siber sigortacılar para kaybediyor. Kayıp oranları – toplam hasar artı sigortacının maliyetleri, kazanılan toplam prime bölünür – şu anda sürekli olarak %60’ın üzerindedir ve bu da sigorta endüstrisi için varoluşsal bir tehdit oluşturuyor ve siber riski, düşen karlılık nedeniyle potansiyel olarak sigortalanamaz bir alan haline getiriyor.
Sigorta sektörü, 2019-2022 yılları arasında yaklaşık %94 oranında artan prim artışları ile sektör büyüyormuş izlenimi yaratarak zararlarıyla mücadele ediyor. Sektör, artan alım oranları veya genişletilmiş kapsam görmüyor – sadece daha yüksek primlerden elde edilen gelirler artıyor.
Fidye yazılımı saldırılarındaki büyüme, hızlı prim artışının sorumlusu. Örneğin, Merck ve Mondelez’in 1.4 milyar $ ve 100 milyon $’a varan sigorta anlaşmaları (2017’deki Rusya’daki NotPetya saldırıları nedeniyle), sigortacıları risk maruziyetlerini daha da sınırlamak için “devlet aktörü” saldırılarına ilişkin terminolojiyi sıkılaştırmaya ve aynı zamanda primleri artırmaya teşvik etti.
31 Mart 2023 itibarıyla, Lloyds of London (dünyanın en büyük sigorta pazarı), sigorta şirketlerinden bağımsız siber politikalara devlet destekli siber saldırılar için açıkça tanımlanmış muafiyet hükümleri eklemelerini isteyecektir.
Pazar yapmak
1997’de AIG, poliçeleri veya primleri bilgilendirmek için herhangi bir aktüeryal veriye rağmen pazar payı kazanmak amacıyla siber sigorta sunan ilk şirketti ve bu da onu tamamen bilinmeyen bir bölge haline getiriyordu. Siber sigorta, özellikle sürekli gelişen tehdit ortamı göz önüne alındığında, diğer sigorta kapsamı biçimlerine kıyasla oldukça öngörülemez bir manzara olmaya devam ediyor.
2016/17’den önce, siber sigorta gelişmekte olan bir pazardı ve genellikle yüksek BT güvenlik riskleri olan kuruluşlar için isteğe bağlı bir eklenti olarak görülüyordu, veri ihlalleri için daha az yasal sonuç (örn.
Lloyds’u örnek alan Birleşik Krallık merkezli sigorta şirketi, 2016 öncesi yıllık raporunda siberden “daha yeni veya daha az anlaşılan bir sektör” olarak bahsetti ve aynı solukta “nükleer, kimyasal, biyolojik ve radyolojik (NCBR) tehditler” olarak bahsetti. ”. Siber pazardan ağırlıklı olarak “düşünce liderliği” ve “yenilikçilik” planlarının bir parçası olarak bahsedilirken, Lloyds “birçoğunun sigortalı olduğunu” belirtiyor. [were] ilk kez alıcılar ”.
Ancak siber saldırıların sıklığı ve maliyeti son beş yılda muazzam bir şekilde arttı.
2016-17’de, WannaCry ve NotPetya gibi kötü şöhretli kötü amaçlı yazılımların ortaya çıkması ve Uber ve Equifax dahil olmak üzere birçok yüksek profilli özel sektör şirketinin saldırılara kurban gitmesiyle, saldırı rakamları, olayların kötü şöhreti ve ölçeği gibi arttı.
2018, yeni GDPR yasalarının ve ek yüksek profilli vakaların (British Airways, Facebook ve Marriott gibi) uygulamaya konulmasıyla siber sigorta talebini artırarak pazarı genişletti.
2020’ye gelindiğinde, fidye yazılımlarının yükselişi, şu anda benzeri görülmemiş bir saldırı oranıyla karşı karşıya kalan siber sigorta sektörü için önemli bir yıl oldu (Travelex, Orange, Toll Group). Siber sigortanın “sigortacılar için diğer sigorta kollarından daha karlı” olma itibarı, sigortacıların ortalama hasar oranı %66,9 gibi rekor bir seviyeye ulaştığı için sona erdi.
2022’de FinCEN (ABD mali suçlar kurumu), tek başına fidye yazılımı maliyetinin 2020’de 416 milyon dolardan 2021’de neredeyse 1,2 milyar dolara yükseldiğini, siber sigortacıların karlılığı üzerinde önemli bir baskı oluşturduğunu ve kayıp oranlarını artırdığını (şu anda 66,4’e kadar) bildirdi. %).
Lloyds’a göre, küresel siber sigorta pazarının önümüzdeki beş ila on yıl içinde yıllık 12 milyar dolar değerindeki primlerden 60 milyar dolara çıkması bekleniyor. Ancak MIT’den Josephine Wolff’a göre, bu büyümenin çoğu, artan alım oranları veya kapsamın genişletilmesinden ziyade, prim oranlarındaki artışlardan kaynaklanıyor.
Ve gelecekteki siber sigorta pazarını tam olarak tahmin etmek neredeyse imkansız.
Sigortacılar, büyümeye devam ederken pazarın istikrar kazanmaya başladığı konusunda bize güvence vermek isterken, diğerleri endüstrinin dramatik düşüşünü veya bildiğimiz şekliyle (Forbes gibi) siber sigortanın ‘yakında ölümünü’ ilan ediyor.
Bu sadece felaket yaratan medya değil. Zürih’in CEO’su Mario Greco, kısa bir süre önce “siber sigorta edilemez hale gelecek” dedi ve kritik altyapıya yönelik tehditlerin daha geniş toplumu temelden bozabilecek tehditleri birincil endişesi olarak gösterdi.
Siber sigorta nasıl değişiyor?
2022’de iki önemli siber sigorta vakası çözüldü: Merck & Co ve Mondelez – Zürih. Her ikisi de, Rusya’nın askeri istihbarat teşkilatına atfedilen ve Ukrayna ile çatışmanın bir parçası olarak konuşlandırılan 2017 NotPetya kötü amaçlı yazılım saldırısına kadar uzanıyor. Birincisi, Merck için 1,4 milyar dolarlık bir galibiyetle sonuçlanırken, Mondelez davası kapalı kapılar ardında sonuçlandı – potansiyel olarak Mondelez’in taleplerinin gerisinde kalan daha az elverişli bir sonuca işaret ediyor.
Her iki dava da bir ‘savaş sebebi’ maddesi iddiasına dayanıyordu. Örneğin, Merck’in politikası ‘düşmanca veya savaş benzeri eylemi’ kapsamadı, ancak mahkeme, Merck’in bu dışlamanın yalnızca, tanınmış bir çatışmanın parçası olarak açıkça “silahlı kuvvetlerin kullanımını içeren” eylemler için geçerli olduğu yönündeki savunmasıyla aynı fikirdeydi.
Birçoğu bu sonuçları poliçe sahipleri için bir kazanç olarak memnuniyetle karşılasa da, gerçek şu ki sigorta şirketleri önümüzdeki yıllarda maliyetlerini karşılamak için primleri artırıyor ve terminolojiyi sıkılaştırıyor.
AIG, siber primlerde %40’tan fazla bir artış bildirdi ve Lloyds gibi “artan siber kayıp trendlerini ele almak için daha sıkı şartlar ve koşullar elde ettiğini” ekledi.
Lloyds Sigortacılık Direktörü Tony Chaudhry, Ağustos 2022’de sigortacılara yönelik bir bültende, siber saldırıların sigorta sektörüne yönelik risklerinin boyutunu ve ölçeğini, özellikle “devlet aktörü” düzeyinde ele aldı.
“Kayıplar, sigorta piyasasının karşılayabileceğini büyük ölçüde aşma potansiyeline sahiptir” uyarısında bulundu. Chaudhry ayrıca, maruziyeti azaltmak için “hem savaş hem de savaş dışı devlet destekli siber saldırılardan kaynaklanan siber saldırı maruziyetini hariç tutmak” için politika maddeleri etrafında daha “sağlam” bir dile ihtiyaç olduğunu yineledi. Bu açıklamalar, sigorta şirketlerinin gelecekte benzer taleplere itiraz etme isteklerinin devam ettiğini göstermektedir.
Kuruluşlar giderek daha pahalı hale gelen siber primleri karşılayabilse (veya gerekçelendirebilse) bile, tazminat talep süreci uzun ve zor olabilir – hem Mondelez hem de Merck davaları için beş yıldan fazla).
Şirketlerin ayrıca, giderek daha titiz hale gelen uyumluluk kontrollerinin ışığında korunmaya hak kazanmak için değişen bir düzenleyici ortamda sürekli artan bir güvenlik kontrolleri seti kurmaları gerekmektedir:
- Bankalardan ve mali düzenleyicilerden gelen katı talepler
- Güncellenmiş siber güvenlik çerçeveleri (yani, NIST’in çerçeve revizyonları)
- Bilgi Komisyonu Ofisi’nden (ICO) yeni kılavuz
Günümüzde sigorta şirketleri, çok faktörlü kimlik doğrulama (MFA) ve uç nokta algılama ve yanıt (EDR) için minimum standartlar da dahil olmak üzere, kuruluşların günlük siber güvenlik operasyonlarını nasıl izleyip yönettiklerine ilişkin çok daha fazla ayrıntıya ihtiyaç duyuyor.
Denetçiler Grant Thornton, personel eğitimi, güvenlik açığı taramaları ve sistem günlüklerinin izlenmesine ilişkin üst düzey kanıtların süregelen gereksinimler olacağının altını çizdi.
Bu tür jeopolitik belirsizlik, yükselen primler ve uyumluluk zorlukları arasında, kuruluşlar siber risk maruziyetlerini yönetmenin birincil yöntemi olarak sigortaya güvenemezler.
Siber sigortayı yeniden düşünmek
Sıfır kapsama göz korkutucu olabilir. Ancak sigortanın algılanan güvenlik ağını ortadan kaldırmak, kuruluşların tam da ihtiyaç duyduğu şey olabilir – işlerini daha güvenli hale getirmek için bir uyandırma çağrısı.
Sigortacıları memnun etmek için uyumluluk kutularını işaretleyerek veya minimum standart yıllık testlere güvenerek değil, kuruluşlarını saldırılara karşı daha dirençli hale getiren kontroller uygulayarak.
Bu, siber sigortanın ek bir risk azaltma katmanı olarak onu finanse edecek araçlara ve kaynaklara sahip olanlar için para israfı olduğu anlamına gelmez.
Ancak, birçok kuruluş artık siber sigortanın rolünü ve 2023 ve sonrasında poliçelerini yenileyip yenilemeyeceklerini yeniden değerlendiriyor.
Siber sigorta, İngiltere’deki kuruluşların çoğu için bir norm değildir.
Birleşik Krallık hükümeti Siber Güvenlik İhlalleri Anketi 2022, Birleşik Krallık işletmelerinin yalnızca %43’ünün siber riskleri kapsayan sigorta poliçelerine sahip olduğunu ortaya koydu. Birleşik Krallık kuruluşlarının %1’inden daha azının bir iddiada bulunmuş olması, siber sigortanın azalan rolünün bazılarının düşündüğü kadar etkili olmayabileceğinin kanıtıdır.
Güvenlik ekipleri için tavsiyeler
Birçok kuruluş 2023’te siber sigorta poliçelerini yenilememeye karar verse de siber savunma yeteneklerine yeniden yatırım yapmaları hayati önem taşıyor.
Potansiyel ihlal etkisinin en aza indirilebileceğinden emin olmalıdırlar. Kuruluşlar uzlaşmanın kaçınılmaz olduğunu varsaymalı ve buna göre plan yapmalıdır.
Siber sigorta pazarı nasıl değişirse değişsin, kuruluşlar uyumluluğun ötesine bakarak siber saldırıları önleme, tespit etme, yanıt verme ve bunlardan kurtulma becerilerine güven duymalıdır.
Kuruluşlar asgari olarak şunlardan emin olmalıdır:
- Yedeklemeler, kurtarmanın mümkün ve pratik olduğundan emin olmak için test edilmiştir
- Etkili kimlik ve erişim yönetimi ve ağ bölümlendirme yoluyla bir uzlaşma durumunda “patlama yarıçapı” en aza indirildi
- Yerleşik bir kurtarma planı tasarlanmış ve belirli olay senaryolarına göre test edilmiştir ve operasyonel dayanıklılığı sağlamak için kritik iş fonksiyonları için beklenmedik durumlar mevcuttur.
Siber sigortaya sahip olanlar, poliçelerini gözden geçirmeli ve belki de tam olarak nasıl sigortalandıklarına dair komisyoncularıyla samimi bir görüşme planlamalıdır.
Siber risk sigortasından vazgeçen kuruluşlar, sağlam güvenlik kontrollerine sahip olduklarından emin olmalıdır. Bu arada, sigorta şirketleri, hasar oranlarını yönetirken, primleri uygun fiyatlı ve müşterileri cezbedecek kadar cazip tutmaya çalışmalıdır.