Bu Help Net Security röportajında, Allianz Commercial Küresel Siber İddialar Başkanı Michael Daum, veri ihlalleri ve fidye yazılımı saldırılarındaki artışın etkisiyle 2024 yılında siber iddialarda yaşanan önemli artışı tartışıyor.
Daum, işletmelerin siber hijyen uygulamalarını hayata geçirmeleri ve finansal etkileri azaltmak ve primleri azaltmak için risk yönetimi stratejilerini sigorta şirketlerinin beklentileriyle uyumlu hale getirmeleri gerektiğinin altını çiziyor.
Siber iddialar 2024’te hem sıklık hem de ciddiyet bakımından önemli ölçüde arttı. Bu artışa en çok hangi faktörlerin katkıda bulunduğunu düşünüyorsunuz ve sigortacılar bu değişen risk ortamına nasıl uyum sağlıyor?
Siber iddialar, büyük ölçüde veri ve mahremiyet ihlali olaylarındaki artışın etkisiyle geçtiğimiz yıl yükseliş eğilimini sürdürdü.
Dikkate değer trendlerden bazıları şunlardır: Veri hırsızlığı da dahil olmak üzere fidye yazılımı saldırılarındaki artış, değişen saldırgan taktiklerinin ve giderek daha fazla miktarda kişisel kayıt paylaşan kuruluşlar arasındaki artan karşılıklı bağımlılığın bir sonucudur. Aynı zamanda, gelişen düzenleyici ve yasal ortam, kişisel verilerin yanlış toplanması ve işlenmesi gibi olaylardan kaynaklanan, ‘saldırısız’ olarak adlandırılan veri gizliliğiyle ilgili toplu dava davalarında bir artışa neden oldu; bu iddiaların payı Sadece iki yılda değeri üç katına çıktı.
Günümüzün karmaşık ara bağlantı ağı ve hizmet sağlayıcılara bağımlılık nedeniyle modelleme kritik hale geldi. Sigortacılar müşterilerimizin risklerini değerlendirirken sadece sigortalının risklerini modellemiyoruz. Genişletilmiş ağı, bunların bulutunu, yazılımını ve dijital hizmet sağlayıcılarını modelliyoruz.
Fidye yazılımı, siber iddiaların büyük bir yüzdesini oluşturuyor ancak saldırı dışı veri gizliliği iddiaları artıyor. Bu iki tür hasar genel sigorta piyasasını nasıl farklı şekilde etkiliyor?
Fidye yazılımı, siber sigorta kayıplarının en önemli nedeni olmaya devam ediyor. 2024’ün ilk altı ayında büyük siber iddiaların (>1 milyon Euro) değerinin %58’ini oluşturdu. Ancak gelişmiş siber güvenlik ve yedekleme stratejileri, sigortalı şirketlerin saldırılara karşı daha iyi direnç göstermesine yardımcı oluyor.
Emniyet teşkilatının ve artan uluslararası işbirliğinin memnuniyet verici başarıları olsa da, fidye yazılımı tehdidi ortadan kalkmayacak. Allianz Commercial’ın teknoloji sağlayıcılarından siber tehdit istihbaratı analizine göre, fidye yazılımı saldırılarının sayısı geçen yıl ortalama %75 arttı.
‘Saldırı dışı’ veri gizliliği iddialarındaki artış, teknolojideki gelişmelerin, kişisel verilerin artan ticari değerinin ve gelişen düzenleyici ve yasal ortamın sonucudur. Rıza ve veri kullanımı gibi gizlilik ihlalleriyle ilgili olarak büyük ABD ve uluslararası şirketlere karşı toplu dava açma eğiliminin arttığı ABD’de daha fazla veri gizliliği ihlali iddiası görüyoruz. Bu iddialardan bazılarının maliyeti, yüz milyonlarca dolarlık bir fidye yazılımı olayından bile daha büyük olabilir.
Düzenleyici para cezaları ve toplu davalar da dahil olmak üzere veri ihlallerini ele almanın maliyeti artmaya devam ediyor. Şirketler bu tür iddiaların mali etkisini daha iyi yönetmek için hangi stratejileri uygulayabilir?
Veri ihlali riskleri, güçlü erişim kontrolleri, veritabanı ayrımı, yedeklemeler, yama uygulama ve eğitim dahil olmak üzere iyi siber hijyen yoluyla en iyi şekilde azaltılabilir. Tedarik zincirlerindeki siber zayıflıkları daha iyi gözlemleyebilmek, birçok şirketin gelişmesi gereken bir alandır.
Erken tespit ve müdahale yetenekleri de çok önemlidir. İhlallerin yaklaşık üçte ikisi genellikle üçüncü bir taraf veya saldırganların kendileri tarafından rapor ediliyor. Erken tespit edilip kontrol altına alınmayan siber ihlaller, tespit edilenlerden 1000 kat daha pahalı olabilir; 20.000 Euro’luk kayıp arasındaki fark 20 milyon Euro’ya dönüşebilir.
Yapay zeka aynı zamanda siber saldırılara karşı mücadelede de önemli bir araç haline geliyor; çünkü bir güvenlik ihlalini hızlı bir şekilde tespit edebiliyor ve sistemleri ve veritabanlarını otomatik olarak izole edebiliyor; ayrıca bir veri ihlali iddiasının maliyetini ve yaşam döngüsünü önemli ölçüde azaltma potansiyeline sahip. Adli tıp ve bildirimler gibi görevlerin otomatikleştirilmesi, şirketlerin milyonlarca dolar tasarruf etme potansiyeline sahiptir.
Siber sigortaya yatırım yapan kuruluşların sayısı arttıkça, iç siber risk yönetimi uygulamalarını sigorta şirketlerinin primlerini ve hasar risklerini düşürme beklentileriyle nasıl daha iyi uyumlu hale getirebilirler?
Siber güvenlik ve veri ihlaline müdahale yeteneklerinin yanı sıra kuruluşların veri gizliliği ihlallerini önlemeye ve hafifletmeye de daha fazla dikkat etmesi gerekiyor.
Kuruluşların verileri korumak, erişimi iş gereksinimi olan kişilerle sınırlamak ve üçüncü taraflar için şifreleme ve izleme kullanmak için risk temelli bir yaklaşım benimsemesi gerekiyor. Veri sızıntısını önleme araçları ve kullanıcı davranışı analizleri, olağandışı veri erişimi veya veri hareketlerinin tespit edilmesine de yardımcı olabilir.
Biyometrik, genetik veya sağlık verileri gibi daha hassas özel veriler en üst düzeyde siber güvenlik altında tutulmalıdır. Biyometrik verileri toplayan kuruluşlar, bunları yerel olarak saklamalı, ayrı ve şifreli olarak tutmalı, erişim hakları sıkı bir şekilde denetlenmeli ve üçüncü taraflarla paylaşılmamalıdır.
Allianz Ticari risk değerlendirmesi bugün halihazırda veri işleme unsurlarını içeriyor ancak gelecekte kapsam daha da artacak ve sigortalılara veri ihlali kayıplarından en iyi şekilde nasıl kaçınabilecekleri konusunda anlamlı tavsiyeler sunulacak.
Yapay zekanın artan önemiyle birlikte, izin ve verilerin yetkisiz kullanımıyla ilgili riskler de artıyor. Şirketlerin ileriye dönük olarak veri gizliliği yönetiminin entegre edildiğinden emin olmaları gerekir.
Siber sigortanın kapsamı ‘saldırı dışı’ olayları da içerecek şekilde geliştikçe, işletmelerin teminat ihtiyaçlarının önümüzdeki birkaç yıl içinde nasıl değişeceğini düşünüyorsunuz?
Sigorta sektörünün siber riskin veri gizliliği yönüne olan odağını da artırması gerekiyor ve giderek önemi artan bu riske maruz kalma alanı hakkında işletmelere kayıp önleme ve hafifletme tavsiyeleri sunma konusunda önemli bir rol üstlenmeli. Siber sigortanın değeri hasarların ödenmesinin çok ötesine geçer. Sigorta, şirketlerin siber güvenlik yatırımı için iş senaryosu oluşturmalarına ve kaynaklarını en etkili önlemlere yönlendirmelerine yardımcı olur.