Siber sigorta, siber güvenlik stratejisinin zorlu bir parçası olabilir; işte günümüzün güvenlik ortamında bilmeniz gerekenler
Yazan John Reith, DataStream Cyber Insurance İş Ortağı Başarı Yöneticisi
Siber sigorta, siber güvenlik uygulamaları için giderek daha önemli bir dayanak noktası haline geliyor. Kapsamlı koruma sağlamak ve veri ihlallerini önlemek her zaman en iyi senaryo olsa da, yeterli bir siber sigorta poliçesi, bir ihlalin ardından soruşturmadan halkla ilişkilere, yasal maliyetlere ve düzenleyici para cezalarına kadar ortaya çıkan büyük masrafları azaltabilir. Siber sigorta genellikle poliçe sahiplerinin yerleşik uyumluluk talimatlarına dayalı olarak belirlenmiş siber güvenlik uygulamalarına bağlı kalmasını gerektirdiğinden, siber sigorta aynı zamanda işletmelerin evlerini düzene sokmak ve düzenleyicilerin iyi tarafında kalmak için koruma önlemleri almasına da yardımcı olabilir.
Gördüğüm kadarıyla çoğu işletmenin, hatta belki her işletmenin siber sigorta yaptırması gerekeceği gün hızla yaklaşıyor. İpotek kredisi verenler, borçluların ev sahibi sigortası yaptırmasını zorunlu kılar ve yasa, her araç sahibinin araba sigortası yaptırmasını gerektirir. Bu, sahipleri sorumluluk almaya ve bir felaketin maliyetini kendileri azaltmaya zorlar. Siber sigorta da benzer bir rol üstleniyor ve kuruluşların hem mali sorumluluk almasına hem de aksi takdirde onları iflasa sürükleyebilecek veri ihlali maliyetlerinden kendilerini korumalarına olanak tanıyor.
Aynı şekilde, bazı kredi verenler artık kuruluşların ticari kredilerini geri ödeyebilmelerini sağlamak için siber sigorta yaptırmalarını şart koşuyor. Bazı işletmeler artık güvenlik ve istikrarlarını sağlamak için tedarik zinciri ortaklarıyla yapılan sözleşmelerde siber sigortaya ihtiyaç duyuyor. Hükümetin, temel altyapıyı temsil eden kuruluşların bir siber güvenlik olayından sağ çıkabilmesini sağlamak konusunda da benzer bir çıkarı var. Bazı yönetilen hizmet sağlayıcılar (MSP’ler) şu anda bile müşterilerinin siber sigorta taşımasını zorunlu kılarak, bunu yapmayan işletmelerle çalışma riskini azaltıyor.
Ancak pek çok KOBİ ve hatta siber güvenlik konularında uzman rehberliğine güvendikleri MSP’ler bile yeterli siber sigortanın önemini ve bu olmadan karşılaştıkları muazzam riskleri hâlâ tam olarak kavrayamıyor. Bu kuruluşlar ve ortakları, benzer şekilde, hangi büyüklükte bir siber sigorta poliçesinin uygun olduğu, etkili siber güvenlik uygulamaları sergilemek için ne kadar mesafeye gitmeleri gerektiği ve güveni sağlamak için siber sigorta sağlayıcılarının nasıl denetleneceği konusunda yanlış fikirlere sahip olabilir.
Bu yanılgıları düzeltelim.
KOBİ’ler dikkat edin
Genel olarak küçük ve orta ölçekli işletmeler, sahte güvenlik duygularını yıkmak için bir uyandırma çağrısına ihtiyaç duyarlar. KOBİ’lere yönelik siber saldırılar, büyük şirketler gibi medyada manşetlerde yer almasa da, gerçek şu ki, siber saldırganlar aslında KOBİ’lerin peşine düşmeyi tercih ediyor çünkü bunlar genellikle zayıf hedefler.
KOBİ’ler çoğu zaman saldırganların hedef listesinde olmadıklarına veya fidye yazılımı saldırısı gibi bir olayın sistemlerini yalnızca birkaç saat etkileyeceğine inanırlar. Gerçekte bunlar saldırganların ana hedefleridir ve çoğu fidye yazılımı saldırısı, sistemleri günlerce veya haftalarca kilitler. Sonuç olarak: Fidye yazılımına maruz kalmaları durumunda KOBİ’lerin %75’i kapanacaktır. Etkili siber güvenlik ve siber sigorta, KOBİ’ler için yok olma düzeyindeki riski azaltır.
Bir kuruluşun ne kadar siber sigortaya ihtiyacı var?
Siber sigorta poliçeleri geniş kapsamlıdır ve bir olayın ardından kuruluşun hayatta kalması için doğru teminatın seçilmesi çok önemlidir. MSP’ler ve siber güvenlik uzmanları, etkili politikaların seçilmesi ve kuruluşların tüm politika gereksinimlerini karşıladığından emin olma konusunda önemli rehberlik sunabilir.
En iyi uygulama olarak işletmelerin, yıllık gelirlerinin en az %15’ine veya minimum 1 milyon ABD Dolarına eşit bir sigorta kapsamına sahip olmaları gerekir. Politikalar, bir olayın neden olduğu şirketin masrafları için birinci taraf teminatını ve müşterileriyle veya diğer taraflarla ilgili maliyetler için üçüncü taraf teminatını içerebilir. Politikalar alt limitleri ve istisnaları da içerebilir. Kapsamı 1 milyon dolar olan bir poliçenin fidye yazılımı olayları için alt limiti yalnızca 50.000 dolar olabilir. Günümüzde saldırganlar için son derece etkili bir yöntem olan sosyal mühendislik tabanlı saldırıları hariç tutan bir politika, işletmenin böyle bir olay karşısında kendi maliyetlerini karşılamasına neden olacaktır. Bu nedenle politika şart ve koşullarına tam olarak dikkat edilmesi, hak talebinde bulunma zamanı geldiğinde bir kuruluşu başarılı da edebilir, başarısız da edebilir.
Siber sigorta (hala) sağlam ve uyumlu bir siber güvenlik gerektirir
İnanın bana, siber sigorta sağlayıcıları, güvenlikleri kötü olan kuruluşları sigortalayarak işlerini sürdürmezler. İşletmelerin, sigortalama sürecini tamamlamak için bir risk değerlendirmesi ve güvenlik anketinden geçmesi gerekir. Bu tür risk değerlendirmeleri genellikle NIST Çerçevesi ve diğerleri gibi yerleşik düzenleyici çerçevelere dayanmaktadır. Bu nedenle etkili siber güvenlik, siber sigortanın bir gereğidir. İşletmeler, veri şifreleme, erişim kontrolü, çok faktörlü kimlik doğrulama (MFA), otomatik tehdit izleme ve azaltma, günlüğe kaydetme ve raporlama ve daha fazlası gibi kapsamlı araçları uygulamalıdır. Bu nedenle kuruluşlara, NIST gereksinimlerinin %76’sını karşılayan BeachheadSecure ve Acronis gibi çok yönlü güvenlik araçlarını, pek çok kutucuğu işaretlemeye başlamak ve başarılı bir siber sigorta ortaklığına zemin hazırlamak için öneriyorum.
Bununla birlikte, etkili bir siber güvenliğe sahip olmak yeterli değildir: Kuruluşlar, siber sigorta taleplerinin onaylanmasını sağlamak için korumaları dikkatli bir şekilde belgelendirmelidir. Örneğin, MFA’yı tüm uç nokta cihazlarına uygulaması gereken bir işletmenin, yeni eklenen cihazların bile sözleşmeye bağlı olarak gerekli güvenlik önlemlerine sahip olduğunu ve bir olay meydana geldiğinde etkin olduklarını kanıtlayacak ekran görüntülerine ve belgelere hazır olması gerekir.
Geleneksel sigortacılara karşı dikkatli olun
Siber sigorta, sigortacı açısından da uzmanlık gerektiren özel bir üründür. Ne yazık ki bazı geleneksel sigortacılar son yıllarda bunu doğru şekilde yapacak bilgiye sahip olmadan siber sigorta sunmaya başladı. Sonuç, bu sağlayıcıların müşterilere politika gerekliliklerini doğru bir şekilde açıklamakta başarısız olmaları ve daha sonra bu belirsiz gereklilikleri yerine getirmedikleri yönündeki iddialarını reddetmeleri nedeniyle korku hikayeleri oldu. Siber sigortacıların potansiyel müşterileri incelemesi gibi, kuruluşların da sigortacılarını dikkatli bir şekilde incelemesi ve güvenilir, kanıtlanmış siber sigorta sağlayıcılarına bağlı kalması gerekir.
Saldırıdan önce ve sonra kuruluşunuzu koruyun
Kapsamlı siber güvenlik ve siber sigorta, kuruluşları bir siber saldırının potansiyel olarak yıkıcı etkilerinden korumada örtüşen bir rol oynamaktadır. Siber sigorta sağlayıcıları, kuruluşların sağlam güvenlik süreçleri uygulamasını ve bu önlemlerin başarısız olması durumunda kendilerini sonuçlardan korumalarını şart koşuyor. İşletmeler, doğru siber sigorta stratejisini ve poliçesini seçerek, saldırganların karşılarına çıkaracağı her türlü şeyden kurtulacaklarından emin olabilirler.
yazar hakkında
John Reith, DataStream Cyber Insurance’ta İş Ortağı Başarı Yöneticisidir. Şirkete 2021 yılında Forecastable’dan katıldı ve ayrıca Time to Reply ve Seynd’de kanal görevlerinde bulundu. John Austin, Teksas’ın dışında yaşıyor. Kendisine LinkedIn https://www.linkedin.com/in/john-reith-vii/ ve https://datastreaminsurance.com/ adresinden ulaşılabilir.