Siber saldırganlar, bir veri ihlali sonrasında paraya dönüştürülebilecek kişisel, tıbbi, kurumsal ve diğer gizli verilerle olgunlaşmış bir sektöre odaklanmayı arttırırken, sigorta şirketlerinin meşhur sırtlarında büyük bir hedef var.
Yalnızca 2023’te, Haziran ayında Sun Life’ın satıcısı Pension Benefits Information LLC’ye düzenlenen saldırı yoluyla birden fazla sigorta şirketi hedef alındı; Mayıs ayında 320.000’den fazla müşteri hesabının etkilendiği Prudential Insurance; Prudential saldırısıyla aynı günlerde 25.700 hesabı etkilenen New York Hayat Sigortası Şirketi; ve 2,7 milyona yakın kişinin etkilendiği Genworth Financial. Bu sigorta şirketlerinin tümü MOVEit dosya aktarımı siber saldırısının kurbanı oldu.
MOVEit’in yanı sıra diğer yaygın fidye yazılımı saldırıları da sigorta sektörünü hedef aldı. Harvard Pilgrim Health Care ve Tufts Health Plan’ın ana şirketi Point32Health, Nisan ayında bir fidye yazılımı saldırısına maruz kalırken NationsBenefits, Cl0p fidye yazılımı çetesinin kurbanı olduğunu bildirdi. ABD’nin bir sigorta şirketine yönelik en büyük saldırısı, LockBit saldırısının kurbanı olan Kuzey Amerika Yönetilen Bakım (MCNA) Dental’in 9 milyon hastasını tehlikeye attı.
Danışmanlık firması Deloitte şunları kaydetti: “Sigorta şirketleri daha sıkı müşteri ilişkileri oluşturmak, yeni ürünler sunmak ve müşterilerin finansal portföylerindeki paylarını genişletmek amacıyla dijital kanallara yöneldikçe, sigorta sektöründeki siber saldırılar katlanarak artıyor. Bu değişim, artan bir ivmeyi tetikliyor.” geleneksel temel BT sistemlerine (örneğin politika ve talep sistemleri) ve ayrıca acente portalları, çevrimiçi politika uygulamaları ve taleplerin dosyalanması için web ve mobil tabanlı uygulamalar gibi yüksek düzeyde entegre olanak sağlayan platformlara yatırım yapılması.”
Firma şunları ekledi: “Sigortacılar verileri analiz etmenin yeni ve yenilikçi yollarını buldukça, aynı zamanda verileri siber saldırılara karşı korumanın yollarını da bulmalılar.”
Uygulamalar Çok Şey Ortaya Çıkarıyor
Deloitte’un belirttiği gibi, sigorta komisyoncularının ve taşıyıcıların şu anda sıcak koltukta olmasının nedenleri çeşitlidir, ancak bunlardan birkaçı temel nedenler olarak öne çıkmaktadır. En sıradan olanı, kişisel olarak tanımlanabilir bilgileri ve kişisel sağlık bilgilerini yeniden satış için elde etmenin karlılığı olsa da, sigortacılara saldırmak için daha hain teşvikler de var. Örneğin sigorta uygulamaları.
Siber Risk Uygulaması ulusal eş başkanı ve sigorta komisyoncusu Marsh McLennan Agency’de risk yönetimi danışmanı olan Marc Schein, bir sigorta başvurusunda görünen özel, kurumsal veri miktarının siber saldırganlar için bir kazanç olabileceğini söylüyor. Schein, uygulamaların, bir şirketin satın aldığı sigorta miktarı (fidye yazılımı saldırganları fidye talep ederken parayı masada bırakmak istemezler) ve ayrıca bir şirketin yapabileceği bazı eksiklikler de dahil olmak üzere çok çeşitli potansiyel olarak yararlı bilgiler içerdiğini belirtiyor. ağ güvenliğine sahiptir.
Schein, hata ve ihmal poliçeleri veya direktör ve memur poliçeleri gibi diğer sigorta ürünlerinin ticari sırlar, önemli şirket yöneticilerinin özel bilgileri ve potansiyel ticari işlemler hakkında veriler hakkında değerli bilgiler sağlayabileceğine dikkat çekiyor.
Patricia Titus, kendi güvencesini, uzmanlığını ve uluslararası politikalarını üstlenen bir taşıyıcı olan Markel Insurance’ın gizlilik ve bilgi güvenliği sorumlusudur. Uygulamaların bir şirketin teknoloji profilinin derinlemesine anlaşılmasını sağlayabileceğini kabul ediyor.
Titus, sigorta uygulamalarının teknoloji borcunu tespit edebildiğini söylüyor: yama yapılmamış yazılımlar, üreticinin güvenlik veya yazılım yamalarını geçmiş olabilecek eski donanımlar, potansiyel güvenlik açıklarını temsil edebilecek eski sistemler ve bir şirketin ağ güvenliğinde sahip olabileceği diğer eksiklikler. Bu güvenlik açıklarından saldırganlar yararlanabilir.
Sigorta İşlemlerinin Her Tarafı Savunmasız
Titus, siber güvenlik altyapılarını değerlendirmeye ihtiyaç duyanların yalnızca sigorta müşterileri olmadığını belirtiyor. Markel, hem kendi verilerini hem de müşterilerinin verilerini daha iyi korumanın yollarını arıyor.
Titus, Markel’in durumunda şirketin, ağlarını mikro bölümlere ayırma konusunda daha iyi iş çıkarabilecek, saldırganların kurumsal savunmayı başarılı bir şekilde aşmaları durumunda ağ üzerinde yanal hareket etme yeteneklerini sınırlayabilecek teknolojilere baktığını söylüyor. Yanal hareket etmenin, ağda bir delik bulabilen bir saldırının sahip olabileceği en büyük avantaj olduğunu belirtiyor.
Titus, insan verilerinin siber saldırganlar için her zaman ilgi çekici olduğunu ekliyor. Saldırganın sigorta başvurularına veya onaylanmış poliçelere erişmesi durumunda potansiyel hedefler hakkında çok şey öğrenebilir. Hem bireylerin hem de şirketlerin antikalar gibi yüksek değerli lüks eşyaları sigortalaması gerekiyor. Ancak işletmeler, patentlerle kamuya açıklanamayan ticari sırları (örneğin Coca-Cola tarifini düşünün), yönetici ve memurlara ait özel verileri, ticari işlemler sırasında oluşabilecek hata ve eksiklikleri de sigortalamaktadır. Sonuçta, sigorta poliçelerinin veya uygulamalarının ihlal edilmesi durumunda tespit edilebilecek ve tehlikeye atılabilecek çok sayıda veri şirketi var.
Schein, sigorta başvurusu yapan şirketlerin, iletim sırasında ele geçirilen hiçbir şeyin saldırgan tarafından okunmaması için yalnızca şifrelenmiş dosyalar göndermesini öneriyor.