İşletmeler, siber saldırıların hacmi yeni seviyelere ulaştıkça siber sigorta kapsamını güvence altına alamama riskiyle karşı karşıya.
Şirketlerin, siber sigorta kapsamına alınmadan önce sistemleri için daha yüksek düzeyde siber koruma uygulamaları giderek daha fazla talep ediliyor.
Sigortacılara göre, teminat talebi arzı geçtiği için siber riskler sigortasının maliyeti fırladı.
Yorumları, Dünya Ekonomik Forumu’nun (WEF) yayınladığı raporda geldi. Küresel risk raporu 2023, yaygın siber saldırıları ve siber güvensizliği, önümüzdeki 10 yıl içinde hükümetlerin ve kuruluşların karşılaşacağı en büyük 10 riskten biri olarak tanımlıyor.
Sigorta komisyoncusu Marsh’ın Kıta Avrupası risk yönetimi lideri ve rapora katkıda bulunanlardan biri olan Carolina Klint, sigorta şirketlerinin artık ortaya çıktığını ve “siber riskin sistemik ve sigorta edilemez” olduğunu söylediğini söyledi.
Bu, gelecekte şirketlerin fidye yazılımı, kötü amaçlı yazılım veya bilgisayar korsanlığı saldırıları gibi riskler için koruma bulamayabilir.
Computer Weekly ile yaptığı bir röportajda, “Riski kabul edilebilir bulup bulmamaları sigorta endüstrisine ve sermaye piyasalarına kalmış,” dedi, “ama hareket ettiği yön bu.”
Son günlerde, siber saldırılar, Royal Mail’in uluslararası dağıtım hizmetlerini kesintiye uğrattı ve dünyanın dört bir yanındaki BT sistemlerini etkiledi. Muhafız fidye yazılımı içeren gazete.
bu Küresel riskler raporu siber savaş ve ekonomik çatışmayı, askeri çatışma risklerinden daha ciddi istikrar tehditleri olarak değerlendiriyor.
Klint, “Siber saldırıların kritik altyapı, sağlık hizmetleri ve kamu kurumlarını hedef alması konusunda gerçek bir risk var” dedi. “Ve bunun istikrar açısından dramatik sonuçları olacaktır.”
Rusya’nın siber saldırıları artırma riski
Rusya’nın Ukrayna’ya yönelik siber saldırıları, savaşın gidişatına bağlı olarak, Batı’da yeterince korunmayan BT sistemlerine yönelik daha genel saldırılara yol açabilir.
“Rusya’nın saldırılarıyla, hayal kırıklığı düzeyine ve savaşın başarısına veya başarısızlığına bağlı olarak, daha az hedefli olacak, daha fazla şirketin veya bireyin zarar görebileceği anlamına gelen daha geniş sprey saldırılarına bakıyor olabileceğimizi düşünüyorum. ” Klint, Computer Weekly ile yaptığı röportajda söyledi.
Buna, Covid-19 ve grip, finansman eksikliği ve hemşire ve diğer personel eksikliği nedeniyle halihazırda baskı altında olan hastaneler ve sağlık hizmetleri gibi kritik altyapılara yönelik hedefli saldırılar eşlik edebilir.
Klint, “Bunun kesinlikle daha ciddi sonuçlara yol açma riski var,” dedi. “Zaten çok fazla baskı altındalar, mümkün olanın bile eşiğine gelmiş durumdalar.”
Evden çalışan daha fazla sayıda çalışan ve dijital teknolojilerin artan kullanımı, kötü niyetli aktörlerin bilgisayar sistemlerine girmesi için yeni yollar açtı.
Gelecekteki bir risk, bilgisayar korsanlarının, onları taklit etmek veya örneğin bankalar tarafından telefon müşterilerini belirlemek için kullanılan ses tabanlı tanımlama sistemlerini kandırmak için kullanılabilecek insanların ses tonlarını ve yüz ifadelerini toplayabilecek olmalarıdır.
Klint, kuruluşların risk azaltma ve risk yönetimi stratejilerinin etkinliğine bakmaları ve sigortalanabilir olmak için siber güvenliğe önceden yatırım yapmaları gerekeceğini söyledi.
“Şirketler hafifletme çabaları göstermenin ve sigortalanabilir olmak için önceden yatırım yapmaya istekli olmanın önemini fark etmeye başlıyor ve bu zamanla arttı” dedi.
Siber risk yönetimi işbirliği gerektirir
Siber risk yönetimi bilgi güvenliği yetkililerine (CISO’lar) bırakılamaz – tüm kuruluş genelinde işbirliği gerektirir.
Klint, “Siber risk, riskler, risk ufkunda neler olduğu, potansiyel etki ve ardından bunu hafifletme stratejileri hakkında konuşmak için masanın etrafında çok çeşitli bir temsile ihtiyaç duyduğunuz alanlardan biridir” dedi.
Bu, risk fonksiyonu, finans fonksiyonu, İK, CISO ve BT ekibinin geri kalanı arasında işbirliğine dayalı çaba anlamına gelir.
Klint, şirketlerin sigortalanabilir olması için çok faktörlü kimlik doğrulama (MFA) gibi temel güvenlik korumalarının yanı sıra doğru siber güvenlik süreçlerine sahip olduklarından emin olmaları gerektiğini savunuyor.
Kuruluşlar, sistemlerine güvenli erişim sağlamak için cep telefonlarına SMS kodları göndermeye dayalı iki faktörlü kimlik doğrulamaya güvenmeye devam edemeyebilir, çünkü bu kendi içinde SMS kimlik avı saldırılarına karşı savunmasızdır.
Siber sigorta oranları artıyor
Zurich Insurance Group’ta sürdürülebilirlik riski başkanı John Scott, bulut hizmetlerine geçiş, artan dijitalleşme ve fidye yazılımı saldırılarının artmasıyla birlikte siber sigortanın maliyetinin artmasının şaşırtıcı olmadığını söyledi.
“Oranlar önemli ölçüde arttı, ancak aynı zamanda siber korumaya olan talep artmaya devam ediyor” dedi ve bazı şirketlerin kendi kendini sigortalayarak veya kendi bağlı sigorta şirketlerini kurarak yanıt verdiğini sözlerine ekledi. Teknoloji, şirketleri siber güvenlik risklerine maruz bırakabilirken, işletmelerin karşılaştığı riskleri azaltmak için de kullanılabilir.
Şirketlerin BT altyapılarını, olabilecekleri kadar esnek olamayacakları noktaya indirgediği örnekler de var.
Diğer durumlarda, imalat şirketleri, ürünlerini “tam zamanında” teslim etmekten, kritik parçaların tedarikinin kesintiye uğraması durumunda “her ihtimale karşı” fazladan stok tutmaya geçiyor.
Scott, “Kârlılık açısından bunun bir maliyeti var, ancak bunu kabul etmeye değer ve bu, yine de işinizde kalabileceğiniz anlamına geliyor” dedi ve şirketlerin BT altyapılarını o noktaya kadar soyduğu durumlar gördüğünü de sözlerine ekledi. beklenmedik şoklara karşı dayanıklı değillerdir.
Scott, pek çok şirketin yazılıma düzenli olarak yama uygulanmasını sağlamak ve iki faktörlü kimlik doğrulama kullanmak gibi temel BT güvenlik korumasını uygulamaya koymamış olmasının “şaşırtıcı” olduğunu söyledi. Tedarik zincirlerinin siber saldırılara karşı korunduğundan emin olmak için kuruluşların tedarikçileri ve veri merkezleriyle birlikte çalışması gerektiğine dikkat çekti.
Daha yüksek düzeyde kuruluşlar, devlet destekli bilgisayar korsanlarının faaliyetleri ve hangi altyapının risk altında olduğu hakkında veri paylaşmak için hükümetler ve ulusal güvenlik kurumlarıyla birlikte çalışabilir.
Scott, “Bu, şirketlerin saldırıların nerede olduğu ve azaltmayı nerede hedefleyecekleri konusunda daha dayanıklı olmalarına gerçekten yardımcı olabilir” dedi.
Çoklu risklerin üstesinden nasıl gelinir?
Klint, artan enerji maliyetlerinden, artan fiyatlara ve tedarik zincirlerinin aksamasına kadar birden fazla eşzamanlı sorunla karşı karşıya kalan kuruluşlarla, hem kısa hem de uzun vadeli faydalar elde etmek için sorunları çözmenin mantıklı olduğunu söyledi.
Örneğin, siber güvenliğe daha fazla harcamak, kuruluşlara tedarik zincirindeki başarısızlıklar gibi diğer şoklardan kurtulmak için daha fazla dayanıklılık sağlayacaktır.
“Siber dayanıklılık ve tedarik zinciri dayanıklılığı gerçekten birbiriyle yakından bağlantılı. Bu da dayanıklılığa yapılan yatırımın birden fazla risk üzerinde olumlu bir etkiye sahip olacağı anlamına geliyor” dedi Klint.
Teknoloji platformu sağlayıcıları ve bulut sağlayıcıları, dirençliliği artırmak için ne yapmaları gerektiği konusunda işletmelere rehberlik sağlamak için kolluk kuvvetleri, hükümetler ve sigorta şirketleriyle ortaklık kurabilir.
“Hayatta kalmak açısından daha fazla düşünmelisin. Çünkü çok büyük bir siber saldırı yaşarsanız ve her şey ters giderse ne yapacaksınız?” Klint ekledi.