Allianz’a göre suçlular, nüfuzlarını en üst düzeye çıkarmak için veri sızdırma ve tedarik zinciri saldırılarını kullanırken, fidye yazılımı vakaları yeniden artıyor.
Allianz Commercial’ın büyük siber kayıplara ilişkin analizi, verilerin sızdırıldığı vaka sayısının ve kamuya açıklanan vaka sayısının hızla arttığını gösteriyor. Erken tespit edilip kontrol altına alınmayan siber ihlaller, tespit edilenlerden 1000 kat daha pahalı olabilir.
Şirketlerin siber güvenlik öncelikleri, tespit ve müdahale yeteneklerinin güçlendirilmesini içermelidir.
Bilgisayar korsanları BT ve fiziksel tedarik zincirlerini hedef alıyor
Allianz Commercial, yeni bir raporunda, iki yıl süren yüksek ancak istikrarlı kayıp faaliyetinin ardından, siber tehdit ortamı gelişmeye devam ederken fidye yazılımları ve gasp iddialarında endişe verici bir yeniden canlanmanın görüldüğü 2023 yılı konusunda uyarıyor.
Bilgisayar korsanları giderek daha fazla BT ve fiziksel tedarik zincirlerini hedef alıyor, toplu siber saldırılar başlatıyor ve büyük ve küçük şirketlerden zorla para almanın yeni yollarını buluyor. Fidye yazılımı saldırılarının çoğu artık kişisel veya hassas ticari verilerin gasp amacıyla çalınmasını içeriyor, bu da olayların maliyetini ve karmaşıklığını artırmanın yanı sıra itibara zarar verme potansiyelini de artırıyor.
Allianz Commercial’ın büyük siber kayıplara ilişkin analizi, verilerin sızdırıldığı vaka sayısının her yıl arttığını gösteriyor; 2019’da %40 olan oran iki katına çıkarak 2022’de neredeyse %80’e çıkacak ve 2023’te bu rakam önemli ölçüde artacak.
Allianz Commercial Küresel Siber Başkanı Scott Sayce, “Fidye yazılımı grupları taktiklerini geliştirmeye devam ettikçe siber iddiaların sıklığı bu yıl yeniden arttı” diyor. “2023’ün ilk yarısındaki hasar faaliyetlerine dayanarak, hasar sayısında yıl sonuna kadar yıllık %25 civarında bir artış görmeyi bekliyoruz. Saldırganlar geri döndü ve daha güçlü araçlarla, gelişmiş süreçlerle ve saldırı mekanizmalarıyla yeniden Batı ekonomilerine odaklandı. Bu dinamik göz önüne alındığında, tehdide karşı koymak için iyi korunan bir şirkete ihtiyaç duyulmaktadır ve bunun en önemli unsuru, güçlü tespit ve hızlı tepki yeteneklerinin geliştirilmesidir.”
2022’deki istikrarlı siber iddialar, risk yönetiminin iyileştiğine işaret ediyor
Allianz’ın raporuna göre, saldırı öncesinde, sırasında ve sonrasında siber iddiaların sıklığı 2022’de sabitlendi; bu da sigortalı şirketler arasında siber güvenlik ve risk yönetimi eylemlerinin iyileştiğinin bir yansıması.
Ukrayna Rusya ihtilafı ile birlikte fidye yazılımı çetelerini hedef alan kolluk kuvvetlerinin de fidye yazılımı faaliyetlerinin azaltılmasına yardımcı olduğu düşünülüyor. Ancak fidye yazılımı faaliyeti tek başına 2023’ün ilk yarısında yıllık bazda %50 artış gösterdi.
Fiyatların 40 $ gibi düşük bir fiyattan başladığı Hizmet Olarak Fidye Yazılımı (RaaS) kitleri, saldırı sıklığında önemli bir etken olmaya devam ediyor. Fidye yazılımı çeteleri de daha fazla saldırıyı daha hızlı gerçekleştiriyor; bir saldırının gerçekleştirilmesi için geçen ortalama gün sayısı 2019’da yaklaşık 60 günden dörde düştü.
Allianz Commercial Küresel Siber İddialar Başkanı Michael Daum, “Para elde etmek için şifreleme, veri sızdırma ve DDoS kombinasyonunun kullanıldığı ikili ve üçlü gasp olayları yeni değil, ancak artık daha yaygın” diyor. “Veri sızdırmayı tehdit aktörleri için daha çekici hale getirmek amacıyla çeşitli faktörler bir araya geliyor. Toplanan kişisel bilgilerin kapsamı ve miktarı artarken, gizlilik ve veri ihlali düzenlemeleri küresel olarak sıkılaşıyor. Aynı zamanda, dış kaynak kullanımı ve uzaktan erişime yönelik eğilimler, tehdit aktörlerinin yararlanabileceği daha fazla arayüzün ortaya çıkmasına yol açıyor.”
Veri hırsızlığı, kayıp veya siber hak talebinin maliyetini önemli ölçüde artırabilir. Bu tür olayların çözülmesi daha uzun sürebilir ve yasal ve BT adli tıpları son derece pahalı olabilir. Verilerin çalınması durumunda şirketlerin hangi verilerin sızdırıldığını tam olarak bilmesi gerekir ve muhtemelen tazminat talebinde bulunabilecek veya dava açmakla tehdit edebilecek müşterilere bildirimde bulunmak zorunda kalacaklardır.
Bu yıl aynı zamanda tehdit aktörlerinin birden fazla şirketi hedef almak için yazılımlardaki açıkları ve BT tedarik zincirlerindeki zayıflıkları kullanması nedeniyle çok sayıda büyük toplu fidye yazılımı saldırısına da tanık olundu. Örneğin, bir veri aktarım yazılımı ürününü istismar eden, milyonlarca kişiyi ve binlerce şirketi etkileyen MOVEit kitlesel siber saldırısı, 2023’ten bu yana hasarların sıklığının artmasına katkıda bulunarak birden fazla poliçe sahibini aynı anda etkiledi.
Daum, “Gelecekte daha fazla kitlesel siber saldırı beklenebilir” diyor. ‘Şirketlerin ve sigorta şirketlerinin, kuruluşlar arasında ve dijital tedarik zincirleri içinde mevcut olan karşılıklı bağlantı ve bağımlılıkları daha iyi anlamaları gerekiyor.”
Kamu davalarının sayısı artıyor
Geçmişte kamuoyunun bilgisine sunulan siber olayların sayısı düşüktü. Bugün ise durum farklı; veri sızdırmada olduğu gibi, bilgisayar korsanları çalınan verileri çevrimiçi olarak yayınlama tehdidinde bulunuyor. Allianz Commercial’ın büyük siber kayıplara (1 milyon Avro +) ilişkin analizi, kamuya açıklanan vakaların oranının 2019’da yaklaşık %60’tan 2022’de %85’e yükseldiğini ve 2023’te bu rakamın daha da yüksek olacağını gösteriyor.
Allianz Commercial Siber Risk Danışmanlığı Küresel Başkanı Rishi Baviskar, “Bugün, eğer veri sızıntısı varsa, muhtemelen halka açılacak ve her şirketin buna hazırlıklı olması gerekiyor” diyor.
Potansiyel olarak maliyetli finansal ve itibari sonuçlar nedeniyle şirketler, verilerin çalındığı durumlarda fidye ödeme konusunda daha fazla baskı altında hissedebilirler. Fidye ödeyen şirketlerin sayısı, yine yalnızca büyük kayıpların analizine göre (1 milyon Euro’nun üzerinde) yıllık bazda arttı; 2019’da sadece %10’dan 2022’de %54’e çıktı. Şifrelemenin yanı sıra verilerin sızdırılması durumunda şirketlerin fidye ödeme olasılığı iki buçuk kat daha fazla.
Ancak sızdırılan veriler için fidye ödemek, sorunu mutlaka çözmez. Şirket, özellikle ABD’de veri ihlali nedeniyle üçüncü taraf davalarıyla karşı karşıya kalabilir. Aslında bir şirketin, sistemlerine veya verilerine yeniden erişebilmek için fidye ödemekten başka bir çözüm olmadığına inanması gereken çok az durum vardır. Etkilenen taraflar her zaman yetkilileri bilgilendirmeli ve onlarla işbirliği yapmalıdır.
Bir kuruluşu izinsiz girişlere karşı korumak, siber suçluların avantajlı olduğu bir kedi-fare oyunu olmaya devam ediyor. Allianz’ın son beş yılda 3.000’den fazla siber iddiaya ilişkin analizi, tüm olayların %80’inden fazlasının nedeninin sistemlerin dışarıdan manipülasyonu olduğunu gösteriyor.
Tehdit aktörleri daha hızlı, otomatik saldırılar için yapay zekayı benimsiyor
Tehdit aktörleri artık saldırıları otomatikleştirmek ve hızlandırmak için yapay zekayı kullanmanın yollarını araştırıyor ve daha etkili yapay zeka destekli kötü amaçlı yazılım, kimlik avı ve ses simülasyonu yaratıyor. Bağlantılı mobil cihazlardaki patlamayla birlikte Allianz Commercial, bu alanda zayıf siber güvenlikten kaynaklanan olayların sayısının arttığını gördü; saldırı yolları da muhtemelen artacak gibi görünüyor.
Bu nedenle bir siber saldırıyı önlemek giderek zorlaşıyor ve riskler artıyor. Sonuç olarak, erken tespit ve müdahale yetenekleri ve araçları her zamankinden daha önemli hale geliyor. Olayların yaklaşık %90’ı erken kontrol altına alınır. Ancak bir saldırı erken aşamada durdurulmazsa, daha ciddi ve maliyetli bir duruma dönüşmesinin engellenme şansı büyük ölçüde azalır.
Baviskar, “Geleneksel siber güvenlik, saldırganları ağdan uzak tutmak amacıyla önlemeye odaklanmıştır” diyor. “Önlemeye yapılan yatırım başarılı siber saldırıların sayısını azaltsa da saldırıların geçmesini sağlayacak bir ‘boşluk’ her zaman kalacaktır. Örneğin, tüm çalışanların giderek karmaşıklaşan kimlik avı e-postalarına tıklamasını engellemek mümkün değil.”
Şirketler, koruma ve önlemeye daha fazla katman eklemek yerine, ek siber güvenlik harcamalarını tespit ve müdahaleye yönlendirmelidir. Şirketlerin yalnızca üçte biri bir veri ihlalini kendi güvenlik ekipleri aracılığıyla keşfediyor. Ancak erken tespit teknolojisi kolaylıkla ulaşılabilir ve etkilidir.
“Algılama sistemleri sürekli olarak gelişiyor ve birçok sorundan kurtularak algılama ve yanıt sürelerini kısaltabiliyor. Bu, siber risk değerlendirmelerimizde ve sigortacılıkta aradığımız bir şey” diye ekliyor Baviskar.
Raporda, erken tespit edilmeyen ve kontrol altına alınamayan siber ihlallerin, tespit edilen siber ihlallerden 1000 kat daha pahalı olabileceği vurgulanıyor. Allianz Commercial analizi, erken tespit ve müdahalenin, 20.000 Euro’luk kaybın 20 milyon Euro’ya dönüşmesini engelleyebileceğini gösteriyor. .
Daum, “Önleme, saldırıların sıklığını belirler ve ister küçük bir BT olayı ister kurumsal bir kriz olsun, kaybın ne kadar önemli olacağından yanıt sorumludur” diyor. “Şirketlerin anlamlı bir şekilde hazırlanabileceğine ve bu saldırgan tehditlerine nasıl yanıt verecekleri konusunda iyileştirme için yer olduğuna inanıyoruz. Sonuçta, erken tespit ve müdahale yetenekleri, siber saldırıların etkisinin azaltılmasında ve gelecekte sürdürülebilir bir siber sigorta pazarının sağlanmasında kilit rol oynayacak.”