Siber riskler, sürücüler için araba kazası veya ev sahipleri için doğal afet tehlikesi gibi hayattaki diğer bilinen risklerden farklıdır. Bunlar, sigortacıların tahmin edebileceği, ilgili maliyetlerle birlikte iyi tanımlanmış, ölçülebilir risklerdir.
Ancak modern BT siber güvenlik korumalarının gelişmişliğine rağmen, çoğu büyük kuruluş hâlâ endüstriyel kontrol sistemlerinin (ICS) ve hizmet tesisleri, rafineriler ve fabrikalardaki operasyonel teknolojilerin (OT) karşı karşıya olduğu riskler hakkında önemli ampirik verilere sahip değil. Bu eksiklik, OT siber olaylarıyla ilgili verilerin sınırlı olması ve potansiyel mali sonuçları tahmin etmek için geleneksel aktüeryal yöntemlerin uygulanamamasından kaynaklanmaktadır.
Bu tesislerdeki veri eksikliği, doğası gereği belirsizliği, siber riskin ölçülmesi ve önceliklendirilmesi açısından önemli bir zorluk haline getiriyor. Bu sorunu daha iyi ele almak için Siber Risk Ölçümü ve Yönetimi veya CRQM adı verilen ve risk transferi uygulamalarına dayanan yeni bir alan ortaya çıktı. Yeni CRQM platformları, siber riskleri daha iyi yönetmek, azaltmak ve sonuçta sigortacılara aktarmak için yapay zeka ve veri odaklı araçların kullanımından faydalanıyor.
Kamuya açık verilerdeki göze çarpan boşlukları gidermek ve dolayısıyla çok fazla belirsizliği hesaba katmak için yapay zeka veri odaklı CRQM platformları, Bayes ağları gibi olasılıksal modeller ve olasılıksal grafik modeller kullanır. Tüm bu yaklaşımlar, olasılıkları farklı sonuçlara atadıklarından belirsizliği açıkça temsil etmek için yapay zeka ile birlikte uygulanabilir; bu da yapay zeka sisteminin belirsiz verilere dayanarak bilinçli kararlar almasına yardımcı olur.
Anlamadığınız Şeyi Ölçemezsiniz
Siber fiziksel sistemler, ağlar ve bulut arasındaki karşılıklı bağımlılığı izlemek için gereken bilgi hacmi, yalnızca insan zekası tarafından işlenemeyecek kadar büyük hale geldi. Yapay zeka destekli sistemler, birbirine bağlı sistemlerden gelen verilerin mantıksal olarak tanımlanması ve işlenmesini otomatikleştirmek ve her zaman güncel olan sürekli çıktılar sağlamak üzere verileri analiz etmek için kullanılabilir.
Bir riski üstlenmek için önce onu anlamak gerekir. Bu nedenle risk verileri sigorta sektörünün can damarıdır. Ancak çoğu durumda operasyonel teknolojiye ilişkin veri kümeleri eksik kalıyor. Veya farklı girdilerden gelen yinelenen veri kaynakları olabilir. Alınan tüm bilgileri uzlaştırmak ve normalleştirmek için kesin bir sürece sahip olmak, siber güvenlik için bir veri ontolojisi oluşturulmasını gerektirir.
Yapay zeka, siber risk hakkında yeterince güvenilir veriyle beslendiğinde, riskin anlaşılmasına yardımcı olmak için benzeri görülmemiş bir doğruluk ve hız sağlayabilir. Temel endişeler arasında güvenlik açığı tespiti, güvenlik görevlerinin önceliklendirilmesi ve siber olayların birbirine bağlı kritik altyapı ağı üzerindeki kademeli etkisi yer alıyor.
Yapay zeka, özellikle OT ortamları ve siber-fiziksel sistemler için siber riskin daha iyi değerlendirilmesini ve ölçülmesini sağlayarak risk aktarımı uygulamalarını da geliştirir. Bir tarafta şirketler, hangi riskin kabul edileceğine, kaçınılacağına, aktarılacağına veya azaltılacağına karar vermek için siber risklerini daha kapsamlı bir şekilde anlıyor. Öte yandan sigortacılar, poliçe kapsamları ve limitleri de dahil olmak üzere siber sigorta parametrelerini uyumlu hale getirmek için daha fazla kanıta dayalı veri elde ediyor.
Bulutta Yapay Zekadan Yararlanma
Yapay zeka, siber riski ölçmemize ve en iyi risk azaltma stratejilerini tanımlamamıza yardımcı olabilir. Bulut tabanlı CRQM platformları, izinsiz giriş tespiti ve güvenlik açığı yönetimi için dahili veriler ve siber güvenlik çözümlerinden gelen ham sinyaller de dahil olmak üzere düzinelerce kaynaktan alınan verileri normalleştirmek ve kategorilere ayırmak için yapay zeka algoritmalarını kullanır. Ayrıca, mağdurlar ve tehdit aktörleri hakkındaki metni analiz etmek ve siber olay bilgilerini işlemek için doğal dil işleme (NLP) uygulanmaktadır.
Bunun temsil ettiği bilgi işlem çabalarının kapsamını göstermek için CRQM platformları, kolayca tahmin edilemeyen bir dizi süreç için farklı sonuçların olasılığını modellemek üzere izlenen sitelerde düzenli olarak milyonlarca Monte Carlo simülasyonu gerçekleştirir. Bu simülasyonlar, risk azaltma üzerinde en büyük olumlu etkiye sahip olanları belirlemek için önerilen hafifletme projeleri üzerinde durum analizleri yürütür. Etki ve sıklığa dayalı olarak risklerin toplanmasındaki karmaşık bağımlılıkları modellemek için makine öğreniminden de yararlanılır.
Risk toplamaya yönelik bu aşağıdan yukarıya yaklaşım, CRQM platformlarının her müşterinin kendine özgü bağlamında olayların nerede ve nasıl meydana geleceğini güvenilir bir şekilde tahmin etmesine ve ardından bu bilgiyi risk altındaki paralara çevirmesine olanak tanır. CRQM’nin CISO’lara sunduğu kritik finansal ölçümler arasında risk altındaki değer, kayıp olasılığı, siber olayların mali etkisi, beklenen yatırım getirisi ve değerlendirilen risk azaltma projelerinden risk azaltımı yer alır. CISO’lar ve CFO’lar, bu CRQM ilkelerini yapay zeka teknikleriyle birlikte uygulayarak, kendi farklı tesisleri için en uygun risk azaltma stratejilerini oluşturmak üzere birlikte çalışabilirler.
Yazar Hakkında
Jose M. Seara, Operasyonel Teknoloji (OT) ve Endüstriyel Kontrol Sistemleri (ICS) için Siber Risk Ölçümü ve Yönetimi alanında lider olan DeNexus’un Kurucusu ve CEO’sudur. Jose daha önce Kasım 2006’dan Ocak 2018’e kadar NaturEner USA (şimdi BHE Montana) ve NaturEner Kanada’nın Başkanı ve CEO’suydu. NaturEner’de geçirdiği süre boyunca Seara, yeni ekibin sorunsuz bir geçiş yapmasını sağlamak için çalışarak şirkete bir liderlik geçişi sürecinde liderlik etti. .
NaturEner’deki görevinden önce Seara, Haziran 1999’dan Eylül 2002’ye kadar DeWind Co’nun kurucu ortağı ve yönetim kurulu üyesiydi. Jose ayrıca Ocak 2003’ten Aralık 2006’ya kadar PROYDECO Ingenieria y Servicios SL’nin kurucu ortağı ve müdürüydü. ve Ocak 1999’dan Aralık ayına kadar Proyectos de Cogeneración SL’de ortak ve yönetici olarak çalıştı 2003.
Singularity Üniversitesi’nden Üstel Teknolojiler alanında Yönetici Programı derecesine sahiptir. Jose ayrıca Universidad Politécnica de Madrid’den Deniz ve Deniz Mühendisliği alanında Yüksek Lisans derecesine sahiptir.
Jose’ye DeNexus web sitesinden ulaşılabilir: https://www.denexus.io/