Sürekli Siber Suistimal Tehdidi ve Küresel Endüstri Üzerindeki Etkisi
Kimberly Patlis Walsh, Kurumsal Risk Çözümleri (CRS) Başkanı ve Genel Müdürü tarafından
Rusya’nın Şubat ayında Ukrayna’yı işgal etmesinden önce, FBI ve İç Güvenlik Bakanlığı, ABD ve Ukrayna hükümet ve ticari ağlarına yönelik acil siber saldırı tehditleri konusunda uyarılar yayınladı. 18 Nisan gibi yakın zamandainci, ABD’li üst düzey bir siber güvenlik yetkilisi “60 Dakika”ya Vladimir Putin’in büyük olasılıkla dijital savaşa başvurarak Amerikan hedeflerine yönelik bir siber saldırıyla sonuçlanacağını söyledi. Bu uyarılar, Rus işgalinin Ukrayna’nın internet altyapısına ciddi zararlar vermeye devam etmesi ve koordineli ve cesur müdahalelere duyulan ihtiyacı ortaya koyması nedeniyle dünya çapında karşı karşıya kalınan korkunç koşulların altını çiziyor.
Ancak siyaseti bir kenara bırakırsak, internetle etkileşime giren ve/veya internete bağlı olan herhangi bir işletmenin büyüklüğü ne olursa olsun bir hedef olduğu gerçeğidir. Siber suçluların yöntemleri giderek daha karmaşık hale geldi ve BT’ye yönelik saldırıları başlatma yetenekleri, görünüşte cezasız kalıyor. Sonuç olarak, işletmeler için olumsuz yansımalar göz ardı edilemez. Gerçekten de, potansiyel hedefler artık kişisel olarak tanımlanabilir bilgilere, kişisel sağlık bilgilerine veya müşteri kredi kartı verilerine sahip olanlarla sınırlı değildir. Son iki yıldaki en büyük siber saldırılardan bazıları, bu tür bilgilerin madenciliğini hiç içermedi. Aksine, bu saldırılar inşaat, tedarik zincirleri, dağıtım ve satış dahil olmak üzere hayati altyapıyı, sağlık sistemlerini, finans şirketlerini ve üretimi ya kapattı ya da maddi olarak kesintiye uğrattı.
Bu saldırıların etkisi, aşağıdakiler de dahil olmak üzere herhangi bir sayıda biçim alabilir: fidye yazılımı (fidye ödenene kadar BT sistemlerine erişimi devre dışı bırakan) dahil ancak bunlarla sınırlı olmayan kötü amaçlı yazılımlar; iş kesintisi (sistemlere erişilememesi nedeniyle gelir kaybı); veri kurtarma (“kayıp” şirket ve müşteri verilerinin yeniden yapılandırılması); sosyal mühendislik/kimlik avı (bir meslektaş, müşteri veya satıcı kimliğine bürünmeye dayalı para kaybı); düzenleyici para cezaları ve cezalar; bilgilerinin tehlikeye girmesi durumunda üçüncü şahıslara karşı sorumluluk; ve itibar zararı. Bu olaylar için kayıp tahminleri, 2021 için tek başına fidye yazılımı maliyetlerinde 20 milyar dolardan 10.5 trilyon dolara kadar çıkıyor. (veya dakikada 20 Milyon Dolar) 2025 yılına kadar bu saldırılara küresel olarak yanıt vermek, bunlara yanıt vermek ve bunlarla mücadele etmek için kaybolması/harcanması bekleniyor.
Siber Güvenlik ve Altyapı Ajansı (CISA), FBI ve NSA’ya göre, bu fidye yazılımı saldırılarının devam eden başarısı, dünya çapındaki siber hırsızları daha da teşvik etti ve 2022 boyunca her büyüklükteki işletmeyi yüksek alarma geçirmeli.
Özellikle, CISA, fidye yazılımı saldırganlarının dikkatlerini şunlara odaklamalarını tavsiye etti: kritik altyapı endüstrileri dahil olmak üzere ABD genelinde:
- Acil su hizmetleri
- Enerji sektörü
- iletişim
- Finansal hizmetler
- Sağlık sektörü
Bu korkunç tahminlere rağmen, işletmeleri siber olaylara karşı korumak ve etkilerini azaltmak için kullanılabilecek sayısız araç olduğunu hatırlamak zorunludur.
İç Güvenlik Protokolleri / Kontrolleri
Siber güvenlik uzmanları, suçluların bilgisayar sistemlerine girmek için manipüle ettiği birçok önemli güvenlik açığını ve bunların nasıl düzeltileceğini belirledi:
- Dahili bilgisayar sistemlerine güvenli bir şekilde erişmek için çok faktörlü kimlik doğrulama araçları
- Sanal özel ağlar, veri şifreleme, karmaşık parolalar, güvenlik duvarları ve yönetici haklarına kısıtlı erişim dahil olmak üzere Sağlam Masaüstü Güvenlik Protokolleri
- Sistem ve konfigürasyonların aktif yönetimi
- Ağ izinsiz girişleri ve üçüncü taraf maruz kalma tehditleri için sürekli bir av
- Yazılımı hemen güncelleyin ve yükseltin
- Veri bütünlüğü ve geri yüklenebilirlik için yedeklerin düzenli olarak test edilmesini ve olay müdahale/iş sürekliliği planının hazırlanmasını ve yıllık olarak test edilmesini içeren bir sistem kurtarma planı geliştirin ve uygulayın
Sistem ve Bilgi güvenliği, siber bağlantılı riskleri azaltmanın birincil anahtarıdır. Kurum içi personel, dış kaynaklı siber güvenlik firmalarıyla ilişki kurma veya bu ekiplerin birlikte çalışmasını sağlama yoluyla, birçok güvenlik açığı kurum çapında bir proje olarak ele alınabilir ve ele alınmalıdır. Buna “herkese uyan tek bir yaklaşım” olmamasına ve gerçek bir sermaye ve insan gücü yatırımı olmasına rağmen, şirketlerin siber güvenlik politikaları ve prosedürleri hakkında bir ilk değerlendirme yapması zorunludur. Firmaların bu bağlamda yaptıkları en büyük hata, sektörleri, büyüklükleri, gelirleri veya ayak izleri nedeniyle bir hedef olmadıklarına inanmaktır. Herkes bir hedeftir ve bu nedenle bu konular basitçe göz ardı edilemez.
Sigorta
Bir diğer önemli azaltma aracı, özel bir siber sigorta poliçesi satın almaktır. Bu, işletmelerin siber bağlantılı güvenlik ihlalleriyle ilişkili birinci şahıs zararını (örneğin şirketin kendisine olan zararı) ve üçüncü şahıs tazminatını (örneğin şirkete karşı sorumluluk iddiaları ve düzenleyici işlemler) risklerini devretmelerine olanak tanır. Güçlü bir siber politika, şirketin bir saldırıyla ilişkili maliyetleri kurtarmasına ve bunlarla başa çıkmasına yardımcı olmak ve şirketin itibarını en iyi şekilde korumak etrafında yapılandırılmıştır. Siber sigorta taşıyıcıları, yukarıda açıklanan öğelerin tamamının olmasa da çoğunun yerinde olmasını (veya yerine konulması için yolda olmasını) giderek daha fazla talep ettiğinden, sigorta satın alınması genellikle yukarıda açıklanan araç ve süreçlerin uygulanması için bir katalizör görevi görecektir. yer) potansiyel olarak mevcut maliyetleri ve teminatları özetleyen bir fiyat teklifi vermeden önce.
Sigortalama sürecinin bir parçası olarak taşıyıcılar, şirketle ilgili olası riskleri analiz edecek; BT ve siber güvenlik kontrollerinin gücü; yasal ve endüstri standartlarına uygunluk; ve bir güvenlik müdahale planlarının varlığı ve gücü. Firmaların bu başvuru ve inceleme sürecinde şeffaf olmaları hayati önem taşımaktadır, bu nedenle herhangi bir hak talebinde bulunulması durumunda sorunlar ortaya çıkmaz. Bu kapsamda özellikle siber süreç ve prosedürlere ilişkin olarak sigortacılar tarafından talep edilen maddi gerçeklerin yanlış beyanları, taşıyıcıya bir tazminat talebinin bildirimini takiben bu tür yanlış beyanların ortaya çıkmasıyla birlikte teminatın geçersiz kalmasına neden olmuştur. Herhangi bir sigorta poliçesi, bir kayıp durumunda mevcut değilse ödenen prime değmez.
Fidye yazılımları ve diğer siber güvenlik tehditleri, dünya çapındaki işletmeleri ve sigorta şirketlerini etkileyen derin finansal ve operasyonel kesintiler yaratmaya devam ederken, ses tahtası görevi görebilecek ve işletmelerin küresel olarak karşı karşıya kaldığı çeşitli ve ani riskler arasında gezinerek, güvence altına almak için bağımsız bir risk danışmanı aramak zorunludur. maksimum veri kurtarma, sistem ve para.
yazar hakkında
Kimberly Patlis Walsh, Corporate Risk Solutions’ın Başkanı ve Genel Müdürüdür.
Kimberly Patlis Walsh, Kurumsal Risk Çözümleri (CRS) sözleşmelerine 20 yılı aşkın sigorta aracılık, program yapılandırma ve çok uluslu müşteri risk danışmanlığı temsili getiriyor. 2003 yılında CRS’ye katılmadan önce Kimberly, AIG’nin Birleşme ve Devralmalar Grubu’nda Kıdemli Başkan Yardımcısı olarak görev yaptı ve kurumsal işlemler, yeniden sermayelendirmeler, iflaslar ve diğer birleşme ve satın almalar kapsamındaki yükümlülükleri sınırlamak veya devretmek için çeşitli şirketlere (halka açık ve özel sektöre ait) sigorta ve finansal çözümler yapılandırdı. durumlar. Hem alternatif yatırım topluluğunda hem de sigorta ve risk topluluğunda aktiftir.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.