Tam tatil sezonuna hazırlanırken Log4j’deki güvenlik sorunları da geldi. Dünyanın dört bir yanındaki güvenlik uzmanları, risk seviyelerini anlamak, herhangi bir dahili yazılıma yamalar uygulamak ve tedarikçilerinin güncellenmiş ürün sürümlerini dağıtmak için harekete geçti. Bu, CISO’lar ve güvenlik ekipleriyle yapılan görüşmelere dayalı olarak bu yıl da devam edecek.
Yazılım tedarik zinciri ve dahili uygulamalarla ilgili teknik konuların arkasında, bir iş riski yönetimi unsuru da vardır – örneğin, bir şirketin güvenlik süreçlerini tamamlamak için siber sigorta gibi araçları kullanarak operasyonlarına yönelik riski nasıl yönettiği. Bir sorun olması durumunda, siber sigorta, verileri kurtarma, uygulamaları yeniden oluşturma ve operasyonların tekrar normal şekilde çalışmasını sağlama maliyetlerini karşılamalıdır.
Zaman İçinde Siber Sigortanın Rolü Nedir?
Siber sigorta önemli bir sektör ve hızla büyüyor — GlobalData’ya göre2020’de brüt yazılı primlerde 7 milyar dolar değerindeydi. Siber sigorta pazarının 20,6 milyar dolara ulaşması bekleniyor 2025’e kadar. Son birkaç yılda siber sigorta piyasası rekabetçiydi, dolayısıyla primler düşüktü ve poliçeler kapsamlıydı. Geçen yıl boyunca bu değişti – talep hacmi arttı ve sigorta şirketlerinin karlılığını etkileyen daha fazla ödemeye yol açtı.
Log4j sorunu, gelecekte sigorta ve reasürans şirketlerinin poliçelerini nasıl yazacağını etkileyecek. 31 Aralık 2021’de birçok poliçenin yenilenmesi gündeme geldiğinden, 2022’de Log4j ile ilgili konuların reasürans poliçelerinden hariç tutulduğuna dair tartışmalar görüyoruz. Bu, sigorta şirketlerinin müşterilerine sunabileceği poliçeleri etkileyecek.
Bu, BT güvenlik ekipleri için ne anlama geliyor? Uygulayıcılar için, olası sorunları önlemek işletme için daha değerli olacağından, işlerini eskisinden daha önemli hale getirecektir. Varlık envanteri ve güvenlik açığı yönetimi gibi standart güvenlik uygulamalarının yürütülmesi gerekli olurken, aynı sorunlar için yazılım malzeme listelerini incelemek yazılım tedarik zinciri güvenliği tarafında yardımcı olacaktır. Maliyet etkisini azaltırken gelecekteki tehditlerle başa çıkmak için işletmelerin aylar değil saatler içinde doğru içgörüler elde edebilmesi gerektiğinden, bu uygulamaların yüksek oranda otomatikleştirilmesi de gerekecektir.
Daha geniş iş riskinden sorumlu olanlar için siber sigorta ile ilgili bu gelişmeler daha önemli bir sorun teşkil edecek. Siber sigorta poliçeleri hala mevcut olacak – ve gerektiğinde gerekli – ancak poliçelerin kendileri daha az yer kaplayacak. Geçtiğimiz birkaç yıl, bir dizi konuda ödeme yapacak oldukça geniş kapsamlı politikalara sahipken, gelecekteki politikalar daha az kapsam sağlayacaktır.
Daha önce bilinen koşulların hariç tutulduğu gerçek dünyadaki sağlık sigortasına benzer şekilde, siber sigorta poliçeleri daha katı olacaktır. Sigorta kuruluşu Lloyd’s of London’a rehberlik etmekten sorumlu olan Lloyd’s Market Association, 2021’de siber savaş ve saldırılarla ilgili sigorta şirketleri için model maddelerle ilgili kılavuz yayınladı. Buna, 2017 yılında Ukrayna’daki kuruluşları hedef alan ve daha sonra küresel şirketleri etkilemek üzere yayılan NotPetya saldırısında olduğu gibi, ulus devletlerle bağlantılı bilgisayar korsanlığı grupları tarafından gerçekleştirilen eylemler de dahildir.
Siber sigortayla ilgili bu değişiklikler, iş riskini bağlamda yönetmeyi zorlaştıracak. BT ekibi görevlerini yerine getirebilirken, yazılım tedarik zincirlerindeki şirketlerin sorumlu olduğu her şeyi kontrol edemeyeceklerdir. Google Güvenlik’e göre, Maven Central’daki 17.000’den fazla paket, 19 Aralık 2021’de Log4j’yi içeriyordu, bu nedenle yazılıma geniş ölçüde yerleştirildi. Bu paketlerin yaklaşık dörtte birinin güncellenmiş sürümleri mevcuttur. Bu zamanla gelişecektir, ancak güncellenemeyen veya düzeltilmeyen yetim paketler olan pek çok şey olacaktır. Yazılım tedarik zincirindeki Log4j kaynaklı herhangi bir olay, BT güvenlik ekibinin tüm çabalarına rağmen işi etkileyebilir.
Risk Yönetiminde Önceden Planlama
Bunun önüne geçmek için işletmeler genel risk yönetimi yaklaşımlarına bakmalıdır. Kendi iç süreçlerine kıyasla risk stratejilerinin bir parçası olarak siber sigortaya ne kadar güveniyorlar ve bu yıl bu durum nasıl değişecek? Zamanla, siber sigorta kapsamı daraltılacak ve bir talebin onaylanması daha zor olacaktır.
Bununla başa çıkabilmek için CISO’lar, genel risk yönetimi stratejilerinin bir parçası olarak güvenlik temellerini doğru bir şekilde almayı düşünmelidir. Bu, yalnızca daha geniş BT departmanı ve işin kendisiyle işbirliği yoluyla başarılacaktır. Örneğin, modern CISO’nun, veri merkezleri, bulut dağıtımları, hizmet olarak yazılım uygulamaları vb. gibi işin her köşesindeki güvenlik açıklarına bakması gerekir ve bu verilerin risk bağlamında sunulması gerekir. departman ve bölüme göre işletmeye. Bu, işletmelerin güvenliklerinin doğru bir resmini elde etmelerini ve bunu iş bağlamına yerleştirmelerini kolaylaştırır.
Ek olarak, bu risklere iş etkisi ile öncelik verilmelidir. Örneğin, bir temel iş uygulamasında Log4j gibi yüksek önem derecesine sahip bir güvenlik açığı tespit edilirse ve hızlı bir şekilde yama yapılması gerekiyorsa, herkes gerekçenin farkında olacak ve değişiklik talebini hızla destekleyecektir. Yönetim kurulu ve iş liderliği ekibi, bu tür hızlı yanıt vermenin iş üzerindeki etkisini ve aynı zamanda bunu gerçekleştirmeme riskini bilecek. Bu, kuruluş genelinde daha iyi güvenlik için destek almayı kolaylaştırır ve zaman içinde riski azaltır.
Bu iki şekilde yardımcı olacaktır. İlk olarak, sorunlar açıklardan yararlanılmadan önce çözüldüğünden, ilk etapta fidye yazılımı gibi başarılı saldırılara yol açan güvenlik sorunları potansiyelini azaltmalıdır. İkinci olarak, kuruluşun etkin en iyi uygulamalara sahip olduğunu ve operasyonlarında güvenliğe öncelik verdiğini göstermelidir. Bu, makul bir siber sigorta poliçesi almayı kolaylaştırmanın yanı sıra herhangi bir poliçenin gerektiğinde ödeme yapmasını sağlamaya yardımcı olabilir.