Büyük sigorta şirketleri, “devlet destekli” aktörler tarafından gerçekleştirilen yıkıcı siber saldırılar için istisnaları kabul ettikten sonra, şirketlerin siber sigorta primlerini yeniden değerlendirmeleri gerekecek.
Bu, şirketlerin siber sigorta ile dengeleyebilecekleri riski sınırlandırıyor, güvenlik ve risk uzmanları Dark Reading’e söylüyor – potansiyel olarak buna değmeyen bir politikayı ortaya çıkarıyor.
Siber poliçelere ilişkin en son limitlerde, sigorta piyasası Lloyd’s of London, 16 Ağustos’ta üye sigorta şirketlerine veya sendikalarına, devlet destekli siber saldırıları kapsam dışı bırakmalarını gerektiren bir bildirimde bulundu. Lloyd’un piyasa bülteninde, ek kısıtlamaların amacının, sigorta şirketlerini ve onların sigortacılarını katastrofik kayıplardan korumak ve sigortacıları bunaltabilecek sistemik riskin yönetilmesine yardımcı olmak olduğu belirtildi.
Siber Sigorta Hala Buna Değer mi?
Safe Security’de veri bilimi ve siber sigorta kıdemli başkan yardımcısı Pankaj Goyal, sigortacıların pozisyonu anlaşılabilir olsa da, son üç yılda primlerinin fırladığını görmüş olan işletmelerin sigortanın hala riski etkili bir şekilde azaltıp azaltmadığını sorgulaması gerektiğini söylüyor. siber risk analiz firması.
“Sigorta güven üzerine çalışır, [so answer the question,] ‘kötü bir olay olduğunda bir sigorta poliçesi beni bütün tutar mı?’ “diyor. “Bugün cevap ‘bilmiyorum’ olabilir. Müşteriler güvenini kaybettiğinde, sigorta şirketleri dahil herkes kaybeder.”
Siber sigorta endüstrisi, beş yıl önce primlerden elde edilen gelirin %35’i olan kayıplardan 2020’de %72’ye sıçradığı için son on yılda kârların keskin bir şekilde düştüğünü gördü. 2020’de %22 yükseldikten sonra sadece 2021’de %74, FitchRatings’e göre.
Bununla birlikte, sigorta şirketleri de sorumluluklarını sınırlamaya odaklanmışlardır. 2021’de küresel sigorta şirketi AXA, siber suçlulara fidye ödemeyi durdurmaya karar verdi. Ve son iki yılda, sigorta şirketleri poliçelerine savaş dışı istisnalar eklediler.
İçinde pazar bülteni (PDF), Lloyd’s, siber saldırıların oluşturduğu riskin gelişmeye devam ettiğini ve üyelerinin büyük veya yaygın olarak dağıtılan saldırıların oluşturduğu tehditlere uyum sağlaması gerektiğini savundu. Savaş zamanı riskleri genellikle hariç tutulsa da, Lloyd’s sendikaların daha ileri gitmesini ve belirli politikaların “devlet destekli herhangi bir siber saldırıdan kaynaklanan kayıplar için sorumluluğu hariç tutan uygun bir maddeye” sahip olmasını sağlamasını şart koşuyor.
Sigorta kolaylaştırıcısı, “Düzgün yönetilmezse, piyasayı sendikaların yönetmekte zorlanabileceği sistemik risklere maruz bırakma potansiyeline sahip” dedi. “Özellikle, düşman aktörlerin bir saldırıyı kolayca yayma yeteneği, zararlı kodların yayılma yeteneği ve toplumların fiziksel varlıkları işletmek de dahil olmak üzere BT altyapılarına olan kritik bağımlılığı, kayıpların büyük ölçüde aşma potansiyeline sahip olduğu anlamına gelir. sigorta piyasasının absorbe edebildiği şey.”
Kararlar, ilaç firması Merck’in, 2017 yılında NotPetya kripto-fidye yazılımı saldırısında meydana gelen 1,4 milyar dolarlık iş zararını ödemeyi reddetmelerinin ardından sigorta şirketlerine karşı açtığı davayı kazanmasının ardından geldi. Davanın hakimi. sigorta poliçelerinin savaş dışı bırakılmasının geçerli olmadığına karar verdiçünkü madde yalnızca silahlı çatışmalar sırasındaki kayıpları hariç tutmayı amaçlıyordu.
Ne olursa olsun, politika değişikliklerinin kötü düşünüldüğü, bazıları tartışıyor.
Goyal, “İşaretler, daha uzun bir hak talebi süreci ve daha fazla dava ile sonuçlanan sürekli ihlallere ve saldırılara işaret ediyor” diyor. “Sektör, siber sigorta poliçelerinin anlaşılma, yazılma ve fiyatlanma şeklini toplu olarak düzeltemedikçe, gerçek verilere ve bireysel kurumsal riske dayanmalarını sağlamadıkça – tek bir boyut hepsine uymaz – siberdeki zorlukların ve güvensizliğin sonu yoktur. sigorta.”
Çok Geniş Bir Dışlama
Uzmanlar, kilit sorun, “devlet destekli siber saldırı” teriminin çok geniş bir dışlama olabileceği ve sigorta endüstrisi tarafından kötüye kullanılması durumunda siber sigortanın faydasını azaltabilecek olmasıdır.
Bir siber güvenlik danışmanı olan Optiv’in siber risk ve strateji başkan yardımcısı James Turgal, bir saldırıyı bir ulus devlete atfetmenin çok zor olduğunu söylüyor.
“Saldırılara karışan bir bilgisayar İran veya Kuzey Kore askeri üssünde bulunan bir IP adresine kadar takip edilmiş olsa bile, bu mutlaka hükümet yetkililerinin bilgisi veya talimatıyla yapılmış bir saldırı olduğu anlamına gelmez. ,” diyor. “Diğer ülkelerdeki bilgisayar korsanları tarafından ele geçirilmiş olabilir. [as a false-flag attempt]”
Venafi Güvenlik Stratejisi ve Tehdit İstihbaratı Başkan Yardımcısı Kevin Bocek, şu anda şirketlerin neredeyse üçte ikisinin (%64) bir ulus devlet saldırısından doğrudan hedef alındıklarından veya etkilendiklerinden şüphelendiğini söylüyor. Kuzey Amerika, Avrupa ve Asya şirketlerine yönelik başlıca siber saldırı kaynaklarının çoğu, bir şekilde Çin, İran, Kuzey Kore veya Rusya ile bağlantılı siber suçlu gruplarından gelmektedir. Bu bağlantının “devlet destekli” olmaya eşit olup olmayacağı açık bir sorudur.
“Bu şirketler, sigortacıların çoğu saldırıyı ulus-devlet destekli olarak görüp görmeyeceği konusunda açıkça endişelenecekler” diyor. “Sonuç olarak, güvenlik konusunda ciddi olan çoğu işletmenin, ilk etapta kendilerini bilgisayar korsanlarından koruma çabalarını ikiye katlamasını bekliyoruz.”
Sigortacılar, bir saldırının niteliğini belirlemek için hangi kanıt ve verilerin kullanılacağına ve bir saldırının devlet destekli olup olmadığını belirlerken hangi davranış kalıplarını veya veri noktalarını dikkate alacaklarına ilişkin net yönergeler geliştirmek zorunda kalacaklarını söylüyor.
Siber Savunmaları Güçlendirme Zamanı
Gerçekten de, hariç tutma, muhtemelen daha az şirketin felaket riskini azaltmanın bir yolu olarak siber sigortaya güvenmesine neden olacaktır. Bir uygulama güvenliği firması olan Contrast Security’nin bilgi güvenliği sorumlusu David Lindner, bunun yerine şirketlerin siber güvenlik kontrollerinin ve önlemlerinin herhangi bir felaket saldırısının maliyetini azaltabileceğinden emin olmaları gerektiğini söylüyor.
Yedeklemeler, ağ olaylarının görünürlüğünü artırma, güvenilir bir adli tıp firması kullanma ve tüm çalışanları siber güvenlik konusunda eğitme gibi veri yedekleri oluşturmak, bir işletmenin siber saldırılara karşı güçlendirilmesine ve zararların azaltılmasına yardımcı olabilir.
Lindner, “Kuruluşlar sadece siber sigorta poliçelerine güvenemezler ve kendilerini bu yıkıcı siber saldırılardan proaktif olarak korumalıdırlar” diyor.
Şirketler ayrıca sigorta şirketlerinin rotayı tersine çevirmesini beklememelidir. Safe Security’den Goyal, yaklaşımlarının endüstrinin siber sigortaya reaktif yaklaşımının sadece bir devamı olduğunu söylüyor. Sigorta şirketleri primleri artırdı, fidye yazılımlarına alt limitler koydu ve şimdi, sigortacılar büyük bir poliçede ödeme yapmayı reddettiklerinde ödemelerin gecikmesine ve davaların artmasına neden olabilecek tartışmalı geniş istisnaları benimsediler.