Fidye yazılımı saldırılarındaki artış, siber sigortayı işletme liderleri için bir öncelik haline getirdi. Tartışma, konuyla ilgili tartışmalı bir yasa tasarısıyla Ulusal Meclis’te bile gündeme geliyor. Bu proje, siber saldırılar sırasında fidye ödenmesi konusunda ilk olarak siber güvenlik uzmanlarının gazabını çektiği için elden geçirildi.
Ancak bu bilince rağmen sigorta poliçesi yaptırmak veya yenilemek her zamankinden daha zor. Zararlı siber faaliyetler, riski azaltmak için daha da yüksek primler ve daha katı sigortalama gereklilikleri ile yanıt veren sigortacılar üzerinde baskı oluşturmaya devam ediyor. Sonuç olarak 2022 için kabul edilebilir görülenler 2023 için kabul edilmeyebilir.
Şirketlerin 2023’te siber risklerini sigortalamak için şimdiden hazırlanmaya başlaması gerekiyor, böylece bir dizi ön denetim sorusunu yanıtlayabilir ve güçlü bir savunma stratejisi sergileyebilirler.
Temel Siber Sigorta Piyasası Zorlukları
Başta fidye yazılım olmak üzere siber saldırıların artan sıklığı ve karmaşıklığı, giderek daha fazla işletmeyi sigorta aramaya yöneltti. Aynı zamanda, Group-IB’nin yakın tarihli bir raporuna göre, ortalama fidye talebi 2021’de %45 artarak 247.000 dolara ulaştı.
Bunu kabul eden birçok siber sigorta sağlayıcısı, bağımsız poliçeler için önemli doğrudan kayıplar bildirdi. Bu nedenle, sürekli değişen bir tehdit ortamında kuruluşların artan maliyetlerini yeterince karşılamaya devam etmelidirler. AMRAE’nin Fransa’da siber risk sigortası kapsamına ilişkin araştırması, 2022 yılında şirketlerin ödediği prim hacminin bir önceki yıla göre %44,4 arttığını, abone olunan teminat kapasitelerinin ise azaldığını gösteriyor. Ve bu, organizasyonun büyüklüğünden bağımsız olarak.
Ek olarak, sigortacılar 2023’teki teminat kapsamı için şartnamelerinde yalnızca fidye yazılımı riskini dikkate almıyorlar. Mevcut piyasa oynaklığı ve süregelen jeopolitik gerilimler de devreye giriyor. SolarWinds, Kaseya, Log4j ve diğer yüksek profilli olaylar, yazılım tedarik zinciri riskleriyle ilgili endişeleri yoğunlaştırarak, toplama maruziyeti ve sistemsel kayıplar hakkında yeni sorulara yol açtı. Bu arada, küresel mahremiyet düzenlemeleri farklı şekillerde gelişmeye devam ediyor ve davalar ve para cezaları artıyor – bu da sigortalama konusunda daha da fazla soruyu gündeme getiriyor.
Ücretleri yüksek olan HelpNetSecurity, siber sigortayı karşılayamayan veya reddedilen veya sınırlı teminat sunulan kuruluşların sayısının 2023’te iki katına çıkmasının beklendiğini söylüyor.
Önde kalmak için artan gereksinimler ve güçlü kontroller
Doğru koşullarda bir sigorta poliçesi almak veya yenilemek zor olsa da, sigortacılar, özellikle siber güvenlik mimarileri ve planlı yol haritalarına daha derinden dalmaya hazır olan, sağlam güvenlik kontrolleri ve olay müdahale planları olan şirketleri daha çok destekliyor. Sigortacılar genellikle ağ açıklarını bulmak için OpenVAS ve OpenSCAP gibi açık kaynak tarama araçlarını ve riski değerlendirmek için SecurityScorecard ve BitSight gibi güvenlik derecelendirme hizmetlerini kullanarak güvenlik sistemlerini ve uygulamalarını değerlendirir. Kuruluşların korumasını doğrulamak için genellikle harici siber güvenlik şirketleriyle işbirliği yaparlar.
Bu değerlendirmeler sırasında, belirli siber güvenlik kontrollerinin ve uygulamalarının var olduğuna dair kanıtlar ararlar ve 2023’te yapılacak denetimler belirli alanları her zamankinden daha dikkatli inceleyecektir. Başlangıçta sigortacılar, bir şirketin çalışanlarını kimlik avı ve kimlik bilgisi hırsızlığı teknikleri konusunda eğitip eğitmediğini ve şüpheli etkinlikleri belirleyip düzeltmeye yardımcı olmak için uç nokta algılama ve yanıt (EDR/XDR) çözümleri kullanıp kullanmadığını görmek istedi. Şimdi, fidye yazılımı saldırıları genellikle iş istasyonlarında ve sunucularda başladığından, uç nokta koruması daha da incelenecek.
Bununla birlikte, eğitim ve EDR/XDR çözümlerinin her ikisi de gerekli olsa da (ve çoğu sigortacı tarafından hala gerekliyse), siber suçlular sürekli olarak yenilik yapmaktadır. Bu, çalışanların yeni saldırı tekniklerini güvenilir bir şekilde tanımasını çok zorlaştırır ve ayrıca kötü niyetli aktörlerin, SolarWind saldırısında olduğu gibi, yönetici kimlik bilgilerini kötüye kullanarak EDR/XDR’yi devre dışı bırakmanın veya atlatmanın yollarını bulduğu anlamına gelir. Bu nedenle, erişim noktası ayrıcalık kontrollerine, özellikle de bir şirketin tüm kullanıcılardan yerel yönetim haklarını kaldırma becerisine daha yakından bakılmasını sağladı. Buradaki kuruluşlar için en büyük zorluk, en az ayrıcalık kontrolü ile operasyonel verimlilik arasında doğru dengeyi bulmak olacaktır.
Öte yandan, yakın zamana kadar sigortacılar için yalnızca bir geçiş noktası olan Multi-Factor Authentication (MFA) gereklilikleri de, MFA’nın özellikle sağlık alanında ve daha yüksek alanlarda tam olarak kullanılmaması nedeniyle artmakta ve yükselmektedir. Eğitim. Satıcılar, genellikle belirli bir kişiye bağlı olmayan (örneğin, her sunucuda bulunan yönetici hesabı) ancak sistem yöneticileri ve yöneticiler tarafından kullanılan ayrıcalıklı erişimin kapsamında önemli boşluklar bulmuştur. veri. Sonuç olarak sigorta şirketleri, MFA aracılığıyla belirli kullanıcılara bağlı olmayan hesaplar için Ayrıcalıklı Erişim Yönetimi (PAM) ve yüksek değerli varlıkların ve bilgilerin izolasyonunu şart koşmaya başladılar.
Sigortacılar, kuruluşların üçüncü taraf ayrıcalıklı kullanıcıların kimliğini nasıl doğruladığıyla da ilgileniyor; yani hassas verilere ve şirket sistemlerine erişmesi gereken harici satıcılar. Aynı düzeyde korumaya ihtiyaç duymalarına rağmen, güvenlik ekipleri onlara nadiren çalışanlarla aynı ilgiyi gösterir.
Göz ardı edilmemesi gereken makine kimlikleri
Ayrıcalıklı erişim yönetimine artan bu odaklanma, insan kimliklerinin ötesine geçerek artık insan kullanıcıların sayısını geçen insan olmayan kimliklere doğru ilerlemeye başlıyor. Bu makine kimlikleri, sabit kodlanmış hesaplara ve sırlara erişim gerektirir. Gerçekten de, güçlü kimlik bilgileri veya sırlar gerektiren kullanıma hazır veya şirket içi bir çözüm, yapılandırma yönetimi veri platformlarından (CMBD) DevOps düzenleme araçlarına ve robotik süreç otomasyonuna (RPA) kadar işlevlerini ne olursa olsun yerine getirmelerini gerektirir. . Bunun bir parçası olarak sigortacılar, otomatik yama yönetim sistemleri, güvenlik açığı tarayıcıları ve bilgisayar korsanlarının devre dışı bırakmaya çalışabilecekleri diğer mevcut güvenlik araçları etrafındaki ayrıcalıklı erişim kontrollerini sıkılaştırmanın yollarını arıyor.
Sigorta şirketleri, teknolojik önlemlerin ötesinde, kuruluşun ortak sorumluluk kültürünü güçlendirmek için sürekli siber güvenlik eğitimi gibi sağlam insan uygulamaları uyguladığını görmek istiyor. Ayrıca işletmenin bir saldırıdan ne kadar çabuk kurtulabileceğini belirlemek için kuruluşun veri yedekleme uygulamalarını ve olay müdahale planlarını değerlendireceklerdir.
Doğru yönde bir adım
Kuruluşlar siber sigorta sözleşmelerini yenilemeye hazırlanırken, dijital dünyanın hızlı temposuna ayak uydurmak için değişen güvenlik taraması gerekliliklerinin farkında olmaları gerekir. Yine de değişimi hızlandırmak, organizasyonel ve kültürel açıdan her zaman zordur ve korku ve belirsizliğe yol açabilir. Bu sorunu en aza indirmenin en iyi yolu, çalışanların bu kontrollerin neden yapıldığını ve operasyonel verimliliklerini etkilemeyeceklerini anlamalarını sağlamaktır. Bunun için eğitim şarttır.
Neyse ki, giderek daha fazla şirket fidye yazılımlarına karşı savunmalarını güçlendirmek için önemli adımlar atıyor. Daha sıkı kontroller uygulandıkça ve daha etkin kullanıldıkça, sigortacı kayıpları dengelenmeye ve piyasayı biraz yumuşatmaya başlıyor. Kuruluşlar, geleceği göz önünde bulundurarak bugünün taleplerini karşılamaya çalışırken, doğru yönde ilerlemeye devam etmek için işlerini yavaşlatmadan siber risk azaltma çabalarını sürdürmeleri gerekir.