Editörün notu: Yazar katıldı Dünya Ekonomik Forumu’nda “Fidye Yazılımı: Ödemek ya da Ödememek” başlıklı bir panel 19 Ocak 2023.
İsviçre’nin Davos kentinde düzenlenen 2023 Dünya Ekonomik Forumu’ndaki basının çoğu uluslararası çekişmeye odaklanırken, temelde bunun çok daha ekonomik bir mesele olduğu görülüyor. Kesinlikle, konuşmaların çoğu, toplumun birçok kişiye çözüm etrafında uyum sağlamak için nasıl daha fazlasını yapması gerektiğine odaklandı. polikrizler Üçüncü dünya savaşı tehdidi, hızlanan iklim değişikliği ve COVID üzerinden artan gelir eşitsizliği dahil bugün karşı karşıyayız. Ancak konuların başında, siber suçluların kâr etme amaçlarının nasıl azaltılacağı ve kuruluşların siber risklerine tamamen farklı bir şekilde bakmalarına nasıl yardımcı olunacağına ilişkin gerçek, taktiksel tartışmalar yer alıyordu.
Fidye yazılımı panelimizde, Europol’ün yönetici direktörü Catherine De Bolle, siber suçun, yüksek kâr ve kolay fırsatların olduğu ekonomik koşullar nedeniyle insanlar tarafından yaratılan bir risk olduğunu belirtti. Fidye yazılımı, bu güdülerin ve fırsatların en son para kazanma yöntemidir ve basit kötü amaçlı yazılımdan gelişmiş açıklardan yararlanma ve ikili veya üçlü gasp modellerine doğru gelişmiştir.
bu sebep çünkü siber suç açıktır: para çalmak. Ancak siber suçun dijital doğası, fırsat benzersiz çekiciliği, aşağıdakilerden dolayı:
- Kripto para birimi, çevrimiçi şantajı, yasa dışı mal ve hizmetlerin ticaretini ve dolandırıcılık fonlarını aklamayı oldukça anonim hale getirir ve genellikle Batılı mali düzenleyicilerin veya denetimin erişiminin ötesindedir.
- Siber suçtan yakalanma konusunda yeterince korku yok. Son zamanlarda, ABD Adalet Bakanlığı yasadışı bir kripto para borsasının kurucusunu getirerek büyük bir kazanç elde etti. Anatoly Legkodymov, adalete. Ancak ABD, Batı kolluk kuvvetlerinin yetki alanı içindeki bir ülkeye seyahat edene kadar beklemek zorunda kaldı. Çoğu suçlu o kadar dikkatsiz değildir, bu da böyle bir tutuklamayı ender bir başarı haline getirir.
- Dijital dönüşüm harcamalarındaki patlamayla birlikte (Önümüzdeki beş yılda %16,3 YBBO), veriler yeni altındır. Bekleyen ve aktarılan verilerin şifrelenmesi veya yalnızca yetkili kullanıcılarla erişimin sınırlandırılması gibi temel hijyendeki eksiklikler nedeniyle çalınması inanılmaz derecede kolaydır.
- FBI Direktörü Christopher Wray’in belirttiği gibi, kapsamlı siber sigorta poliçeleri yoluyla şantaj ödemek, yalnızca daha fazla suçu teşvik ederek fidye yazılımı salgınını besler.
Şu anda haraç ödemelerini kapsayan sigorta poliçeleri yazan bir siber risk çözümleri şirketini yöneten kıdemli bir Hava Kuvvetleri siber operasyon subayı olarak, bu noktaları çok net hissediyorum. Bu nedenle, kuruluşların siber risklerini yalnızca teknik bir sorun olarak değil, aynı zamanda finansal bir sorun olarak nasıl yöneteceklerini dramatik bir şekilde yeniden düşünmelerinin zamanı geldi.
Siber Suçlarla Siber Dirençle Mücadele
Şirketlerin haraç ödemesine yardımcı olmak, herhangi bir sigortacı için asla ilk tercih olmasa da, rolü, müşterilerini bir bütün haline getirmeye ve finansal risklerini azaltmaya yardımcı olmaktır. Ancak sigorta şirketlerinin, müşterilerinin genel olarak siber risklerini nasıl değerlendirecekleri, ölçecekleri ve yönetecekleri konusunda proaktif ve bütünsel düşünmelerine yardımcı olma sorumluluğu vardır. Başka bir deyişle, şunu sorun:
- Müşteri, siber güvenlik bütçesini en önemli kontrollere mi yatırıyor?
- Müşteri, kuruluşunun siber hijyenini iyileştirmeye yardımcı olmak için çaba harcıyor mu?
- Müşteri, güvenlik ve işi ayıran yönetim silolarını kırmak için daha fazlasını mı yapıyor?
- Müşteri, güvenlik duruşuna dayalı olarak risklerini tahmin edebiliyor ve miktarını belirleyebiliyor mu?
- Müşteri yukarıdakilerin hepsini yaptığında sigorta kapsamını iyileştirebilecek mi?
Öngörülebilir bir risk olarak siberi azaltmak ve yönetmek için gerekli teknik, politika, davranışsal ve ekonomik unsurları entegre ederek işletmeler için dijital altyapıyı korumanın bir yolu olan siber dayanıklılığın arkasındaki temel fikir budur.
Bir binanın yanmasını veya bir araba kazası kurbanının hayatta kalmasını neyin önlediğini ölçen onlarca yıllık veriye sahip mülk veya otomobil gibi sigorta hatlarıyla karşılaştırıldığında siber, daha az olgun bir sigorta koludur. Riski ölçme ve fiyatlandırmanın zorluğu göz önüne alındığında, siber politikaların sigortalanması hala daha zordur. Bir şirketin kendi sektörlerindeki risklere karşı dengeli güvenlik kontrollerini ölçmek için teknik bilgi, tehdit değerlendirme yazılımı ve gelişmiş analitikle desteklenen yetenekli sigortacılara ihtiyaç duyarlar. Ancak tıpkı binalarda yangın fıskiyeleri ve arabalarda emniyet kemerleri gerektiren düzenlemeleri zorlamak gibi, sigorta da müşterilerimizin dijital altyapılarını haraç tehditlerine karşı önemli ölçüde daha dayanıklı hale getirmelerine yardımcı olarak siber riskin nasıl yönetildiğine ilişkin kuralları yeniden yazabilir.
En İyi Uygulamalar Gaspı Önlemeye Yardımcı Olur
Güvenlik ve Teknoloji Enstitüsü’nün Fidye Yazılımı Görev Gücü’nün bir üyesi olan Chainalysis, fidye yazılımı gelirinin 2022’de yaklaşık %50. Haraç görmemize rağmen denemeler güçlü kalsa da, yedeklemelerden geri yükleme yapmalarına veya BT ağlarını yeniden kurmalarına izin veren kontroller nedeniyle daha az şirketin haraç ödemeye karar verdiğini anekdot olarak söyleyebiliriz.
Bu bize, kurumsal ekosistemin belirli bir bölümü için en iyi uygulamaları paylaşmanın gasplara karşı direnç oluşturduğunu ve saldırganların maliyetini artırdığını söylüyor. Şimdi hedefimiz, şirketlerin ve sigorta sektörünün bakış açısını bu yeni siber dayanıklılık yaklaşımına doğru kaydırmak ve güçlü siber hijyene yatırım yapanları ödüllendirmek.
Fidye yazılımıyla ilgili tartışma grubumuzda, bir şantaj girişimini kısa süre önce engellemiş olan bir CEO, kendisini kurtaran şeyin bir olaya yanıt vermek için bütüncül bir plan provası yapmak olduğunu fark ettiğinde bunu en iyi şekilde dile getirdi. Gerçek dünyadan derslerle egzersiz yapmak, yönetici ekiplerinin fidye ödemeden izinsiz girişi başarıyla atlatmasına yardımcı oldu. Davos’un kamu ve özel sektör liderlerini harmanlaması, bu mesajı duymak için mükemmel bir izleyici kitlesi oluşturdu.
Siber suçla mücadele bir takım sporudur ve başarılı olmak için, öngörülebilir ve yönetilebilir bir siber risk olarak sürekli büyüyen siber suç gerçekliğini yönetmek için gerekli teknik, politika, davranışsal ve ekonomik unsurları bütünleştiren bu siber dayanıklılık çerçevesini benimsememiz gerekir.