Risk toplama yeni bir olgu değildir. Sigorta sektörü, kuruluşlar arasındaki ortak varlıkların ve benzerliklerin, kitaplarında yüzyıllardır potansiyel riskleri nasıl bir araya getirdiğini inceledi. Risk toplama, bir kuruluşa, bölgeye, sektöre ve daha fazlasına yönelik genel riski anlamak için bileşik risklerin birlikte gruplandırılmasıdır. Örneğin, belirli bir bölgeyi bir kasırga vurursa, potansiyel mülk hasarı bir dizi sigorta talebiyle sonuçlanabilir; bu toplam bir risk olarak kabul edilir.
Sigorta sağlayıcıları, hem toplam riskin sonuçlarını hem de çok sayıda poliçe sahibini etkileyen tekil, yıkıcı bir olay yaratmak için birleşen bu riskleri göz önünde bulundurmalıdır. Bunu, bir sigortacının bir şehirdeki herkese ev sigortası satmayı seçmesi gibi düşünün, ardından bir kasırga o şehirdeki her evi yok eder – bu, çok büyük miktarda tazminat talebine yol açar.
Siberde böyle bir olay görmedik henüz, ancak endişe şu ki, büyük bir siber olay, dünyanın dört bir yanındaki işletmeler, hatta ekonomiler için felakete dönüşen, yönetilemez bir teknolojik olaylar zinciriyle sonuçlanabilir. Siber suçlular daha cesur hale geldikçe, siber risk faktörlerini birleştirme olasılığı daha önemli bir endişe haline geliyor.
Bununla birlikte, toplam risk siberde biraz farklı bir şekilde ortaya çıkar. Kasırga sırasında, kasırga yolundaki tüm evleri hasar görmemeleri için farklı bir yere taşıyamazsınız. Ancak kuruluşlar olabilmek Bir siber olay sırasında bir felaketi önlemeye yardımcı olmak için belirli güvenlik kontrolleri uygulayın. Dağıtılmış hizmet reddi saldırılarına karşı savunma önlemleri uygulamak, en son ciddi güvenlik açığını yamalamak veya uygulamaları çoklu buluta veya bölgesel bulutlara dağıtmak olsun, siberde toplam riski azaltmanın ve hatta bir felaketten kaçınmanın birçok yolu vardır.
Güvenlik uzmanlarının, toplam siber riski göz önünde bulundururken, tıklama tuzağı manşetlerine kapılmaktan kaçınmaları gerekir. Kuruluşlarının proaktif bir şekilde güvenliğini sağlamak için iki şeyi anlamaları gerekiyor: Birincisi, siber risk sürekli değişiyor; ve ikincisi, veriye dayalı bilgilerle bilgilendirildiğinde, toplam siber riskin felakete dönüşmesi gerekmez.
Siber Risk Değişken ve Dinamik, Ama Teknoloji de öyle
Her gün yeni güvenlik açıkları ortaya çıktığı için siber risk sürekli değişiyor; bu, riskin nasıl gelişeceğini tahmin etmeyi özellikle zorlaştırır. Örnek olay: Koalisyon, Ortak Güvenlik Açıkları ve Etkilenmelerin (CVE’ler) sayısının artacağını tahmin ediyor. 2022’den 2023’e %13 artış. Bu sayı, alana daha fazla araştırmacı girdikçe ve daha fazla teknoloji tanıtıldıkça muhtemelen yıldan yıla artmaya devam edecektir.
Bununla birlikte, CVE’lerin artan sayısı, güvenlik uzmanlarını tüm umutların kaybolduğunu düşünmeye korkutmamalıdır. Saldırganların hedefleyebilecekleri kuruluşların sayısı ve yararlanabilecekleri güvenlik açıklarının hacmi için hâlâ bir üst sınır vardır. Büyüyen risk ortamının dinamikleri paralel hafifletme: Tespit hızları da artıyor ve yeni tespit edilen sorunları çözmek için yazılım güncellemeleri ve yamalar daha hızlı yayınlanıyor. Temel olarak, saldırganlarımızla birlikte daha akıllı hale geliyoruz.
Bunun yerine, risk birleştirme hakkında daha kişisel, ayrıntılı bir düzeyde düşünmek sektöre hizmet eder: Kuruluşunuza veya sektörünüze özgü en önemli risk alanlarına odaklanın ve önce bunları ele alın, çünkü genellikle en çok acının çekilebileceği yer burasıdır.
Güvenlik uzmanlarının ayrıca, riski daha geniş bir C-suite görüşmesi haline getirmek için tipik olarak tartışma yöntemlerini değiştirmeleri gerekebilir. Örneğin, risk hakkında – güvenlik açığı önem puanları yerine – dolar işaretleri cinsinden iletişim kurmak, bir CFO’nun ne kadar sigorta kapsamı satın alması gerektiğine karar vermesine yardımcı olabilir.
Siber Riski Modellemeye Yönelik Veriye Dayalı Bir Yaklaşım
Gerçek şu ki, siber güvenlik yönetilebilir ve doğru veriler ve teknik uzmanlık sağlandığında uygun şekilde garanti altına alınabilir. İronik bir şekilde, siber risk hakkında dünyadaki diğer tüm risklerden daha fazla veri var. Bu muazzam miktardaki veriyi kendi avantajımıza kullanmak, toplu siber riskin kuruluşlar üzerindeki etkisini önemli ölçüde etkilemeye yardımcı olabilir.
En hızlı büyüyen 5.000 ABD şirketinden oluşan bir örnekleme göre modellenen bir Koalisyon simülasyonunda, 250 yılda bir olasılığı olan bir siber olayın 370 milyon dolardan fazla kayba mal olabileceğini keşfettik. ABD ekonomisinin tamamı için tahmin edildiğinde, bir yıkıcı siber olay toplam kayıplar 30 milyar dolara mal olabilir.
Ancak modelimiz aynı zamanda bir felaket olayının lokalize olma olasılığının çok daha yüksek olduğunu da ortaya çıkardı. Toplu siber riskin üzerine inşa edildiği paylaşılan teknoloji altyapısı olan toplama teknolojilerine ve sağlayıcılara baktığımızda, siber risklerin düşündüğünüz kadar birbirine bağlı olmadığını görebiliriz. Varlıkların tümü aynı homojen fiziksel konumlarda veya sanal ortamlarda bulunmaz.
Örneğin, bir bulut hizmetleri sağlayıcısı çıkarsa, bunun küresel olarak gerçekleşmesi pek olası değildir; daha büyük olasılıkla yalnızca belirli bir segmenti etkileyecektir. Bulut bilgi işlem sağlayıcıları, dünya çapında yüzbinlerce fiziksel sunucuyu ve milyonlarca sanal makineyi işletirken, altyapıları ve operasyonları, herhangi bir öğenin arızasının diğerine sıçramasını önleyecek şekilde yüksek düzeyde bölümlere ayrılmıştır.
Mesele Riski Ortadan Kaldırmak Değil, Yönetmek
Özellikle yol gösterecek tarihsel örnekler olmadığı için, yıkıcı bir siber olayı önleyemeyiz veya risk toplamanın ne ölçüde yıkıcı olabileceğini bilemeyiz. Siber, dinamik ve karmaşık bir risk türüdür ve sigorta sağlayıcıları bunu geçmişte kullanılan aynı tipik toplama teknikleriyle ele alamaz.
Siber riski anlamak, değişim konusunda rahat olmakla ve bilinmeyenleri ortadan kaldırmak için doğru becerileri ve zihniyeti kullanmakla başlar. Siber risk, tahmin edilemez olsa bile bilinebilir ve ölçülebilirdir.