Düzinelerce büyük kuruluşa sızmak için kullanılan MOVEit dosya aktarım yazılımının arkasındaki şirket olan Progress Software, son Güvenlik ve Takas Komisyonu (SEC) başvurusunda, 15 milyon dolarlık siber sigorta poliçesinin tamamını tahsil etmeyi planladığını açıkladı. Peki bu 15 milyon dolarlık büyük ödemenin sigortacıların kendi işlerine yaklaşımını nasıl etkilemesi muhtemel?
Toplu davalar, para cezaları ve hırpalanmış bir ticari markayla karşı karşıya kalan şirketin, zararlarını karşılamak için milyonlara ihtiyaç duyacağı konusunda pek şüphe yok. Üstelik Progress Software, Kasım 2022’de meydana gelen ve MOVEit fidye yazılımı kampanyasıyla ilgisi olmayan bir olayla ilgili iddiaları zaten topluyordu. SEC’e yapılan en son 10-Q başvurusu.
“31 Ağustos 2023 itibarıyla, yaklaşık 4,9 milyon dolarlık sigorta geri kazanımı kaydettik; bunun 3 milyon doları Kasım 2022’deki siber olayla, 1,9 milyon doları MOVEit güvenlik açığıyla ilgiliydi ve bize 10,1 milyon dolarlık ek siber güvenlik sigortası kapsamı sağladık. (talep başına 0,5 milyon ABD Doları tutarında bir alıkoymaya tabidir.) Sigorta poliçelerimiz kapsamında mümkün olan azami ölçüde geri ödemeleri sürdüreceğiz.”
Daha Yüksek Primler, Daha Az Kapsam
Tanium’un küresel yönetici katılımı kıdemli danışmanı Mark Millender’a göre, siber sigortacılar, araba veya ev sigortacıları gibi diğerlerinin sahip olduğu geçmiş verilere veya gelişmiş risk modellerine sahip değil; bu da onların “risk iştahlarını” sürekli olarak ayarladıkları anlamına geliyor. Progress Software’in aradığı ödemelere benzer ödemelerin hem primleri artıracağını hem de siber sigorta ekosistemindeki teminat gereksinimlerini artıracağını düşünüyor.
Millender, “Zarar oranları artıp kârlılığı düşürdükçe, risk toleransı geriliyor ve gelirleri artırma ihtiyacı prim ücretlerine yansıyor” diyor.
Kendisi, Progress Software’in bu ve diğer iddialarının ardından politikaların yenilenmesinin daha da zorlaşacağını öngörüyor.
“Millender’a göre aynı zamanda, tazminat talebinde bulunan sigortalı, yenileme sırasında daha fazla incelemeye tabi tutulacak.Sigortalının aynı veya başka bir taşıyıcıyla yenileme yeteneği, bu hasar deneyiminin yanı sıra genel siber güvenlik savunma duruşu ve olayın nasıl ele alındığı gibi birçok faktöre bağlı olacaktır.”
Siber sigorta poliçeleri kuşkusuz şimdiden daha pahalı hale geliyor ve eskisinden daha az teminat sağlıyor: Delinea’nın siber sigorta sektörünün mevcut durumuna ilişkin bir raporu için ankete katılan şirketlerin üçte ikisi, siber sigorta primlerinde %50’lik bir artış gördüklerini söyledi. Geçtiğimiz yıla göre dar kapsam. Ve şirketlerin %80’i geçen yıl en az bir talepte bulunduklarını bildirdi.
Viakoo CEO’su Bud Broomhead, “Siber sigorta pazarının büyümesine üç temel faktör yön veriyor” diyor. “Bu, siber ihlallerden kaynaklanan artan sorumlulukları, ihlaller konusunda daha fazla sorumluluk sahibi olan yönetim kurulları ve üst yönetimi ve siber sigortanın siber güvenlik duruşlarını korumak için sağladığı ‘zorlama işlevini’ içeriyor.”
Broomhead, siber sigorta pazarı olgunlaştıkça bu faktörlerin değişeceğini, ancak sonuçta muhtemelen daha az teminatla daha pahalı poliçelere doğru devam eden bir trendin ortaya çıkacağını ekliyor. Ancak siber sigortacılar risk değerlendirmelerini hassaslaştırdıkça primlerin istikrar kazanması gerektiğini de ekliyor.
Siber Sigortacılar Güvenlik Ekipleriyle İletişim Kuruyor
Siber sigortacılar müşterilerinin risk profillerini daha yakından inceliyor; bu, İlerleme durumuyla yeni boyutlara ulaşacak bir trend. Optiv’in siber sigorta hizmetleri lideri Dara Gibson, bu artan incelemenin sonuçlarından birinin siber sigortacılar ile poliçe sahipleri arasında daha fazla işbirliği olduğunu açıklıyor.
Gibson, “Siber sigortacılar artık siber güvenlik ekipleriyle iletişim kuruyor” diyor. “Sigortacılar, siber güvenlik ve sigortalılar arasında daha çok işbirliğine dayalı bir çaba haline gelecek çünkü ‘iyi’nin neye benzediğine dair daha iyi bir anlayış şekilleniyor.”
Broomhead, aynı tür değerlendirmeleri yapmanın kurumsal ekiplerin sorumluluğunda olduğunu tavsiye ediyor.
Broomhead, “Risk değerlendirmesi ve siber sigorta, her zaman tehdit vektörlerinin gelişmesiyle aynı şekilde gelişecektir” diyor. “Bir kuruluş için en önemli şey, kendi risk değerlendirmesini yapması ve iç politikalarının tüm saldırı yüzeyini kapsadığından emin olmasıdır.”