Siber risk sigortaları, işletmelerin bir siber saldırı durumunda milyonlarca dolar tasarruf etmesine yardımcı olabilir.

Her gün büyük ölçekli siber saldırılar, veri ihlalleri ve birçok farklı siber olay ile ilgili haberler çıkıyor. Geçtiğimiz yıl tüm dünyada siber suç faaliyetlerinde büyük bir artış yaşandı. 2022 için de hem gidişat hem de tahminler pek iyi görünmüyor. Bu bağlamda giderek daha fazla sayıda işletme, riskleri azaltıp karşılaşabilecekleri siber saldırılardan korunma konusunda son dönemde siber risk sigortalarını can simidi olarak görüyor. Siber risk sigortaları kısaca işletmeleri siber saldırılar, veri ihlalleri ve diğer tehditlerden nedeniyle oluşabilecek güvenlik sorunlarından korumak için yapılan bir çeşit sigorta.

Kurumsal ağlarda haftalık siber saldırılarda 2020’ye kıyasla geçtiğimiz yıl %50’lik bir artışa şahit olduk. Artışı en çok küçük ve orta ölçekli işletmeler hissetti. Bu, büyük ölçüde fidye yazılımı saldırılarının evriminden kaynaklanıyor. Bir hizmet olarak fidye yazılımı (esas olarak siber dolandırıcıları, işletmelere özel olarak tasarlanmış ve hedeflenmiş fidye yazılımı saldırılarını gerçekleştirme hizmeti sağlayan tek bir işletme türü birime dönüştüren yazılımlar) yılın trendi oldu.

Büyük oyuncular giderek daha fazla saldırıya uğradı, veri ihlali yaşadı ve saldırıya uğradıkça, küçük işletmeler artık meselenin saldırının gelmesi değil, “ne zaman” geleceğinin asıl mesele olduğunun farkına varmaya başladı. Yalnızca 2020’de siber sigorta endüstrisinin %33,5’lik bir büyüme yaşaması şaşırtıcı değil. Birçok durumda, bir işletme siber olayla karşılaştığında siber risk sigortaları kritik öneme sahip. Bu nedenle, günümüzün dijital ekonomisinde başarılı olmak isteyen herhangi bir kurum için, güvenlik altyapılarının bir parçası olarak siber sorumluluğu hesaba katmak artık zorunluluktur.

Siber risk sigortasına sahip işletmeler siber güvenlik riskleriyle daha sık mı karşılaşıyor?

Siber risk sigortası nispeten yeni bir endüstri olduğu için, hakkında hala birkaç yanlış anlama var. Ancak en yaygın olanı, siber risk sigorta poliçesi sahibi kurumların saldırılarla daha sık karşılaşması.

Efsane, kötü aktörlerin bir saldırıdan önce ilgili şirketin bir politikası olup olmadığını bildiği inancına dayanıyor. Ancak, işin gerçeği, siber dolandırıcıların bu tür bilgilere sahip olmasının hiçbir yolu yoktur. Kamuya açık siber risk sigortası sahibi kurumların bir listesi yok. En iyi ihtimalle, siber suçlular bir şirketin siber risk sigortası hakkında, ancak saldırı gerçekleştirdikten sonra bilgi edinebiliyorlar.

Siber risk sigortalarının tüm ayrıntılarını kapsayan yakın tarihli bir NordPass web seminerinde, AmTrust Financial Services Başkan Yardımcısı Andrew Lipton şunları dile getirdi:

“Daha önce şahit olduğum vakalarda saldırganın sigortanın var olduğunu keşfetmesine dayanan bir olaya denk gelmedim.”

Ayrıca, tehdit aktörleri sigorta risk poliçesi sahibi bir şirketin farkında olsalar, bu durum onlar için tam tersi caydırıcı olur.

Çünkü herhangi bir durumda bu önlem, sahibi olan işletmenin neredeyse her düzeyde siber güvenlik uygulamaları konusundaki ciddiyetini gösterir.

İşletmelerin bilmesi ve yapması gerekenler

Siber tehditlerinin sayısının ve çeşidinin giderek arttığı günümüzde, siber risk sigortaları kurumlar için daha önemli bir hale gelmiş durumda. Ancak birçok kurumun bu sigorta hakkında çok az bilgisi var.

Genel olarak siber risk sigortası, şirketi siber güvenlik ve gizlilik risklerinden, operasyonel risklerden ve hizmetle ilgili diğer risklerden korumak için tasarlanmıştır. Çoğu durumda, bir siber politika, ağ kesintileri, ağ güvenliği ve gizlilik yükümlülüğü, medya sorumluluğu ile hata ve eksiklik durumlarında kurumları korur. Kapsam genellikle yasal giderleri, veri restorasyon maliyetlerini, BT adli tıp, halkla ilişkiler ve diğer maliyetleri içerir. Tabii ki, tüm bunlar bir şirket ve sigortacının üzerinde anlaştığı ayrıntılara bağlıdır.

Siber sigortaya başvururken, işletmeler bir poliçeyi güvence altına almanın büyük ölçüde halihazırda mevcut güvenlik altyapısına ve güvenlik uygulamalarına bağlı olduğunu anlamalıdır.

Günümüzün giderek hararetlenen siber tehdit ortamı nedeniyle, bir başlangıç ​​noktası olarak belirli güvenlik kontrollerinin uygulanması şart koşuluyor. Bunlar genellikle VPN’ler, parola yöneticileri ve kimlik bilgisi sızıntılarını sınırlamak için diğerleri gibi ağ güvenliği araçlarına, yetkisiz erişimi azaltmak için çok faktörlü kimlik doğrulamaya ve kurumlardaki tüm uç noktalarda konuşlandırılmış diğer algılama araçlarına sahip olma gerekliliğini içeriyor.

Çoğu zaman, uzman rehberliği ile bir politikayı güvence altına almak çok daha kolaydır. Siber risk sigortalarının tartışıldığı bir web seminerinde Lipton, iş liderlerinin uzmanlarla oturup onların görüşlerini almak için zaman ayırmaları ve ardından tüm bunları bir siber sorumluluk politikasını güvence altına almak için eyleme geçirilebilir adımlara dönüştürmeleri gerektiğini vurguladı.

Daha karmaşık bir yapbozun parçası…

Siber risk sigortası hala oldukça yeni bir alan olmasına rağmen, herhangi bir iş güvenliği stratejisinin işinin ayrılmaz bir parçası haline geldiğini görüyoruz. İşletmeler dijital dönüşüm yolculuklarına devam ederken, siber risk sigortasının bir şirketin güvenlik altyapısının ayrılmaz bir parçası olduğu görüşünü benimsemek son derece önemlidir. Bunu daha büyük yapbozun bir parçası ve o parça olmadan kötü oyuncuların kullanabileceği bir açıklık gibi düşünebilirsiniz.

Siber Sigorta Farkındalık Eğitimi

> Siber sigorta hakkında daha fazla bilgi ve 18 Mart tarihli kapsamlı FinTech İstanbul Akademi eğitimimiz ile ilgili ayrıntılar için buraya tıklayabilirsiniz.

KaynakProperty Casualty360