Veri ihlallerinin, fidye yazılımlarının ve diğer siber saldırıların maliyetlerindeki artış, artan siber sigorta primlerine ve daha sınırlı siber sigorta kapsamına yol açmaktadır. Bu siber sigorta durumu, kapsam bulmakta zorlanan veya büyük artışlarla karşı karşıya kalan kuruluşlar için riskleri artırıyor.
Bazı Akın Gump Strauss Hauer & Feld LLP’ler Örneğin hukuk firması müşterileri, sigorta oranlarında üç kat artış bildirdi ve taşıyıcılar, son iki yılda teminat limitlerinde “büyük bir geri çekilme” yapıyor. Siber güvenlik uygulamalarının eş başkanı Michelle Reed, “Azaltılmış teminat miktarı artık poliçe sahiplerini siber kayıplardan koruyamaz. 10 milyon dolarlık bir poliçe, siber dolandırıcılık için 150.000 dolarlık bir sınırla sonuçlanabilir.”
Siber sigorta durumu o kadar endişe verici ki, ABD Hazine Bakanlığı yakın zamanda bir rapor yayınladı. genel girdi talebi potansiyel bir federal siber sigorta müdahale programında. Bu talep, Federal Sigorta Ofisi (FIO) ve İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından ortaklaşa yürütülen değerlendirmeye ek olarak, “felaket siber olaylardan ve potansiyel finansal risklerden kritik altyapıya yönelik risklerin boyutunu belirlemek için. riskler federal bir sigorta yanıtını garanti eder.”
Bu, dijital ortamların evrimini ve kripto para suçlarını kolaylaştırma etkisini yansıtan siber saldırıların doğasının evriminin doğrudan bir sonucudur. Siber suçlu tarafında, Kendin Yap kötü amaçlı yazılım kitleri ve Hizmet Olarak Kötü Amaçlı Yazılım platformları, siber suça giriş engelini ortadan kaldırdı ve karmaşık saldırıları başlatmayı teknoloji bilgisinden yoksun özenti suçlular için uygun maliyetli hale getirdi.
Siber sigorta kapsamı yalnızca iş kesintisini, veri kurtarmayı ve altyapı hasarını kapsamak için kullanılır. Bugün, kuruluşların siber şantaj maliyetlerini, itibar risklerini, uyumsuzluk cezalarını ve üçüncü taraf sorumluluk risklerini de kapsamaları bekleniyor; bu, kuruluşlar arasındaki ara bağlantı genişlemeye devam ettikçe büyüyen bir alan.
Bir siber sigortacının klasik prim değerlendirme araçları, en iyi uygulama değerlendirme ve sızma testlerine bağlılıktır. Ancak, bu yaklaşımların doğasında bulunan sınırlar birçok düzeyde sorunludur.
Güvenlik programlarını optimize eden, maruz kalmayı en aza indiren ve zaman içinde izlenebilen nicel KPI’lar sağlayan İhlal ve Saldırı Simülasyonu, Saldırı Yüzey Yönetimi ve Tehdit Maruziyeti Değerlendirmesi gibi sürekli güvenlik doğrulama teknikleri oyunun kurallarını değiştirir. Sigortalı tarafın tehdide maruz kalmasını değerlendirmeye yönelik savunmacı, reaktif bir perspektiften geçiş yapmak, saldırı saldırılarının tüm MITRE ATT&CK TTP’ler matrisinde neden olacağı değerlendirmeye doğru ilerlemek anlamına gelir.
Ne zaman bir siber sigorta sigortacısı ile müzakeregüvenlik doğrulama teknolojileri ile gerçekleştirilen nicel, belgelenmiş değerlendirmeler sağlayabilen bir şirket, aşağıdakileri nasıl yaptığını göstererek tartışmaya öncülük edebilir:
Bir sigorta sözleşmesi, üzerinde mutabık kalınan temel çizgilerden sapmayı makul bir süre içinde düzeltme gereklilikleri, otomatik olarak oluşturulan değerlendirme raporlarını düzenli olarak paylaşma yükümlülüğü veya kapsam kapsamı ile temel varyansa uyum arasında bir bağlantı gibi unsurları içerebilir.
Güvenlik doğrulaması, son PCI DSS v4.0 güncellemesi gibi uyumluluk düzenlemeleri için bir uyumluluk yolu haline geliyor. Siber sigorta taahhüt süreçlerine güvenlik doğrulamasını dahil etmek, mevcut siber sigorta durumunu ele almak için uzun bir yol kat edebilir ve çevrelerinde böyle bir proaktif yaklaşımı uygulamak için ek bir teşvike sahip olacak kuruluşların siber direncini destekleyebilir.
Not – Bu makale, Cymulate’in baş strateji sorumlusu Andrew Barnett tarafından yazılmış ve katkıda bulunmuştur.
siber-2