Siber sigorta, ilk bakışta tehlike altında olduğumuz zamanlar için mükemmel bir çözüm gibi görünüyor. Fidye yazılımı saldırılarının 2022'de önemli ölçüde artarak tüm ihlallerin dörtte birini oluşturduğu düşünüldüğünde, şirketinizin saldırıya uğraması durumunda, en azından kar marjınızda meydana gelen kayıpların bir kısmını telafi etmek için siber sigorta iyi bir alternatif.

Ancak giderek büyüyen bir soruna hızlı bir çözüm arayanlar için siber sigortanın da dezavantajları var. Veeam Kurumsal Stratejilerden Sorumlu Başkan Yardımcısı Dave Russell ve Veeam Ürün Stratejilerinden Sorumlu Kıdemli Direktör Rick Vanover kurumların siber sigortaya neden ihtiyaç duyduğunu ve neden tek başına yeterli olmayacağını açıkladı:

Öncelikle, giderek daha pahalı hale geliyor. Sunduğu koruma, nasıl saldırıya uğradığınız ve gelecekte bilgisayar korsanlarını nasıl durdurabileceğiniz gibi konuları kapsamıyor. Üstelik verilerinizi güvence altına almıyor ya da kullanılabilir durumda tutmuyor. Verilerini ve operasyonlarını siber saldırılara karşı sigortalamak için ellerinden geleni yapan şirketler, iyi niyetle hareket ediyor. Ancak birçoğu, önemli iş yüklerini korumak için gerekli önlemleri almak yerine daha çok sigorta tazminatlarını tahsil etmeye odaklanıyor. Oysa yapmaları gereken şey, siber sigortayı tehditleri önleyen ve verileri yedekleyen diğer "sigorta" türleriyle desteklemek.

Siber Sigorta Neden Gerekli?

Sigorta kavramının geçmişi 1300'lü yıllara kadar uzansa da, siber sigorta nispeten yeni bir kavram. Sigorta şirketleri ilk kapsamlı siber poliçelerini 2000'li yıllarda kötü amaçlı yazılımlara, fidye yazılımlarına ve DDOS saldırılarına karşı bir koruma sağlamak için piyasaya sürdüler. Bu süreçte farklı sigorta poliçelerinin üçüncü parti verilerin çalınması, iş kesintilerin maliyetleri ve ihlallerin araştırılması için adli tıp hizmetleri gibi konulardaki sorumlulukları kapsadığını biliyoruz.

Siber sigorta kurumlar için oldukça faydalı olabilir. Örneğin Sony, 2011 yılında PlayStation ağında yaşanan ihlalin neden olduğu davaları çözmek için harcadığı 171 milyon doların etkisini hafifletmek için siber saldırıları da kapsayan bir sigortaya sahip olmayı dilemişti. Çünkü mahkeme Sony'nin sigorta poliçesinin sadece fiziksel mülklere verilen zararı kapsadığına, siber bağlantılı maliyetleri kapsamadığına karar vermişti.

Şu anda siber sigorta yaptıran şirketler hâlâ "erken benimseyenler" arasında yer alıyor. Forrester tarafından yapılan bir araştırma, kuruluşların %55'inin bir tür siber sigortaya sahip olduğunu ve yalnızca %19'unun 600.000 doların üzerindeki siber olaylar için teminata sahip olduğunu gösterdi. Ancak sigorta yaptıranların sayısı giderek artıyor. Siber güvenlik sigortası için küresel pazar 2021'de 7,60 milyar dolardı ve 2027'ye kadar 20,4 milyar dolara çıkması bekleniyor.

Peki, neden herkes siber sigorta yaptırmıyor? En büyük sorun maliyet. Son beş yılda ticari siber sigorta satın alan pek çok şirket çift haneli siber prim artışları yaşayınca risk yöneticileri siber sigortanın toplam maliyetini sorgulamaya başladı. Örneğin yakın zamanda Batı Kanada'daki bir müşteri yıllık sigorta priminin toplam gelirinin %90'ına yükseldiğini fark etti. Avrupa'nın en büyük sigorta şirketlerinden birinin yöneticisi, siber saldırıların sıklığı ve şiddeti arttığı için bu tehditlerin hızla "sigortalanamaz" hale geldiğini söyledi.

Tazminat ödeme süreçleri de bir başka önemli engel. Siber tazminat ödemelerini yapan sigortacılar, siber erişim raporlarından ağ trafiği günlüklerine kadar uzanan çok sayıda belge talep etme eğilimindeler. Bu belgelerin normal dönemlerde toplanması bile zorken, bir siber saldırı meydana geldikten sonra BT departmanlarının hizmeti eski haline getirmek için verdiği mücadele sırasında sigortacıların taleplerine yanıt vermeleri daha da güçleşecektir.

Ayrıca siber sigorta doğrudan tehdidin kendisine karşı da sürekli bir koruma sağlamıyor. Kasırga etkisi yaratan saldırılar önemli miktarda hasara yol açarken, bu sürede giden gitmiş oluyor. Gelecek yıl başka bir kasırga daha olabilir, ancak yaşanan felaket sonrasında anlık tehdidin de sona erdiği kabul ediliyor. Fidye yazılımlarına karşı sigorta yaptırmak anlık tehlikeyi ortadan kaldırmıyor. Bir saldırgana ödeme yaptığınızda, başkalarının sisteminize erişimi olmadığından emin olabilir misiniz? Bilgisayar korsanlarının giriş yolu olarak kullandığı açığı kapattınız mı?

Özetle: Siber sigorta planları yardımcı olabilir, ancak kuruluşların tehditlere karşı güçlü bir şekilde korunmaları ve siber sorunlarını kendi başlarına çözmeye hazır olmaları gerekir. Bu noktada alabileceğiniz bazı önlemler şöyle:

  • Yama - Kapsamlı bir yama yönetimi süreci oluşturmak, bir kuruluşun BT altyapısını korumanın kritik bir parçasıdır. Yeni bir özelliğin yayınlanmasının ardından güvenlik açıklarının hızla onarılması, işletmelerin varlıklarını korumalarına, maliyetli kesinti sürelerinden kaçınmalarına ve fidye yazılımı saldırılarını önlemelerine yardımcı olabilir.
  • Çalışan eğitimi - IBM tarafından yapılan bir araştırma, siber güvenlik ihlallerinin ana nedeninin %95 oranında insan hatası olduğunu ortaya koydu. Bu da çalışan eğitimine duyulan ihtiyacın altını çiziyor. Kuruluşlar, çalışanların güçlü parolalar kullanmasını, şüpheli kimlik avı girişimlerinden sakınmasını ve önemli şirket bilgilerini korumasını sağlamak için yaygın güvenlik hatalarını sürekli olarak gözden geçirmeli.
  • Siber olaylar için müdahale planlarını güçlendirmek - Bir siber felaket yaşandığında hızlı hareket etmek kritik önem taşır. Birçok kuruluşun emir komuta zincirini ve yapılacakları belirleyen bir müdahale planı bile bulunmuyor. Bir planı olanlar ise bunu düzenli olarak gözden geçirmeli ve güncel halde tutmalıdır.
  • Uygun veri yedekleme sisteminin kurulması - Güvenli bir yedekleme altyapısı fidye yazılımlara karşı son savunma hattını oluşturur. Veri korumasını kapsamlı bir siber hazırlık stratejisine entegre etmek dış tehditlere karşı koruma sağlayacağından, bir siber saldırı gerçekleştiğinde iş sürekliliğini sağlamanın en hızlı ve stratejik çözümüdür.

Siber sigorta, kurumların zarara yol açacak bir ihlale müdahale etmesine yardımcı olabilecek değerli bir araç. Ancak tek başına yeterli değil. Günümüzün artan tehditler çağında ihtiyaç duyulan yüksek düzeydeki korumayı sağlayabilmek için buna ortak akla uygun siber hazırlık tekniklerinin eklenmesi gerekiyor.