Siber sigorta, fidye yazılımı risklerini ortadan kaldırmıyor
Fidye yazılımlara ve siber saldırılara karşı veri korumasının önemi giderek artıyor. Veeam’in yeni Veri Koruma Trendleri Raporu 2023’e göre Asya Pasifik bölgesindeki kurumların yüzde 82’si 2022’de en az bir saldırıya, yüzde 23’ü ise dört ya da daha fazla saldırıya maruz kaldı. Artık bir realite olan siber risklerin, yeni siber güvenlik ve veri koruma önlemlerinin acilen benimsenmesini gerektirdiğinin altını çizen Veeam Kurumsal Stratejilerden Sorumlu Başkan Yardımcısı Dave Russell ve Veeam Ürün Stratejilerinden Sorumlu Kıdemli Direktör Rick Vanover şu bilgileri verdi:
“Kuruluşların sadece önleme stratejilerine yatırım yapmaları ve bir saldırı karşısında işlerinin aksamamasını ve zarar görmemeyi ummaları yetersiz bir yaklaşım. Bunun yerine, kaçınılmaz olana, yani bir veri ihlali ya da güvenlik saldırısıyla karşı karşıya kalma ihtimaline karşı kuruluşların tam anlamıyla hazırlıklı olması gerekiyor.
Kuruluşların genel siber direncini de artıran siber sigorta, siber risklere karşı bir risk yönetimi biçimi olarak siber olaylardan kaynaklanan kayıpları azaltmada ve siber esneklik oluşturmada önemli bir rol oyuyor. Bu nedenle veri koruma stratejisine entegre edilmesi oldukça önem taşıyor. Ancak siber sigorta, veri ihlalleri, fidye yazılımları ve diğer siber güvenlik sorunlarıyla ilgili maliyetlerin tamamını veya bir kısmını karşılayabilir. Söz konusu maliyetler soruşturma, kurtarma ve iyileştirme süreçlerinden kaynaklanabilir. Bir sigorta poliçesi sadece işletmelerin bir siber saldırıdan kurtulmasına yardımcı olmakla kalmaz, aynı zamanda daha kapsamlı bir veri koruma planı formüle etmek için işletmeyi teşvik ederek bir ihlal meydana gelmeden çok önce verilerini korumaya yardımcı olur. Böylece, veri ihlalleri ve siber saldırılarla ilişkili mali etkilerin önemli ölçüde hafifletilmesi sağlandığından, siber saldırı karşısında sağlıklı bir iyileşme sağlanmasında oldukça önemli.”
KOBİ’ler için sigorta önem kazanıyor
Özellikle küçük ve orta ölçekli işletmeler (KOBİ’ler), genellikle yeni tehditlerle başa çıkmak için uygun siber güvenlik altyapısına veya teknolojisine sahip olmadıklarından, yüksek bir siber riskle karşı karşıyalar. Bu da onları yeni saldırı biçimlerine karşı savunmasız oldukları dezavantajlı bir konumda bırakıyor.
Temel siber sigorta poliçeleri KOBİ’ler için daha uygun fiyatlı bir seçenek olarak bir siber saldırı durumunda mali açıdan yardımcı olabiliyor. Ancak fidye yazılım saldırılarının sayısı ve şiddeti arttıkça, gereken kapsamda bir siber sigorta poliçesi birçok KOBİ için ulaşılamaz hale geliyor. Ayrıca sigorta şirketlerinin poliçelerinde daha fazla düzenleme yapması, işletmelerin bir hak talebinde bulunabilmek için ek siber güvenlik önlemlerine yatırım yapmasını zorunlu hale getiriyor. Örneğin, bazı poliçeler işletmelerin varlık yönetim sistemlerine ve belgelenmiş güvenlik açığı yama süreçlerine sahip olmalarını gerektiriyor. Bu gizli maliyetler, KOBİ’lerin siber sigortayı finanse etmesini daha da zorlaştırıyor.
Siber sigorta, siber dayanıklılığın desteklenmesinde çözümün sadece bir parçasını oluşturuyor. Bir şirket bir ihlalle karşı karşıya kalırsa, siber sigorta kurtarma çabalarını desteklemek için bir can simidi görevi görür. Ancak, bu durum işletmenin veri sızıntısına karşı karşıya kalması ve normal süreçlerinin kesintiye uğraması riskini ortadan kaldırmaz. Seçilen siber sigorta poliçesine bağlı olarak, işletmelerin saldırı sırasında ortaya çıkan tüm masrafları karşılanmayabilir.
Güvenlik hijyeni konusundaki en iyi uygulamalar, sağlam bir siber güvenlik stratejisinin temellerini oluşturmaya devam edecektir. İşletmeler siber sigorta yaptırsalar bile bunun fidye yazılım saldırılarına karşı bağışıklık kazandırdığını düşünmemeliler. Yine de bütünsel bir veri koruma ve kurtarma stratejisinin parçası olarak siber hijyen uygulamalarını hayata geçirmeleri gerekir. Böylece, siber sigorta poliçelerinin gereği olarak hak talebinde bulunduklarında gereken özeni gösterdiklerini de kanıtlayabileceklerdir.
Sigorta şirketleri siber saldırı durumlarında kurumlara destek olsa da, sigortanın bir şirketi her şeye karşı koruması mümkün değildir. Her kuruluşun, veri kontrolü ve tam izlenebilirlik sağlayan kapsamlı bir veri koruma altyapısına sahip olması hayati önem taşımaktadır; sonuçta bir şirketin siber güvenliğinin sağlanması nihai olarak kendi sorumluluğundadır.