2024’te siber sigorta talepleri ve kayıplarında 3’üncü taraf riski öne çıktı

2024 yılında 3’üncü taraf riski, siber sigorta taleplerinin ve finansal kayıpların en büyük etkenlerinden biri haline geldi. Siber risk çözümleri sağlayıcısı Resilience tarafından yayımlanan yeni verilere göre, şirketlerin giderek daha fazla birbirine bağlı sistemlere ve geniş bir yazılım tedarikçi ağına bağımlı hale gelmesi, üçüncü taraf risklerini kritik ancak çoğu zaman göz ardı edilen bir tehdit haline getirdiği ifade ediliyor.

Artık kuruluşlar, yalnızca kendi siber güvenliklerini değil, aynı zamanda iş ortakları ve tedarikçilerinin güvenliğini de yönetmek zorunda. Aksi halde büyük mali kayıplarla karşı karşıya kalabilirler.

Siber suçlular, uzun süredir bir kuruluş içindeki güvenlik açıklarını istismar ederek tüm ağda domino etkisi yaratan aksaklıklar oluşturuyor. PowerSchool, CDK ve Change Healthcare gibi yüksek profilli veri ihlalleri de bu durumun en çarpıcı örnekleri arasında yer alıyor.

ÜÇÜNCÜ TARAF RİSKİ BÜYÜK KAYIPLARA YOL AÇIYOR

“Üçüncü taraf riski artık yalnızca manşetleri süslemiyor, aynı zamanda benzeri görülmemiş kayıplara yol açıyor. Bu risk genellikle fark edilmez ancak artık sektör kritik bir eşiğe ulaştı.” diyen Resilience’in Kurucu Ortağı ve CEO’su Vishaal “V8” Hariprasad, işletmelerin ortaklarının güvenlik açıklarını kendilerinden ayrı tutmayı göze alamayacağını vurguladı. Hariprasad’a göre şirketler, bu yeni “paylaşılan risk” anlayışını benimseyerek daha akıllı iş kararları alabilir ve maddi kayıpları etkili bir şekilde azaltabilir.

Resilience’in en güncel verilerine göre, üçüncü taraf kaynaklı riskler—fidye yazılım saldırıları ve tedarikçi kaynaklı kesintiler dahil—2024 yılındaki tüm siber sigorta taleplerinin %31’ini oluşturdu. Daha da dikkat çekici olan, üçüncü taraf risklerinin ilk kez mali kayıplara neden olmasıydı. 2023’te sıfır olan üçüncü taraf kaynaklı hasar talepleri, 2024’te tüm tazminat ödemelerinin %23’üne ulaştı.

FİDYE YAZILIM SALDIRILARI KAYIPLARIN BÜYÜK KISMINI OLUŞTURUYOR

Fidye yazılım saldırıları 2024’te de büyük mali kayıplara neden olmaya devam etti. Resilience’in bulgularına göre, sigorta şirketlerinin ödediği tazminatların %43’ü doğrudan fidye yazılım saldırılarından kaynaklanırken, %18’i tedarikçileri hedef alan fidye yazılım saldırılarıyla ilişkiliydi. Böylece, fidye yazılım kaynaklı talepler, toplam kayıpların %61’ini oluşturdu.

Bunun yanı sıra, 2023’te %14 olan transfer dolandırıcılığı kaynaklı hasar talepleri, 2024’te %18’e yükseldi.

Resilience, bazı sektörlerin daha yüksek oranda hasar talepleri ile karşı karşıya kaldığını da belirtti. Taşımacılık, imalat ve sağlık sektörleri, bu alanda en fazla kayıp yaşayan sektörler arasında yer aldı. Bu sektörlerde kullanılan eski operasyonel teknolojiler ve kesinti maliyetlerinin yüksekliği, risk seviyesini artırdı.

Öte yandan, sağlık ve finans sektörleri, sıkı düzenleyici gereklilikler nedeniyle en fazla sigorta talebi bildiren alanlar oldu. Bu sektörlerde, olaylar büyük maddi kayıplara yol açmasa bile düzenleyici zorunluluklar nedeniyle sigorta taleplerinin daha sık raporlandığı gözlemlendi.

KİMLİK AVI SALDIRILARINDA DÜŞÜŞ

2024’te, geçmişte en büyük finansal kayıplara yol açan siber saldırılardan biri olan kimlik avı (phishing) saldırılarında önemli bir düşüş yaşandı. Resilience’in verilerine göre, kimlik avı saldırıları 2023’te tüm tazminat ödemelerinin %20’sini oluştururken, bu oran 2024’te %9’a geriledi. Bu düşüş, siber güvenlik sektörünün değişen tehdit ortamına uyum sağlama yeteneğini ve siber suçluların yeni taktikler geliştirdiğini gösteriyor.

ŞİRKETLER ÜÇÜNCÜ TARAF RİSKLERİNİ DAHA CİDDİ ELE ALMALI

Bu trendler, şirketlerin yalnızca kendi sistemlerini değil, aynı zamanda iş ortakları ve tedarikçilerinin sistemlerini de güvence altına almasının kritik önem taşıdığını gösteriyor. Üçüncü taraf risklerinin yeterince ele alınmaması, zincirleme aksamalara ve büyük finansal kayıplara yol açabiliyor.

Resilience Küresel Hasar Yönetimi Başkanı Jeremy Gittler ise konuya ilişkin şu değerlendirmeyi yaptı:

“Biz hem siber risk ölçümleme yazılımı hem de siber sigorta hizmeti sağlayan bir şirket olarak, işletmelerin siber tehditlerle nasıl başa çıktıklarına dair benzersiz bir içgörüye sahibiz. Son bir yıl içinde tehdit ortamı hızla evrim geçirse de şirketler, siber riskleri yönetme ve maddi kayıpları önleme konusunda büyük ilerleme kaydetmeye devam ediyor.”