Sigorta şirketleri de SİBER TEHDİT altında

2014 yılında siber güvenlik manşetlerinde hep Sony’yi görmüş olsak da, J.P. Morgan Chase, Home Depot ve Target gibi pek çok şirket gittikçe daha karmaşık yöntemler kullanan ve daha iddialı hackerlar yüzünden zarar etti ve verilerini çaldırdı.
Sigorta sektörünü en çok sarsan siber saldırıysa Anthem Healthcare şirketine düzenlenen saldırıydı. Anthem CEO’su Joseph Swedish’in söylediğine göre şirket, saldırı altında olduğunu fark ettiği gibi güvenlik açıklarını kapatmaya çalıştı, FBI’ı bilgilendirdi ve sistemlerini değerlendirmesi için Mandiant siber güvenlik firmasıyla anlaştı.
Finansal kurumları korumanın önemini fark eden New York Finansal Hizmetler Departmanı belirli aralıklarla sigorta şirketlerini incelediği denetleme programına siber güvenlik başlığını da ekledi. Departman aynı zamanda New York’ta bulunan sigorta şirketlerinde ‘artırılmış düzenlemeler’in uygulanmasını zorunlu kıldı. Yakın zamanda gerçekleşen siber saldırıların finansal kurumlar ve sigortacılar için bir uyanma çağrısı olduğunu belirten New York Eyaleti Finansal Hizmetler Denetleyicisi Benjamin M. Lawsky, “Düzenleyiciler ve özel sektör şirketleri, tüketici verilerinin korunması için harcadıkları eforu en az iki katına çıkarmak ve konuya daha agresif bir şekilde yaklaşmak zorunda” diyerek durumun ciddiyetini vurguladı.
Pek çok tüketici, özellikle büyük sigorta şirketlerinin, hassas müşteri bilgilerini güçlü siber güvenlik programlarıyla koruma altına alacağını düşünüyor. Ne yazık ki, bu düşünce sigorta şirketlerinde karşılığını çoğu zaman bulmuyor. Departman’ın yaptığı araştırmaya göre sigorta şirketlerinin yüzde 95’i siber saldırılara karşı yeterince önlem aldığını düşünüyor ve şirket CEO’larının sadece yüzde 14’ü siber güvenlikleri hakkında aylık brifing alıyor. Saldırıdan önce Anthem’in tıbbi olmayan verilerinde basit bir şifreleme bile olmadığı biliniyor. Anthem, saldırı için özellikle seçilmiş bir şirket olsa da tüm finansal kurumların risk altında olduğunu söyleyebiliriz.

Sigorta şirketlerinin siber-güvenlik hakkında bilmesi gerekenler*:

1- KİMİN YAPTIĞI ÖNEMLİ DEĞİL
Bir siber saldırı anında ilk tepki saldıran kişi ya da grubu bulmak olacaktır. Bu yöntem olayın kapatılmasına yardım etse de, kimin yaptığını bulmak güvenlik açıklarını kapatmaz ve ileride olayın tekrarlanmamasını sağlamaz. Aynı zamanda, saldırıyı gerçekleştireni bulmak, güvenlik açıklarının kapatılmasında kullanılabilecek değerli zamanın ve eforun boşa harcanmasına neden olur.

Siber-suçlunun bulunması için kaynakları boşa harcamak yerine, saldırıya neden olan güvenlik zafiyetini bulun ve saldırıdan etkilenen bilgileri tam olarak tespit edin. Geçmiş hatalardan ders çıkarmak, güçlü bir güvenlik stratejisi gelişmenin en önemli adımıdır.

2- BIG DATA’YA İNANIN
Booz Allen Hamilton araştırma şirketi tarafından gerçekleştirilen araştırmaya göre, siber atakları analiz etme süreçleri daha big data merkezli bir yaklaşım gerektirecek. Gerçek-zamanlı analitikler yapılandırılmış ve yapılandırılmamış data kaynaklarında kullanılmaya başladıkça siber-tehlike analizlerinin hızı ve kalitesi artacak, maliyeti düşecek.

3 ÜÇÜNCÜ PARTİLERE DİKKAT EDİN
Şirketlerler gittikçe üçüncü parti hizmetlerden doğan risklerin daha fazla farkına varmaya başlıyor. Bu riskin kontrol edilmesi ve yönetilmesi büyük önem taşıyor. Gelecekte sigorta şirketleri sertifikalı ürünler kullanmak yerine üçüncü partileri tercih etmeye başlayacaklar. Güvenlik -bir kenara atılmak yerine- üçüncü parti ürünlere ve hizmetlere entegre edildikçe daha da önem kazanacak.

4- GÜVENLİK İHLALLERİNİN MALİYETİ
Siber-risk yönetim şirketi NetDiligence’nin yaptığı araştırma, 2014 yılında gerçekleşen ve büyük finansal kayıplara neden olan veri kayıplarının yüzde 97’sinin hackerlar ve zararlı yazılımlar yüzünden meydana geldiğini ortaya koyuyor. Hackerlar yüzünden meydana gelen olayların ortalama maliyeti 242 bin 750 dolar olurken, en büyük kayıp 11.75 milyon dolar oldu.

Araştırmaya göre, kaynaklar ve güvenlik ihlalleri sektörlere göre büyük farklılık gösteriyor. Yüzde 23 oranı ile en çok saldırı alan sektör sağlık hizmetleri olurken, finansal hizmetler yüzde 22 oranıyla hemen arkasından geliyor. Finansal kurumlara yapılan saldırıların yüzde 32’si üçüncü parti ürünler ve hizmetlerden kaynaklanıyor. Üçüncü parti nedenli saldırıların ortalama maliyeti 288 bin dolar.

5- SİBER SALDIRILAR EN BÜYÜK ENDİŞELERDEN
Depository Trust & Clearing Clearing Corporation, 2014 yılında yaptığı araştırmaya göre finansal şirketlerin yüzde 84’ü siber riski en büyük beş endişe kaynakları arasına koyuyor. Şirketlerin yüzde 40’ı, yüksek etkili güvenlik ihlallerinin finansal sisteme etkisinin 2014 yılında tavan yaptığını düşünüyor. Araştırmaya katılan şirketlerin yüzde 75’inden fazlası siber riskleri azaltmak için kaynak ayırdıklarını söylüyor. J.P. Morgan güvenlik ihlali, tüm şirketleri etkilemişe benziyor.

6- MÜŞTERİLERLE İLETİŞİME GEÇİN
Anthem’in siber saldırıya verdiği tepki sonucunda gördüğümüz gibi, müşterileri bir saldırı öncesi, sırasında ve sonrasında bilgilendirmek büyük önem taşıyor. Anthem, saldırı bilgisini kamuoyuna sunarak ve gelişmeleri elinden geldiğince paylaşarak müşterileri ile güçlü bir bağ kurarak güven ortamı oluşturdu.

Yöneticiler, siber saldırısı sonrasında sorular cevaplanana kadar kamuoyuyla bilgi paylaşmaktan çekinebilir. Bu yanlış bir hareket olacaktır. Zaten müşterileriniz de tüm cevapları olayı olduğu gibi vermenizi beklemiyor. Bu uzun zaman alan bir süreçtir. Şirketiniz cevaplara ulaştıkça bunu müşterilerle paylaşırsa ve ilgili otoriteler ile beraber çalışırsa, müşterileriniz daha kabullenici olacaktır.

7- GÜVENLİK Stratejİnİzİ sektÖrle PAYLAŞIN
Taktiklerini birbirleriyle paylaştıkları için hackerların karmaşık stratejileri gün geçtikçe artıyor. Güvenlik konusunda genelde kendi başlarına faaliyet yürüten sigorta şirketleri ise bu nedenle güvenlik stratejilerinde daha yavaş ilerleme kaydediyor ve hackerlardan geride kalıyor. Sigorta şirketleri geçmişte bu şekilde bir aksiyon almayı tercih ettilerse de günümüz şartları aynı risklerle karşı karşıya olan diğer finansal kurumlarla güvenlik konusunda iletişime açık olmayı gerektiriyor.

 

* www.insurancetech.com adresinden derlenmiştir.

Yorum yazın