Siber Risklerle ilgili serimizi risk yönetimi ve sigorta ile bitiriyoruz. Siber riskler sadece teknoloji birimlerinin değil, yönetim kurulu, risk ve sigorta ekipleri ve tüm çalışanların kurum çapında yaklaşmaları gereken risklerdir.
Siber olayların kaynaklarına bakıldığında risk yönetimi ve kurum içindeki risk farkındalığı seviyesi öne çıkıyor. Personel bir kurumu son derece savunmasız bırakabilir. Örnekler zararların daha çok şirket çalışanlarından kaynaklandığını, ve hassas bilgilere erişimleri göz önüne alındığında kötü niyetliyse de önemli zararlara neden olduklarını ancak, iyi niyetli çalışanların bir e postadaki ekleri gelişigüzel açıp paylaştıklarında kimlik avı dolandırıcılıkları ve kötü amaçlı yazılım saldırıları hızla yayabildiklerini gösteriyor.
Yıllar önce birkaç günlüğüne şehir dışında bir iş seyahatindeyken, gelen kutuma bilgi işlem departmanından son gün diye başlayan bir e- posta geldi. Çoğu kurum çalışanı bilir, kurumlardaki son gün uyarıları ciddi uyarılar olabilir, artık son uyarı diye gelince, yoğunluk veya şirket dışında olduğumdan öncekileri görmediğimi düşündüm, fırsat bulduğumda da artık yanıtlama süresi geçmişti, ben de IT ye bilgi geçerek süre uzatımı olup olmadığını sordum.
Meğerse bu bir siber farkındalık testiydi ve ben görev aşkı ve sorumlulukla bağlantıyı tıklayıp işlemi yapmaya çalışıyordum. Neyse ki yapamamıştım ama bence yapmış kadar dillerine düşmüşümdür.
Kimlik avı güvenilir gibi görünerek kişiden bilgi almak için tasarlanmış üst seviye bir girişimdir acil bir ödeme yapmak için bir CFO'ya CEO'dan gelen baskıcı bir sahte bir e-posta gibi . E-dolandırıcılık amaçlı gönderilen e-postalar hatasız ifadeler ve orijinal logolarla inandırıcı görünebilir. Elbette böyle hatalar giderek daha fazla kuruluşun veri hırsızlığı ve fidye yazılımlarından kurumsal casusluğa kadar bir dizi siber olay yaşayabileceği anlamına geliyor ve bunu bilmeyebilirler bile.
Personeller kötü niyetli olmayan ama düşük risk farkındalığı ve zayıf risk yönetimi nedeniyle hatalar yapmaya devam ediyor. Bazı tanıdık örnekler :
Aracılık edilen sigorta poliçelerinin taranarak sigortalıya gönderimi - Bütün kişisel veriler orada- genellikle de şifrelenmeden gönderiliyor.
Ödeme için eposta yoluyla gönderilen kredi kartı bilgileri
Teklif için alınan ve şifresiz şekilde mesajın içine yazılan TC Kimlik numaraları
Ofiste korunmasız şekilde açık bırakılıp terkedilen ekranlar
Kopya veya lisansız yazılımlar
Unutmamak gerekiyor - Ofiste güvenli gibi görünse de güvenlik ofisin çok ötesine yayılıyor , artık kullanımı çok yaygın olan akıllı telefon ve tabletler her yerde bulunan ve taşınabilir depolama cihazları yedekleme için yararlı, aynı zamanda veri hırsızları için bir hedef .
Nesnelerin İnterneti (IoT) gibi yeni teknolojilere geçişler riski büyütüyor, ağlar dağıldıkça ve daha fazla cihaz daha fazla bağlantı geliştirdikçe, güvenlik önlemlerinin de artması gerekiyor. Bulut (cloud) bilişim güvenliği için tehdit ve operasyonlar tesis dışına çıktıkça geleneksel güvenlik önlemleri yetersiz kalıyor. Daha fazla işletme buluta bağlandıkça, verileri güvenlik duvarlarıyla savunmak daha zor hale geliyor.
Tüm bu riskler sonucu işletmeler aşağıdaki sonuçlarla karşı karşıya kalabilirler ;
Gizli veri, ticari sır veya fikri mülkiyet kaybı
Veri ihlali veya kötü medya nedeniyle müşteri kaybı
İtibar kaybı
Gasp ve şantaj
Hırsızlıktan kaynaklanan mali kayıp
İş kesintisi
Tazminat davaları ve ilgili masraflar
Düşük hisse değeri
Bilgisayar sistemlerinde fiziksel zararlar
Kamu otoritelerinin başlatacağı işlemler ve ilişkili para cezalar
SİGORTA
Siber Risk Sigortası 2 kısımdan oluşuyor Siber Sorumluluk - Veri Gizliliği Ağ Güvenliği - Medya
Veri Gizliliği Sorumluluğu ve Ağ Güvenliği Sorumluluğu: Sigortalının sorumluluğunda bulunan 3. şahıs verilerinin sızdırılması veya kaybolması sonucu 3. şahısların yaşayacağı kayıpları takiben gelecek tazminat taleplerini, sızdırılma olayına takiben yapılması gereken bilgilendirme masrafları ile markanın zarar görmesini engellemek için yapılacak halkla ilişkiler masraflarını kapsıyor. Sigortalının internette medya faaliyetlerinden (Kurumsal Linkedln , Twitter, internet sayfası gibi reklamlar veya bloglar) dolayı üçüncü şahısların itibarına veya şahsiyetine gelebilecek aşağılama veya lekeleme, hakaret, iftira, karalama, ürün kötüleme, ticari karalama ile ilgili manevi zarar talepleri de bu kısımda sigorta ediliyor.
Sigortalı (Birincil taraf) Zararları- Veri Kaybı, şantaj, İş Durması
Veri ihlalini incelemek ve doğrulamak için yapılan analiz maliyetleri; veri ihlalini yönetmek için yapılan yasal maliyetler; otoriteleri bilgilendirme maliyetleri, yedekleme veya geri yükleme maliyetleri; işin kesintiye uğraması veya itibarın zedelenmesi ile ilgili gelir kaybı ve ek çalışma maliyetleri; halkla ilişkiler, şantaj ve fidye görüşmeleri için danışman maliyetleri bu kısımda sigorta ediliyor.
Siber atak ve hasarlar soruşturmalar, tarafsız güvenlik firmasının hizmetlerinin yanı sıra kolluk kuvvetleri ile koordinasyonu da içerebilir.
Soruşturma ve savunma sürecinde mahkeme masrafları, avukatlık ücretleri, bilirkişi ücretleri ile diğer ücret ve masraflar, KVKK ve benzer mevzuatın ihlali sonucunda verilen idari para cezaları da yine siber risk sigortasının kapsamını oluşturuyor.
Siber Risk Sigorta Piyasası, bir fiyatlama yapmadan önce riske dair bilgileri detaylı sigorta bilgi formları üzerinden topluyor. Buna ek olarak özellikle şantaj ve fidye konusunda kriz yönetimi yetkinliğini de anlamaya çalışıyorlar. Teklif vermede işletmenin boyutu, saklanan verinin hassasiyeti ve büyüklüğü, şirketin cirosu, güvenlik önlemlerinin durumu ve talep edilen poliçe koşulları etkili oluyor.
Burada şirketlerin bilgi işlem teknoloji yöneticilerine önemli bir çağrım var. Saatlerinizi ve tüm gayretinizi verilerin güvenliği ve sistemlerin aksamadan çalışması için harcarken , yukarıda belirttiğim nedenlerle bir siber olayla karşılamak olası. Bu durumda verilerin kurtarılması ve zararın büyümemesi için canla başla çalışacağınıza şüphe yok. Burada da görüldüğü gibi bir siber olay yaşandığında teknik müdahalelerin yanında kurumların pek çok krizi aynı anda yönetmesi ve ciddi maliyetlere katlanması gerekiyor. Bu nedenle bilgi güvenliğinin yanı sıra kurumun itibarı ve sürekliliği için siber sigorta en başta CTO'ların, bilgi işlem ve teknoloji yöneticilerinin ajandasında yer almalı.
Siber sigorta piyasasında maliyetler bir süredir dengede. Eğer hala siber risklere karşı bir sigortanız yoksa, pazarın sakin durumundan faydalanmanızı öneririm.
Herkese güvenli günler
Comments