Şirketlerin sistemlerine sızıp kilitleyerek iş yapamaz duruma getiren grupların elinde güçlü bir silaha dönüşen fidye yazılımları sigorta şirketlerini de kara kara düşündürüyor.
Sigorta şirketlerinin, kendilerine binlerce dolar ek maliyet getiren fidye yazılımı saldırılarının olumsuz etkilerinden kaçınmak adına bazı şirketlerden uzaklaşabileceğinden bahsediliyor.
Keysight Technologies’ten Scott Register, Colonial Pipe Boru Hattı’na yönelik gerçekleştirilen siber saldırının ardından devlet ve sektör temsilcilerinin ülkenin kritik altyapısını güvence altına almak için bir araya gelmesi gerektiğini düşünüyor.
Kolay Erişim
FİDYE YAZILIMI SALDIRILARI ARTIYOR, SİGORTA ŞİRKETLERİ ATEŞ ALTINDA
Geçtiğimiz iki hafta içinde birbirinden bağımsız iki fidye yazılımı saldırısından biri ABD’nin doğu yakasında geçici bir gaz sıkıntısına neden olurken, diğeri İrlanda ve Yeni Zelanda’da sağlık sistemlerine ait bilişim teknolojileri networklerini kesintiye uğrattı. Bu gelişmeler üzerine devletler ve sektör temsilcileri siber suçlularla mücadele noktasında önemli adımlar atmanın önemini kavramış durumda.
Siber güvenlik sigortası, şirketlerin fidye yazılım saldırılarına ve bunun yansımalarına karşı nasıl hazırlandıkları ve bunlara nasıl müdahale edileceği konusunda önemli bir noktada durmakta.
Sigortacılar ve sigortalı şirketler bu saldırıların sonucunun firmalara ne kadar pahalıya mal olabileceğini öğrendikçe, sigorta sektörü yeni politikalar belirleme arayışına girdi. Belirsiz olan bir şey var ki bu da son ve geniş kapsamlı saldırıların gelecekte politikaları nasıl şekillendirebileceği.
HER ŞEY NOTPETYA SALDIRILARI İLE DEĞİŞTİ
2017 öncesinde çoğu sigorta şirketi geleneksel fidye yazılımını emlak ve kaza poliçeleri kapsamına almıştı. NotPetya saldırıları ile bu durum değişti. NotPetya saldırısı solucan türü (worm-like) bir fidye yazılımının, virüsün yayıldığı şirketlerin bilgisayarlarını ve sistemlerini tahrip edip önce Ukrayna ve Rusya’da, daha sonra Avrupa ve ABD’de sistemleri müthiş bir hızla kilitlemesi ile hafızalara kazınmıştı.
Obama döneminde Beyaz Saray’da görev yapan siber güvenlik yetkilileri, saldırının küresel bazda 10 milyar dolar zarara neden olduğunu söylemişti.
NOTPETYA SİGORTA DEKTÖRÜNE 2,7 MİLYAR DOLARA MAL OLDU
SANS Enstitüsü’nde veri güvenliği ve soruşturma hukuku alanında ders veren Avukat Benjamin Wright, Notpetya’nın küresel sigorta sektörüne yaklaşık 2,7 milyar dolara mal olduğunu söyledi. Bu tür saldırıların hızı, artan sıklığı ve etki gücü kadar tedarik zincirindeki diğer paydaşlar üzerindeki ikinci ve üçüncü dereceden etkileri, sorunun nasıl ele alınacağına dair daha geniş bir değerlendirmeyi gerektiriyor.
Wright, RSA Konferansındaki bir oturumda şirket politikalarında yaşanan değişikliği şu sözlerle anlatmıştı: “Sigorta şirketleri Notpetya ile fidye yazılımının tamamen yeni bir alan olduğuna ve mülke zarar ve gasp gibi geleneksel bir hasar olmadığına karar verdiler.”
Söz konusu saldırılar özellikle büyük işletmeler için yıkıcıydı. Solucan türü fidye yazılımının yayılma hızı ve boyutu nedeniyle, bazı şirketler 300 milyon dolar veya daha fazla bireysel sigorta ödemesi aldı.
SANS Enstitüsü’nün “Yeni Çıkan Güvenlik Trendleri Direktörü” John Pescatore ise “Büyük şirketler genellikle daha fazla bilgisayara sahip olduğundan zararın telafisi daha pahalıdır, daha fazla sayıda müşterisi vardır, bu nedenle bu maliyetler astronomiktir.” diyor
SİGORTA ŞİRKETLERİ FİDYE YAZILIMLARA ÖZEL POLİÇELER OLUŞTURUYOR
Notpetya, birçok sigorta şirketinin fidye yazılımlarına özgü sigorta poliçeleri oluşturmasına neden oldu. Cowbell Cyber’in Operasyon Şefi Trent Cooksley şubat ayında SC Media’ya verdiği demeçte, işletmelerin üzerindeki belirli denetimlerin sigorta şirketlerinin kârlı bir zarar oranını korumasına izin verdiğini belirtmişti.
Fidye yazılımı saldırıları genellikle sigorta şirketlerinin güvenlik denetimleri ile takip ediliyor ve Wright’a göre, bir şirket fidye yazılımı saldırısına uğradığında denetim sonucunda tutarsızlıklar bulunması durumunda sigorta şirketlerinin poliçe kapsamını reddetmek veya azaltmak için bunları kullanılabiliyor.
Wright, “Bu yüzden bir güvenlik ekibinin sigorta ile çalışırken akılda tutulması gereken en önemli şeylerden biri gerçeği söylemek” diyor ve ekliyor: “Ancak siber güvenlik gibi çok karmaşık, teknik bir konuyla ilgili bir sigorta şirketine gerçeği söylemek zor olabilir.”
Fidye yazılımındaki en büyük tartışmalardan biri, devletin ve toplumun, her başarılı saldırının bir sonraki saldırıyı finanse ettiği ve beslediği mantığı ile, fidyeyi ödememek için bireysel kuruluşlara ne kadar baskı yapması gerektiği konusu.
Birçok bireysel işletme, işlerini ve verilerini kurtarmanın ve operasyonlara zamanında geri dönmenin en iyi yolunu bulma konusuna, daha geniş toplumsal etkilerden daha fazla odaklanıyor.
ŞİRKETLER FİDYE ÖDEMEYE YANAŞMIYOR SİGORTA ŞİRKETLERİ KÂR- ZARAR HESABI YAPIYOR
Wright, şirketler daha fazla dayanmak istediklerinde bile, sigortacıların ödeme yapmaları için onlara baskı yapabileceklerini söylüyor. Zira sigorta şirketleri hem fidye ödemelerini hem de fidye yazılımı saldırıları nedeniyle yaşanan iş kesintilerini kapsama eğiliminde olduklarından, beklenen aksama süresi ve iş kesintilerinin maliyetleri fidye ödemelerinin maliyetlerini aşarsa, müşterilerinden uzaklaşabiliyorlar.
Wright, “Sigortalanan işletmeler fidye ödemek istemeyebilir, fidye ödemesi yaptıklarının kamuoyu önünde açığa çıkmasından hoşlanmayabilirler, fidye ödemeyi ahlaken ve siyaseten doğru bulmayabilir, ancak sigorta şirketinin öncelikleri farklıdır ve bu da şirket için büyük bir sürpriz olabilir.” diyor.