Dijitalleşme, mobil uygulamalar, Nesnelerin İnterneti bağlantısı ve üçüncü parti portallarla stratejik entegrasyonların tümü para kazanmak için veri çalmaya çalışan siber suçlular için saldırıların kapısını aralıyor.
İşlemlerini modernize etmek amacıyla Büyük Veri ve Yapay Zeka analizleri kullanmaya devam eden sigorta şirketleri, kötü niyetli veri dosyalarıyla karşılaşma riskini de artırıyor.
KİMLİK HIRSIZLARI İÇİN CAZİP BİR HEDEF
Bankacılık gibi diğer yüksek profilli sektörler daha güvenli hale geldikçe hackerlar, dikkatlerini daha savunmasız hedeflere çeviriyorlar. Bunlardan biri de sigorta şirketleri. Sigorta şirketleri kişilerin isimleri, doğum tarihleri, sosyal güvenlik numaraları, sokak ve e-posta adresleri ve gelir bilgileri dahil olmak üzere kimlik hırsızları için cazip bir hedef oluşturan poliçe sahipleri hakkında büyük bir ‘personally identifiable information (PII)’ kişisel tanımlanabilir bilgi veri tabanına sahip.
Yıllardır sigorta şirketleri ‘güvenlik’ araçlarına yatırım yapsa da anti-virüs yazılımları veya güvenlik duvarları gibi siber güvenlik araçları, gelişmiş saldırı tekniklerinden daha yavaş ilerliyor. Yapılan bir araştırmaya göre sigorta şirketlerinin yüzde 43’ü siber saldırılara karşı hazırlıklı olduğunu gösteriyor.
Her ne kadar oran yarı yarıya gibi dursa da bu durum içinde tehlikeli bir risk barındırıyor. Çünkü sigorta şirketlerine yönelik saldırılar, önemli mali zararların yanı sıra sigorta markalarının itibarını zedeleyecek ve piyasa değerlerini olumsuz etkileyecek güçte bulunuyor. Bu durum aynı zamanda sigorta şirketlerine yönelik güven kaybına da neden olacak.
Kötü amaçlı yazılımlar, herhangi bir sigorta şirketinin ağına veya altyapısına çeşitli şekilde yerleştirilebiliyor. Bunun yanında ‘kimlik avı’ da ön plana çıkıyor. Kimlik avı, hackerların güvenlik açıklarından yararlanıp ‘şifre’ ve ‘sosyal güvenlik numarası’ gibi hassas bilgileri çalmak için kullandıkları yöntem olarak karşımıza çıkıyor. Bu yöntem, kötü amaçlı bir ‘ek’ içeren ancak alıcının bu ekin zararsız olduğunu düşündüğü e-posta iletileriyle uygulanıyor. Eğer alıcı eki açarsa, kötü amaçlı yazılım saldırıya başlıyor.
Koronavirüs pandemisi boyunca, siber suçlular muhtemelen hedeflerini ekleri açmaya ikna etmek için pandemi içerikli mesajlar kullanıyor. Bir sigorta şirketinde çalışıyorsanız ve size gelen kötü amaçlı dosyayı açtıysanız muhtemelen bütün sigorta ağını tehlikeye atmış olabilirsiniz.
Yukarıdaki senaryo sadece bir hikayeyi konu alıyor. Oysa kimlik avı saldırıları genel olarak sizin kötü amaçlı dosyayı açmanızı sağlayacak ikna edici konuları bulmakta gittikçe ustalaşıyor. FirmGuardian’a göre, sigorta şirketlerinde bir kişiyi hedef alan ‘Phishing’ saldırıları artıyor. Örneğin bir hacker, şirket yöneticisinin kimliğine bürünerek aynı şirketin finans departmanındaki belirli bir çalışandan ekteki faturayı ödemesini isteyen bir e-posta göndermesiyle daha sonra bu dosyanın çalışan tarafından açılmasıyla sigorta ağına kötü amaçlı yazılımını sokabiliyor.
Apple’ın açığını bulan Ünüver: Elimizde henüz bildirmediğimiz zafiyet var
Bunların yanı sıra sigorta şirketleri aynı zamanda çeşitli göndericilerden çok sayıda dosya kabul ediyorlar. Böylelikle poliçe formları, talep belgeleri veya teminat sertifikaları gibi dosya alışverişlerinde yer alan herhangi bir cihaz veya sistemden gelen dosya kaynaklı tehditlere de açık oluyorlar. Sigorta şirketlerini hedefleyen kötü niyetli bir yazılım olmasına gerek olmadan, örneğin bir müşterinin kişisel bilgisayarına kötü amaçlı bir yazılım bulaşmışsa, bu yazılım müşteri tarafından araba sigortası teminatı almayı umarak gönderilen bir dosyanın şirket çalışanı tarafından açılmasıyla kolayca sigorta ağına yayılabiliyor.
Diğer yandan ise üçüncü taraflarla yapılan iş birliklerinde de aynı senaryoyu görüyoruz. Bir müşteri veya satıcı, sigorta şirketinin ağına her bağlandığında yasal verilerle birlikte kötü amaçlı yazılımı bulaştırma riski barındırdığı herkes tarafından bilinen bir gerçek.
SİGORTA ŞİRKETLERİNDE YAŞANAN SİBER SALDIRI ÖRNEKLERİ
Sağlık sistemi tarihindeki en büyük veri ihlali rekorunu elinde bulundurmasıyla ünlü sağlık sigortası şirketi Anthem Healthcare’den Ocak 2015’te 78,8 milyon kaydı çalındı. Kimlik avı yöntemiyle gerçekleştirilen saldırıyla son derece hassas bilgiler hackerlarca ele geçirildi. Anthem, mahremiyet iddialarının ihlali nedeniyle bilgileri çalınan kurbanlara ödemiş olduğu 115 milyon dolarlık tazminata ek olarak yakın zamanda 40 milyon dolar daha tazminat ödemesine karar verildiği kayıtlara geçti.
ABD’deki en büyük kaza sigortası şirketlerinden olan Chubb, Mart 2020’de üçüncü parti servis sağlayıcısı tarafından tutulan verilere erişim sağlayan siber saldırının hedefi oldu. Herhangi bir resmi ayrıntı açıklanmasa da güvenlik araştırmacıları Chubb şirketinin bir fidye yazılımı saldırısına maruz kaldığını düşünüyor.
Mart 2019’da ev ve otomotiv sigortası sağlayıcısı Pacific Specialty Insurance Company’de kimlik avı saldırısının kurbanı oldu. Şirketten kişisel tanımlanabilir bilgiler çalındığı biliniyor.
Interpol uyardı: Hastaneleri hedef alan fidye yazılımlar artıyor
SİGORTA ŞİRKETLERİ NASIL ÖNLEM ALMALI?
Hub International’ın Risk Hizmetleri bölümünün başkan yardımcısı Scott Fouts, Insurance Journal TV’ye verdiği bir röportajda, koronavirüs pandemisi dolayısıyla birçok sigortacının evden çalıştığını, bu durumun da çalışanların siber saldırıya uğrama olasılığını daha yukarılara çektiğini belirtiyor. Aynı zamanda Scott Fouts, siber saldırıları önlemek için sigorta şirketlerinin önlem almak zorunda olduğunu vurguluyor.
Bir dosyanın gerçekten güvenli olduğunu anlamanın tek yolu içerik riskine ve dosya güvenliğine öncekilerden tamamıyla farklı bir açıdan yaklaşmakla mümkün olabilir.
Sigorta şirketlerinin şu anda dosyaların güvenliğini inceleme yöntemi ‘algılama’ odaklı çalışıyor. Anti-virüs yazılımları, dosyaları kötü amaçlı yazılımlara karşı tarar ve daha önceden kodu bilinen diğer saldırıların veri tabanlarıyla karşılaştırıyor. Sandbox’lar ise bir dosyanın sistem kaynaklarına erişimini kısıtlayan koruyucu bir mekanizma üstleniyor. Algılama odaklı bu mekanizmalar, sürekli gelişen siber tehditlere göre oldukça etkisiz kalıyor.
Son olarak kötüyü engellemek pek işe yarar değildir. Çünkü tüm kötülerin aslında ne olduğunu bilemezsiniz. Bunun yerine sigorta şirketleri, yalnızca bilinen ‘iyi’ içeriğe izin vermeye odaklanmalıdır.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
