Siber Sigorta Sektörünün Geleceği

Siber sigorta sektörü siber güvenlik alanındaki tehditlerin artması ve şirketlerin güvenlik ihlaline karşı sorumluluklarını genişletmesi ile son yıllarda hızla büyüdü. Yine de siber sigorta sektörünün doğal büyüme hızı yüksek miktardaki fidye saldırının neden olduğu maliyetler nedeniyle sürekli hasar alırken, siber güvenlik operasyonlarındaki değişim ve risk parametreleri sektör dinamiklerinde temelden değişimleri tetikleyecek.

Siber sigorta alanındaki büyüme, ABD Sayıştayı tarafından sunulan bir raporda da gözler önüne serildi. Şirketlerin sigorta kapsamında siber koruma talebi 2016’da %26 iken 2020’de %47’ye yükseldi.

Artan talep, ABD UIusal Sigorta Komisyoncuları Derneği (NAIC) tarafından yapılan sayıma göre siber sigorta sunan şirket sayısının 577’ye ulaşmasını sağladı ve piyasa havuzu 2019’da 3,15 milyar dolara ulaştı.

Şirketlerin maruz kaldığı ve büyük mali zarara neden olan fidye saldırıların devam edeceği ihtimali düşünüldüğünde yöneticiler, organizasyonlarının siber saldırılara karşı direncini artırmak için siber sigortayı benimsemeye başladı.

Siber sigortanın genel tanımı iş dünyasında giderek daha yaygın bir kabul görürken, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), sektörde iş birliğini artırmak için çaba gösteriyor. Sektörde halen belli standartların tanımı eksik olduğu gibi zararların karşılanması veya hak iddiaları sonuçsuz kalıyor, geçmişe ait hak iddialarına dair kesin istatistikler de sunulamıyor.

Bu durum, siber sigorta alıcılarının sorumluluğun müşteriye ait olduğu bir yaklaşım sergileyecekleri, siber güvenlik ekipleri ve risk yönetimi uzmanları ile yakından çalışarak potansiyel sigortacıların kararları hakkında değerlendirme yapmaları gerektiği anlamına geliyor.

Siber sigorta politikaları genelde tehdidin tespit edilmesi ile adli tıp ve verilerin geri kazanılması gibi üçüncü partilerin dahil olduğu anında müdahale ve müşterilerin güvenlik ihlali hakkında uyarılması, kredi denetimi ve saldırıdan etkilenen müşterilerin kişisel kimliklerinin yeniden yüklenmesi, hasar gören sistemlerin tamir edilmesi gibi maliyetlerin takip edilmesini içeriyor.

Baz siber sigorta sağlayıcıları siber bağlantılı her şeyi tek bir politika altında toplarken, diğerleri daha fazla kapsayıcı özellik sunan spesifik kabiliyetleri ve ek yetenekleri bir araya getiriyor.

NAIC’a göre, tek politika benimseyen siber sigorta sağlayıcıları sektörün %60‘ını temsil ediyor. Araştırmalara göre sigorta şartlarının daha anlaşılır olması ve talep edilen ödemelerin daha kolay elde edilmesi sebebiyle tek politika sunan şirketler daha fazla tercih ediliyor.

Basitliği zorlamaya devam 

Siber sigorta talep eden şirketlerin nelerin koruma kapsamına alınacağını çok iyi belirlemesi ve siber sigortacıların da korunması istenen ürünlerin ne olduğunu çok iyi anlaması lazım. Siber sigortanın giderek normalleşmesi, tanımlar ve kapsama alınan unsurların bir araya gelmesini sağlarken, sektörün birkaç yıl öncesine kıyasla çok daha olgunlaşmasını sağlıyor.

Uzmanlara göre siber sigorta, müşteriler için normal sigorta kapsamı gibi görünecek kadar kolay olmalı. Bir siber güvenlik ihlali durumunda şirketler sigorta şirketini aramalı, sigortacı zararın karşılanması için gerekli üçüncü partiler ile bağlantı sağlamalı ve şirketin zararı en kısa zamanda karşılanmalı.

Siber güvenlik saldırısı sonrası yönetimi sürecinde yer almış uzmanların bileceği gibi saldırıların zararını kapatmak bir aracın içine göçmüş çamurluğunu tamir etmek kadar kolay bir iş değil.

Aynı zamanda siber saldırı sonrasında yalnız kalmamak da büyük da önem taşıyor. Genelde mevcut iş politikaları üzerine eklenen daha geniş içerikli politikaların ve ek maddelerin çok daha dikkatli tanımlanması bu noktada önemli.

Fidye yazılım döngüsünü kırmak 

Her ne kadar geleneksel güvenlik ihlallerine karşı şirketleri korumak adına geliştirilmiş olsa da, siber sigorta sektörü fidye yazılım ile giderek sorunlu halen gelen ilişkisini çözümlemeye uzak durumda. Sektörün gelecekte tanık olacağı değişimler de fidye yazılım ile ne kadar iyi baş edilebildiğine dayanacak.

Bu husus fidyelerin ödenip ödenmemesi noktasında çözümleniyor. Bu oldukça tartışmalı konu, şirketinizin hangi alanda faaliyette gösterdiğine göre tamamen kabul edilebilir olabileceği gibi bazen yapılmaması daha mantıklı olacaktır. Bazen de yasadışı bir durum bile oluşturabilir.

Fidyeler henüz dolar cinsinden dört veya beş basamaklı sayıları temsil ederken, siber sigorta şirketleri sektörün tabanını oluşturmakla meşgul oldukları için seve seve bu maliyetleri karşılıyordu. Zamanla fidyelerin altı, hatta yedi haneli sayılara yükselmesi ve JBS ile Colonial Pipeline gibi saldırılarda fidye ödenmesine karşı çaresiz kalınması, REvil gibi siber örgütlerin de 100 milyon dolar gibi fidye gelirlerine ulaşmasıyla sigorta şirketlerinin bu konuya çok daha hassas yaklaşmasını sağladı.

Sigorta şirketlerinin iflas etme riskinden uzak olması, giderek artan fidye yazılım saldırısı ödemeleriyle beraber sigorta primlerinin de artmasına tanık oldu. 2019 ortasında çeyrek dönemlik artış %2 olarak belirirken, geride kalan 18 ay içinde sigorta primleri 2020 sonuna kadar %12 yükseldi. Bir ankete göre, katılımcıların yarısından fazlası %10 ile %30 arasında artış gördüklerini belirtti.

Birçok sigorta şirketinin alanındaki ve ABD’deki en büyük sigorta şirketlerinden birini temsil eden AXA’nın yolunu izleyeceği tahmin ediliyor. AXA, Fransa’dan gelen aşırı fidye yazılım tazminatı talebi üzerine bir daha bu ülkede fidye yazılımların zararının karşılanmayacağını açıkladı. AXA’nın Fransa’da ödediği fidye yazılım zararının 5,5 milyar dolar civarında olduğu düşünülüyor.

Sektörün teşhirini geriye sarma

Fidye yazılım tazminatı taleplerinin hızlı ve devamlı olarak büyümesi, siber sigortacıların risk profilini değiştirmeye zorladı. Doğrudan Kayıp Oranı ile Savunma ve Maliyet Muhafazası (DCC) 2019’da %42’den patlama yaşayarak 2020’de %73’e yükseldi. Bu süreçte ortalama kayıplar 2019’da 145.000 dolardan 2020’de 359.000 dolara sıçradı.

Eğer bu trendler devam ederse, fidye yazılım zararlarında yaşanan patlama bir zamanların yüzü karanlıkta kalmayan sektörünü geçersiz kılacak.

Evlerde çalışmanın giderek yaygınlaşması ele alındığında, NAIC siber sigorta şirketlerin sigorta kapsamını değerlendirirken şirketlerin ofislerinde bulunan bilgisayarları ile evlerdeki çalışanlara ait bilgisayarlar arasında bir çizgi çekebileceğini belirtti.

Sigorta şirketleri hazırlıksız yakalanma riskini azaltmak için ek önlemler de düşünerek ileriye dönük modeller belirleyerek sundukları içerikleri zaten sigortalanmış şirketlere yöneltebilir, böylece giderek eriyen sigorta primi havuzlarını koruyabilirler.

Bazı şirketler eğer müşteri ağı üzerine “kara kutu” yerleştirmelerine izin verilir ve ne olup bittiğini takip edebilirlerse primleri azaltmaktan mutluluk duyabilir. Böylece, sigortalanan müşterilerin riske ne kadar maruz kalabileceklerini anlayabilirler.

Şirketler iç sistemleri hakkında sigorta şirketlerine açık bilgi sunmaya sıcak bakmazken, sektördeki birliğin bir zamanlar çok sayıda sigorta sağlayıcısının bulunduğu bir sektörü daha az sigortacının olduğu zor bir duruma getireceği düşünülüyor. Daha az sigorta şirketinin bulunduğu bir sektörde, müşterilerden istenecek yükümlülükler de daha talepkar olabilir. Buna ISO 27000, diğer güvenlik standartları veya belli uygulama şekilleri örnek gösterilebilir.

Fidye yazılım saldırılarının neden olduğu zararı kapatma yükümlülüğünden kaçmak için sigorta şirketlerinin sayısı azalırken, geride siber riskleri gerçekten anlayan, güçlü ve etkin politikalar yazan sigortacılar kalıyor. Haliyle sigorta şirketleri bugün hiç olmadığı kadar şirketleri politikalarını kabul etmek adına “evet” demeye dürtebilecek konuma geldi. Sigortacılar X, Y ve Z’nin kontrolüne sahipse politikalarını da kontrollerini kullanacak şekilde daha temkinli hazırlıyorlar.

Siber sigorta için talep ve sektör fırsatı 

Moody’s, siber sigortaya yönelik talebin patlama yaşadığını belirtirken, bu bazı uzmanların görüşlerine ters gelse de aslında filizlenmekte olan bir piyasanın gerçeğini yansıtıyor.

Swiss Re şirketine göre siber sigorta oranları 2021’de %30’dan %40’a çıktı. MarshMcLennan ise %50 oranında bir artış öngörüyor.

Munich Re’nin siber sigorta primi hacminin 2021’de 1 milyar Euro’yu geride bırakması bekleniyor. Sigorta şirketi, siber politikalar hazırlamanın bu sektördeki devleri ayakta tutacak ana etken olduğunu savunuyor.

Dahası, tıpkı çalışan tazminatı ve ev sigortası gibi siber sigortanın da mecburi kılınabileceği düşünülüyor. Siber sigorta sektöründeki fırsatlar risk sermayesi şirketleri üzerinde kaybolmuş değil. Özel Siber Güvenlik Koalisyonu bugüne kadar 505 milyon dolar fonlama alarak değerini 3,5 milyar dolara taşıdı. Boston merkezli siber sigorta şirketi Corvus Insurance da 100 milyon dolar fonlama ile 2022 başında 750 milyon dolar değere ulaştı.

Yeni ortaya çıkmaya başlayan siber sigortacılar birbiri ardına yatırım almaya da devam ediyor. At-Bay 34 milyon dolar, Cowbell Cyber 20 milyon dolar ve Resilience 80 milyon dolar fon aldı.

Cybersecurity Ventures öngörüsüne göre, siber sigorta sektörü 2021’de 8,5 milyar dolar değerden 2025’te 14,8 milyar dolar değere ulaşacak. 2031’de ise sektör hacminin 34 milyar doları geçmesi bekleniyor. Bu değer, 2020 ile 2031 arasındaki 11 yıllık süreç için öngörülen %15 yıllık bileşik büyüme oranı (CAGR) kapsamında hesaplandı.