Ortalığı bir kenara bırakalım. Bu siber sigorta verisi yaygarasının gerçek insanlar için ne anlama geldiğini merak ediyorsunuz değil mi? Bu, dijital kaleleri cüzi bütçelerle korumakla görevli, zavallı ruhlar olan CISO’ların nihayet biraz saygı görmesi ve çaresizce ihtiyaç duydukları kaynaklara kavuşması anlamına geliyor. ‘Risk azaltma’ ve ‘tehdit ortamları’ gibi soyut konuşmaları unutun; bu, soğuk ve somut parayla ilgili. Bu, muhasebecilere yama için harcanan birkaç milyonun, fidye yazılımı saldırısında kaybedilen yüz milyonlardan çok daha ucuz olduğunu kanıtlamakla ilgili.
Her zaman şüpheci olan, kâr odaklı kalpleriyle kutsanmış yönetici kadrosu, siber güvenliği genellikle bir gider kalemi, zorunlu bir kötülük olarak görüyor. Onlar, sadece teknik jargonu değil, dolar ve sent görmek istiyorlar. İşte tam burada, teknoloji siperleri ile yönetim kurulu odası arasındaki isteksiz tercümanlar olarak hareket eden Resilience gibi firmalar devreye giriyor. Siber saldırıların maliyetine dair ham, acı verici gerçeği temsil eden gerçek sigorta hasar verilerini alıp, üç aylık raporlar ve borsa fiyatlarıyla düşünen insanlara hitap eden finansal terimlere indirgiyorlar.
Asıl Kim Para Kazanıyor?
Öncelikle Resilience. Danışmanlık, risk değerlendirmesi ve elbette sigorta satıyorlar. Ve iddialarını desteklemek için hasar verilerini kullanıyorlar. Bu akıllıca bir geri bildirim döngüsü: Ne kadar çok sigortalarlarsa, o kadar çok veri toplarlar, o kadar iyi sigortalayabilir ve tavsiye verebilirler, muhtemelen daha çok para kazanırlar. Bu, 21. yüzyıl teknoloji jargonuna bürünmüş, kadim bir iş modeli.
Ve siber güvenlik satıcılarını unutmayalım. CISO’ların aniden daha büyük bütçeleri olursa, bu pastadan kimin daha büyük dilim alacağını tahmin edin? Evet, alet ve hizmet satanlar. Bu veri, belirli hata noktalarını aydınlatarak, hedeflenmiş yatırımlar için bir yol haritası haline geliyor — ve satış ekipleri için. Yani, CISO daha fazla mühimmat alırken, alttaki satıcılar da muhtemelen bir artış görür. Faturaları ödeyen şirket ya da daha kötüsü, önlenebilecek bir saldırının kurbanı olmadığınız sürece, bu herkes için bir kazanç.
Üretim Sektöründe Fidye Yazılımı Hesaplaşması
Rapor, görünüşe göre fidye yazılımı ile boğuşan üretim sektörüne odaklanıyor. Ve rakamlar… baş döndürücü. Finansal darbenin %90’ı fidye yazılımından geliyor, ancak olayların yalnızca %12’si bu. Bu, etki ile sıklık arasındaki çarpıcı bir örnek. Bu sadece birkaç kilitlenmiş dosya meselesi değil; operasyonları, tedarik zincirlerini ve dürüst olmak gerekirse, düşman devletler için potansiyel jeopolitik kullanım alanlarını felç etmekle ilgili. Stryker’a yönelik İran bağlantılı bir saldırıdan bahsedilmesi? Bu sadece bir uyarı hikayesi değil; tam anlamıyla bir alarm.
Ancak asıl vurucu nokta ve gerçek içgörünün yattığı yer burası: Rapor, bu maliyetli saldırıların neden gerçekleştiğine dair sırları açığa çıkarıyor. Temel olarak iki temel hataya indirgeniyor. Birincisi, yazılım açıkları. Sürpriz değil. Şirketler hala yama yapma konusunda berbat. Resilience, bu bilinen, ilerleyen yaraların sömürülmesinden kaynaklanan kayıpların %13’üne işaret ediyor.
Sonra gerçek darbe geliyor: Çok Faktörlü Kimlik Doğrulama (MFA) yanlış yapılandırmaları. Gerçek açık sömürülerinin iki katı kayıp. İki katı. Bu, son teknoloji bir kasa kapısı inşa edip anahtarını kilidin içinde, ama hafifçe bükülmüş bırakmaya eşdeğer. Ve MFA’nın yokluğu? Buna kıyasla sadece çocuk havuzu. Bu, MFA’nın olup olmadığıyla ilgili değil; aslında çalışacak şekilde ayarlayıp ayarlamadığınızla ilgili.
“Öncelik yalnızca MFA’yı dağıtmak değil, aynı zamanda tüm hesaplarda zorunlu kılınmasını, atlama koşullarının ortadan kaldırılmasını ve koşullu erişim politikalarının doğru yapılandırılmasını sağlamak için mevcut dağıtımları denetlemektir.”
Resilience’dan gelen bu alıntı, en önemli nokta. Bu, bir uyumluluk kutusunu işaretlemek ile sistemlerinizi gerçekten güvence altına almak arasındaki farktır. Ve portföylerindeki en büyük kayıp olan BlackCat fidye yazılımı saldırısı? Doğrudan bu güzelce yanlış yapılandırılmış MFA tarafından mümkün kılındı. Bu kadar yıkıcı olmasaydı neredeyse gülünç olurdu.
Bu Geliştiriciler İçin Neden Önemli?
Ön saflardaki geliştiriciler için bu, çalışmalarının — veya eksikliğinin — doğrudan finansal sonuçlarla ilişkilendirildiği anlamına gelir. Gözden kaçırdığınız hata? İtmediğiniz yama? Aceleye getirdiğiniz kimlik doğrulama akışı? Artık bir sigorta raporunda yer alıyor, bütçe tartışmalarını etkiliyor. Güçlü kodlama uygulamalarının, titiz yamalamanın ve en önemlisi, her kod satırının güvenlik etkilerini anlamanın önemini artırır. İşlevselliğin ötesinde finansal sonuçları düşünmek için bir dürtü.
Ve pek çok ihlalin başlangıç maddei olan kimlik avını unutmayalım. Transfer dolandırıcılığı ve e-posta yoluyla kimlik bilgilerinin ele geçirilmesi yoluyla yapılan taleplerin %30’undan sorumlu. Bunlar gösterişli, manşetlere çıkan fidye yazılımı saldırıları değil, ancak en zayıf halkayı — bizi — sömürdükleri için sık ve maliyetli. Raporun, büyük işlemler için bant dışı onaylar ve çift yetkilendirme önerileri? İyi tavsiye. Özellikle finans departmanındakiler için hedeflenmiş sosyal mühendislik eğitimi? Daha da iyi.
CISO’ların teknik ayrıntılara takılıp kalması kolaydır, ancak bu veri bir çeviri zorlar. Gerçek dünya finansal kayıplarıyla vurgulanan siber güvenlik için iş gerekçesi budur. Resilience’dan Jud Dressler özetliyor: Üreticilerin tekerleği yeniden icat etmelerine gerek yok. MFA’yı denetlemek, prosedürel kontroller ve fidye yazılımı engellemesine yatırım yapmak önemli bir fark yaratabilir. Temel şeyleri olağanüstü iyi yapmakla ilgili.
Sonuçta bu, siber güvenliği bir BT departmanı sorunundan yönetim kurulu düzeyinde bir iş zorunluluğuna taşımakla ilgili. Ve bunun için sigorta hasar verileri gerekiyorsa, öyle olsun. Soru, bu verinin kullanışlı olup olmadığı değil; şirketlerin bir sonraki, kaçınılmaz olarak daha maliyetli ihlale kadar harekete geçip geçmeyeceği. Ve bu eylemsizlikten en çok kim kâr edecek? Tahmin ettiniz.
