Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
SİBER SİGORTA
NEDİR?
Baskı:2017
Yazar:Ebubekir Büber
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İÇİNDEKİLER
Siber Saldırılara Karşı N...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
GİRİŞ
Beyaz Şapkalı Hacker, bilişim s...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sistem güvenliğinin devamlılığının sa...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
2015 yılında gerçekleştirilen Ransomw...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Marsh & McLennan Companies firmasının...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Güvenlik altyapınız oldukça güv...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sızma Testi Nedir?
Sızma testi (Penet...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sızma testleri 3 farklı şekilde yapıl...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Allianz Top Business Risks raporuna8 ...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
firmalar tarafından daha fazla ciddiy...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
• ABD'de yapılan bir araştırmaya göre...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Örneğin, Finance & Insurance sektörün...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Örneğin Finance & Insurance sektöründ...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Edge Grup tarafından Kuzey Amer...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
2015 yılında ISACA tarafından gerçekl...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Maddi Kayıplar Ne Seviyededir?
Verizo...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Nedir?
Siber saldırılar...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta firmalarını yaptığı şey...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Yaptırmış Bir Firma Sib...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigortanın Diğer Sigortalardan ...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Fidye Yazılımları Nedir?
Fidye yazılı...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
seçenek kalmıyor aslında. Yapılacak e...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber riskleri tamamen yok edecek bir...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Nasıl Yaptırabilirim?
A...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
gerçekleştirilen oltalama saldırıları...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Risk ScoreCard
Modern dünyada, ...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Birçok farklı birey ve kurum tarafınd...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
NormShield Cyber Risk Scorecard, yapt...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Cyber Threat Intelligence
Başarılı bi...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Siber Sigorta Yapan Başlıca Firmalar
...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Sürekli Gözetim (Continious Monitorin...
[SİBER SİGORTA NEDİR?]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA...
Upcoming SlideShare
Loading in …5
×

Siber Sigorta Nedir? Nasıl Yapılır?

1,957 views

Published on

Siber Sigorta Nedir? Nasıl Yapılır? Siber Riskler

Published in: Technology
  • Be the first to comment

Siber Sigorta Nedir? Nasıl Yapılır?

  1. 1. SİBER SİGORTA NEDİR? Baskı:2017 Yazar:Ebubekir Büber
  2. 2. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity İÇİNDEKİLER Siber Saldırılara Karşı Nasıl Önlem Alınır?...................................................................................... 3 Dünya Geneli Siber Saldırıların Genel Trendi Nedir? ...................................................................... 4 Sızma Testi Nedir?........................................................................................................................ 8 Global Riskler Arasında Siber Riskin Yeri ....................................................................................... 9 İş Dünyasında Dijitalizasyon Trendi............................................................................................. 11 Siber Sigorta Neden Gereklidir? .................................................................................................. 12 Bu Zafiyetler Nasıl Giderilebilir?.................................................................................................. 12 Maddi Kayıplar Ne Seviyededir? ................................................................................................. 17 Siber Sigorta Nedir?.................................................................................................................... 18 Siber Sigorta Yaptırmış Bir Firma Siber Saldırıya Maruz Kalırsa Ne Olur? ...................................... 20 Siber Sigortanın Diğer Sigortalardan Farkı Nedir, Ne Gibi Güvenceler Sağlamaktadır?................... 21 Fidye Yazılımları Nedir? .............................................................................................................. 22 Siber Risk Nedir? ........................................................................................................................ 23 Siber Sigorta Nasıl Yaptırabilirim?............................................................................................... 25 Sürekli Gözetim (Continuous Monitoring) Nedir? ........................................................................ 25 Cyber Risk ScoreCard.................................................................................................................. 27 Cyber Risk ScoreCard Kategorileri ............................................................................................... 28 Vulnerability Management......................................................................................................... 29 Cyber Threat Intelligence............................................................................................................ 30 Perimeter Monitoring................................................................................................................. 30 Siber Sigorta Yapan Başlıca Firmalar............................................................................................ 31 Sürekli Gözetim (Continious Monitoring) Hizmeti Sunan Firmalar ................................................ 32
  3. 3. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity GİRİŞ Beyaz Şapkalı Hacker, bilişim suçları işleyen korsanların kullandıkları teknik ve yöntemleri bilen, korsanların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, kısacası bilgisayar dünyasının kötü adamları ile aynı bilgi ve beceriye sahip, iyi niyetli (Certified WhiteHat/Ethic Hacker) güvenlik uzmanlarıdır. Siber Saldırılara Karşı Nasıl Önlem Alınır? Saldırganlar her geçen gün geliştirdikleri yeni saldırı türleri ile güvenlik mekanizmalarını atlatmaya çalışmaktadırlar. Daha önce karşılaşılmamış saldırıların tespit edilmesi oldukça zordur. Bunların yani sıra yeni tespit edilen bir saldırıya karşı bütün hedef sistemlerin çok hızlı bir şekilde adapte olmaları gerekmektedir. Güncel siber saldırılara karşı alınması gereken ilk önlem sistemlerin güncel tutulmasıdır. Kullanılan işletim sistemi, üçüncü parti uygulamalar, antivirüsler ve kullanılan bütün yazılımlar mutlaka güncel tutulmalıdır. Bunların yanı sıra kurumunuza yönelik gerçekleşebilecek saldırıları daha gerçekleşmeden önce kesmek istiyorsanız belirli aralıklarla Sızma Testi (Pentest) yaptırmanız şart ! Sızma Testinde siber güvenlik uzmanları hedef sisteme bir saldırgan bakış açısıyla sızmaya çalışır. Uzmanlar, hedef sistemlere erişebilmek için saldırganların deneyebileceği olası senaryoları test ederler. Testler esnasında uzmanlar, bir saldırganın yapabileceği gibi aşağıda örnekleri verilen işlemleri yapmaya çalışır. Testi gerçekleştiren uzman ya da uzmanlar; • Sistem üzerinde en yetkili kullanıcı olmaya çalışır. • Kullanıcı/çalışan bilgilerine erişmeye çalışır. • Kurum veri tabanlarına erişmeye çalışır. • Sistem üzerinde herhangi bir açıklık olup olmadığını test ederler. • Sistem üzerinde bir açıklık var ise bu açıklık istismar edildiğin ne gibi sonuçlar ortaya çıkacağını anlamaya çalışırlar. Elde ettikleri bulguları firmaya rapor ederler ve bu açıklıkların kapatılması için önerlerde bulunurlar. Bir sistem barındırdığı teknik zafiyetler ile hacklenebileceği gibi Oltalama Saldırıları gibi sosyal mühendislik saldırıları ile de hacklenebilir. Oltalama Saldırıları, kullanıcıları aldatarak bazı hassas bilgileri elde etmeyi amaçlayan bir saldırı türüdür. Bu saldırı türüne karşı önlem alınması oldukça önemlidir. Bu tarz saldırıların önlenebilmesi için network bazında bazı güvenlik mekanizmalarının kurulması gerekebilir. Ayrıca çalışanların bu saldırı türüne karşı bilinç seviyesi artırılarak olası zararlar minimize edilebilir.
  4. 4. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Sistem güvenliğinin devamlılığının sağlanabilmesi için sızma testleri ve çalışanların bilinç seviyelerinin artırılması, belirli aralıklarla tekrarlanması gereken işlemlerdir. Ancak aralıklı olarak yapılan bu işlemler sistemin devamlı güvenliğini sağlayamamaktadır. Bir kurumun, siber saldırılara karşı sürekli bir dayanıklılık kazanabilmesi için belirli aralıklarla yapılan testler ve eğitimler tam manasıyla yeterli olmamaktadır. Sürekli (continious) bir güvenlikten söz edilebilmesi için saldırılardan korunmak istenen sistem sürekli (continious) gözetim altında tutulmalıdır. Saldırganlar, bir sisteme saldırmadan önce internette bazı izler bırakır, bu izler dark forumlarda yer alan paylaşımlar olabileceği gibi sosyal medyadan paylaşılan hacktivist bir paylaşım da olabilir. Hedef kuruma yönelik internetteki bu izler sürekli bir şekilde takip edilerek bir saldırı daha gerçekleşmeden önce tespit edilebilir. Normshield’ın geliştirmiş olduğu Scorecard, kurumuzu ilgilendiren, internette bulunan birçok kaynağı sürekli bir şekilde izler ve kurumunuza yönelik herhangi bir tehdit olması durumunda size haber verir. Konuya ilişkin detaylı bilgi için Sürekli Monitoring yazısını inceleyebilirsiniz. Sürekli Gözetim (Continious Monitoring), sızma testi gibi belirli aralıklarla yapılan yapılan kontrollerin yerine geliştirilmiş bir güvenlik mekanizması olmaktan çok, bu mekanizmaların eksik taraflarını tamamlayan bir yapıya sahiptir. Yani bir sistemin güvenli hale getirebilmesi için belirli aralıklarla yapılan sızma testlerinin ve çalışan bilinçlendirme eğitimlerinin yanı sıra Sürekli Gözetim mekanizmalarına da ihtiyaç duyulmaktadır. Dünya Geneli Siber Saldırıların Genel Trendi Nedir? Symantec 2016 Internet Security Threat Report1 ’a göre sadece 2015 yılında saldırı amacıyla kullanılan benzersiz malware sayısı yaklaşık 430 milyon civarlarında. Bu rakam 2014 yılına oranla %36 artış olduğunu göstermektedir. 1 https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
  5. 5. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity 2015 yılında gerçekleştirilen Ransomware saldırıları 2014 yılına oranla %35 artarak 363 bine yükselmiştir. Bu rakam günde 992 adet saldırıya denk gelmektedir. Benzer şekilde 2015 yılında gerçekleştirilen Web Saldırıları önceki senelere kıyasla büyük artış göstererek 1.1 Milyona ulaşmış durumdadır. Siber saldırıların sayısı her geçen gün artmaktadır. Saldırıların bir kısmı tespit edilmesine yönelik geliştirilen güvenlik mekanizmaları tarafından tespit edilmemektedir. Hackmageddon2 tarafından yayınlanan istatistiklere göre 2016 yılında gerçekleştirilen siber saldırıların %33.1 ’i daha önce görülmemiş tarzda gerçekleştirilen saldırılardan oluşmaktadır. Bu rakam 2014 ve 2015 yıllarında %25 civarlarındaydı. Bu durum saldırganların kendilerini geliştirerek daha farklı saldırı yöntemleri geliştirdiklerini göstermektedir. 2 http://www.hackmageddon.com/2017/01/19/2016-cyber-attacks-statistics/
  6. 6. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Marsh & McLennan Companies firmasının 2016 yılında yayınladığı raporda3 siber saldırıların küresel ekonomiye yıllık maliyetinin tahmini olarak 445 Milyar Dolar seviyelerinde olduğu belirtilmiştir. Aynı raporda Siber Güvenlik altyapısının geliştirilmesine yönelik yapılan harcamalara ilişkin tahmini değer is 75 Milyar Dolar olarak belirtilmiştir. ITRC 2017 Raporuna4 göre 2017 yılı Ocak ve Ağustos ayları arasında rapor edilen toplam 900 adet Veri İhlali gerçekleşmiştir. Veri ihlalleri ile 2017 yılının ilk 8 ayında toplam 16,844,037 adet kayıt çalındığı rapor edilmiştir. Firmalar tarafından açıklanmayan vakaların da olabileceği düşünüldüğünde gerçek rakamın çok daha fazla olacağı öngörülebilir. Gerçekleştirilen saldırıların sektörlere göre dağılımı incelendiğinde analiz edilen 5 sektör içerisinden (Business, Educational, Banking/Credit/Financial, Government/Military, Medical/Healthcare) en çok saldırılan sektör %54’lük pay ile Business sektörü olmuştur. Business sektörünü %20,8’lik pay ile Medical/Healthcare sektörü ve %16.5’lik pay ile Banking/Credit/Financial sektörü izlemiştir. Marsh & McLennan Companies’e göre 2015 yılında gerçekleştirilen siber saldırıların bir önceki yıla oranla ne kadar artış sağladığı ve hangi sektörlerin bu saldırılardan ne kadar etkilendiğine yönelik istatistikler aşağıda verilmiştir. 3 https://www.mmc.com/content/dam/mmc-web/Global-Risk-Center/Files/MMC-Cyber-Handbook_2016-web- final.pdf 4 http://www.idtheftcenter.org/images/breach/2017Breaches/ITRCBreachStatsReportSummary_2017.pdf
  7. 7. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Güvenlik altyapınız oldukça güvenli olmasına rağmen Oltalama Saldırıları ile saldırganlar, sistemleriniz üzerinde çok kolay bir şekilde erişim elde edebilirler. Oltalama saldırıları insanlara/çalışanlara yönelik gerçekleştirilen bir saldırı çeşitidir. Bu saldırı türünde temel amaç, kullanıcıları yasal görünüme sahip zararlı sitelere yönlendirerek kullanıcıların hesap giriş bilgilerini çalmak ya da zararlı bir yazılımı kullanıcı bilgisayarına yükletmektir. Bu saldırıya karşı bilinçsiz bir çalışan kitlesine sahip bir firmanın gizli bilgileri saldırganlar tarafından kolaylıkla ifşa edilebilir. APWG tarafından yayınlanan 2016 Global Phishing Survey raporuna5 göre Zararlı Amaçlara yönelik kullanılmak üzere Register edilmiş domain sayısı 2015’ten bu yana yaklaşık %200 oranında artmış durumda. Sadece 2016 yılında 255,065 adet Oltalama Saldırısı gerçekleştirilmiştir. Her bir saldırı milyonlarca kişiyi etkilemektedir. Oltalama saldırıları, her gün yaklaşık 100 milyon kişiye ulaşmakta ve internet kullanıcılarının yaklaşık %55’i, her hafta bir oltalama sitesi ile karşılaşmaktadır. 2013 yılında yapılan bir akademik çalışmaya6 göre oltalama saldırılarının %67’si 2 sadece saat içerisinde başlayıp sona ermektedir. Bu saldırıların güvenlik mekanizmaları tarafından tespit edilme ortalaması ise yaklaşık 12 saat! 5 http://docs.apwg.org/reports/APWG_Global_Phishing_Report_2015-2016.pdf 6 Khonji, Mahmoud, Youssef Iraqi, and Andrew Jones. "Phishing detection: a literature survey." IEEE Communications Surveys & Tutorials 15.4 (2013): 2091-2121.
  8. 8. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Sızma Testi Nedir? Sızma testi (Penetrasyon Testi); bir bilgisayar sistemi, network ya da Web uygulamasını test etmek için yapılan siber saldırı simülasyonlarına verilen isimdir. Sızma testinin amacı, bir saldırganın hedef sistem üzerinde istismar edebileceği zafiyetleri bulmaktır. Sızma testi uzmanı testler gerçekleştirirken, gerçek bir saldırgan gibi hareket ederek bir sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarmaya çalışılır. Sızma testleri bu amaç için özel olarak geliştirilmiş otomatize araçlarla ve manuel olarak olarak yapılabilmektedir. Otomatize araçlar sistemi bilinen zafiyetlere karşı tarar ve bulduğu zafiyetleri raporlar. Ancak otomatize araçlar mantıksal zafiyetler başta olmak üzere bazı zafiyetleri tespit etmekte yetersiz kalabilmektedir. Manuel yapılan testlerde sistem bir uzman tarafından detaylı olarak analiz edilir. Manuel yapılan testlerde test edilen zafiyetlerin hedef sistemde bulunup bulunmadığı çok daha yüksek başarı oranı ile ortaya konmaktadır. Bir sızma testi esnasında aşağıdaki adımlar uygulanır; • Test öncesinden hedef hakkında bilgi toplama, • Olası giriş noktalarını belirleme, açık kapıların taranması, • Giriş noktalarında bulunan zafiyetlerin tespit edilmesi • Tespit edilen zafiyetlerin istismar edilmesi • Bulunan zafiyetlerin raporlanması …adımlarından oluşur.
  9. 9. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Sızma testleri 3 farklı şekilde yapılabilir: White Box (Beyaz kutu): Sızma testi uzmanı, firma hakkındaki bilgilere firma içindeki yetkili kişiler tarafından bilgilendirilir. Bu yöntem ile, firmada yer almış, hala çalışmakta ya da ağa misafir olarak dahil olan kişilerin verebileceği zararlar ortaya çıkarılır, raporlanır. Black Box (Siyah kutu): Bu yöntemde sadece hedef belirlenir, firma içerisinden herhangi bir bilgi alınmaz. Sızma testi uzmanı, firmaya zarar vermek isteyen bir hacker gibi davranarak verilebilecek zararlar gözetilir ve raporlanır. Gray Box (Gri kutu): Hem white box hem de gray box testlerini kapsar, yani hem içeriden hem de dışarıdan yapılan test olarak tanımlayabiliriz. Global Riskler Arasında Siber Riskin Yeri Siber risk son yıllarda diğer risklere göre çok daha büyük önem kazanmıştır. Protiviti firmasının The Most Important Risks for 2017 raporuna7 göre dünya genelinde en önemli 10 risk sıralamasında siber saldırılar sonucu firmaların marka değerine zarar gelmesi riski üçündü sırada yer alırken beşinci sırada ise kurumlara ait gizli bilgilerin bir siber saldırıda etkilenmesi yer almaktadır. Listenin tamamı aşağıda verilmiştir. 1. Economic conditions in markets the organization currently serves may signi cantly restrict growth opportunities 2. Regulatory changes and scrutiny may heighten, noticeably affecting the manner in which organizations’ products or services will be produced or delivered 3. The organization may not be suf ciently prepared to manage cyber threats that have the potential to signi cantly disrupt core operations and/or damage its brand 4. Rapid speed of disruptive innovations and/or new technologies within the industry may outpace the organization’s ability to compete and/or manage the risk appropriately, without making signi cant changes to the business model 5. Privacy/identity and information security risks may not be addressed with suf cient resources 6. Succession challenges and the ability to attract and retain top talent may limit the ability to achieve operational targets 7. Anticipated volatility in global financial markets and currencies may create significant, challenging issues for our organization to address 8. The organization’s culture may not sufficiently encourage timely identification and escalation of significant risk issues 9. Resistance to change could restrict the organization from making necessary adjustments to the business model and core operations 10. Sustaining customer loyalty and retention may be increasingly dif cult due to evolving customer preferences and/or demographic shifts in the existing customer base 7 https://www.protiviti.com/sites/default/files/united_states/insights/board-perspectives-risk-oversight-most- important-risks-2017-issue87-protiviti.pdf
  10. 10. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Allianz Top Business Risks raporuna8 göre en önemli 20 risk sıralamasında Siber Risk 2015 yılında beşinci sırada iken 2016 yılında üçüncü sırada yer almaktadır. Listenin tamamı aşağıdadır. Küresel anlamda hazırlanan bu liste, ülkelere göre değişebilmektedir. Bazı ülkeler için Siber Riskler ilk sıralarda yer alırken bazı ülkelerde ise daha aşağı sıralarda yer alabilmektedir. Avrupa ve Amerika’da Siber Riskler ilk 3’te yer alırken, ülkemizde Siber Riskler sıralamaya ancak 2016 yılında girdi ve şu an 7. Sıradadır. Risklerin büyük firmalar ve küçük-orta firmalara göre etkileri genelde farklı olmaktadır. Bazı riskler büyük firmalar tarafından daha fazla ciddiye alınırken bazı riskler küçük-orta ölçekteki 8 http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometerTopBusinessRisks2016.pdf
  11. 11. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity firmalar tarafından daha fazla ciddiye alınmaktadır. Aşağıdaki grafikten anlaşılacağı üzere siber riskler büyük çaplı firmalar tarafından daha fazla önemsenmekte, küçük-orta ölçekteki firmalar tarafından daha az önemsenmektedir. Ayrıca Siber Riskler büyük firmalar ve küçük-orta ölçekli firmasında en fazla önem farkına sahip olan risklerden birisidir. İş Dünyasında Dijitalizasyon Trendi İnternetin yaygın olarak kullanılması ile iş dünyası da bir dijitalleşme süreci yaşamaktadır. Bu dijitalleşme süreci ile kullanıcıların tüketim alışkanlıkları değiştiği gibi sektördeki firmalar da bu değişikliğe ayak uydurmaya çalışıyorlar. Dijitalleşme süreci ile bazı yeni iş alanları doğmuş ve bazı iş alanları da olumsuz etkilenmiştir. İnternetin küresel anlamda çok fazla kullanılması bir süredir hepimizin tanık olduğu bir olay. Son yıllarda internet kullanımının yaygınlaşması bir sonraki aşamaya geçmiş görünüyor. İnternet üzerinden yapılan alışveriş ve para transferi de son yıllarda büyük oranda artmış görünüyor. Dünya e-ticaret sektörü, global olarak bakıldığında 2 trilyon dolar civarında. Bu kadar büyük miktarda paranın döndüğü bir sektör elbette saldırganların da iştahını kabarmaktadır. Küresel dijitalleşmeye ile değişen kullanıcı davranışlarına ilişkin bazı örnekler şu şekildedir;
  12. 12. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity • ABD'de yapılan bir araştırmaya göre tatile gidenlerin yüzde 83 ya da iş seyahatine çıkanların yüzde 76'sı bunu internet üzerinden organize ediyor. • ABD'de tatile çıkanların yüzde 96'sı otel planlamasını arama motorundan başlatıyor. Bu, destinasyon için yüzde 95, havayolu ve uçak bileti için yüzde 89, otomobil kiralama içi yüzde 80. • Türkiye'de tur operatörü, online seyahat acentesi, geleneksel seyahat acentesi ve sadece uçak bileti satan seyahat acentelerinin toplamı 7 bin civarında. AirBnb, dijitalleşme trendi ile büyük bir ivme kazanmış bir firmalardan birisidir. 2016 yılı Temmuz ayının ortalarında 100 milyon müşteriye ulaşan dünyanın en büyük alternatif konaklama platformu Airbnb’nin değeri 30 milyar doları geçmiş durumda. Bu rakam, en büyük otel zinciri olan Hilton’un değerinden yüzde 30 fazla; Airbnb’nin en yakın rakibi olan HomeAway’in değerinin ise 8 katı… Airbnb’nin sahip olduğu 2.3 milyon oda ise, dünyanın en büyük üç otel zinciri Hilton, Marriott ve Intercontinental’ın toplam oda sayısının üstünde. 2016 yılı yılbaşı akşamı 1 milyon rezervasyon alarak rekor rezervasyona ulaşan Airbnb, artık bu rakamı sıradan bir günde çok rahat bir şekilde geçebiliyor. (Haziran 2016 ayının son haftasonu 1.3 milyon kişi Airbnb üzerinden rezervasyon yapmıştı.) İnternet kullanımının bu derece yaygınlaşması elbette sanal ortamdan hizmet veren firmaların saldırganların hedefinde yer almasına neden olmuştur. Buna paralel olarak bu firmalar için siber güvenlik kavramı da büyük önem kazanmıştır. Siber Sigorta Neden Gereklidir? Kurumlar siber saldırıya uğramamak için gerekli birtakım önlemler almaktadırlar. Bu önlemlerden birisi Sızma Testidir. Siber güvenlik firmaları bir kuruma Sızma Testi yaptıklarında müşterilerine bir takım geri bildirimler sunmak durumundadırlar. Bu geri bildirimler; • Kurumun ait hangi sistemlerde zafiyet bulunmaktadır. • Kurum sisteminde bulunan zafiyetler nelerdir. • Bu zafiyetlerin kuruma yönelik olabilecek etkilerinin açıklanması Bu Zafiyetler Nasıl Giderilebilir? Tespit edilen zafiyetlerin giderilmesi kurumun sorumluluğundadır. Ancak zafiyetin tespit edilmesinden zafiyetin giderilmesine kadar belli bir miktar süre geçmektedir. WhiteHat’s Website Security Statistics Report 20159’te yayınlanan, sektörlere yönelik zafiyetlerin kapatılması için geçen ortalama süreler aşağıdaki şekilde verilmiştir. 9 https://info.whitehatsec.com/rs/whitehatsecurity/images/2015-Stats-Report.pdf
  13. 13. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Örneğin, Finance & Insurance sektöründeki firmalar için bir zafiyetin varlığına ilişkin bilgilendirildiklerin sonra o zafiyetin kapatılması için geçen ortalama süre 160 gündür. Retail Trade sektörü için bir zafiyetin kapatılması için geçen ortalama süre 227 gündür. Saldırganlar bir sistemi hacklemeye karar verdiklerinde hedef olarak seçtikleri sistemi hacklemek için bir zafiyet bulmaları için ne kadar uğraşmaları gerekir? Kurum ekosistemleri anlık değişimlerle sürekli değişen dinamik yapılara sahiptir. Bir sistem yıl içerisinde belirli zaman aralıklarında zafiyet barındırıp bazı zaman aralıklarında zafiyet barındırmıyor olabilir. WhiteHat’s tarafından yayınlanan raporda 4 iş sektörü için yıl boyunca zafiyet barındırma sürelerine ilişkin araştırma sonuçları aşağıda verilmiştir.
  14. 14. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Örneğin Finance & Insurance sektöründe faaliyet gösteren firmaların %39 u yıl boyunca en az bir zafiyet barındırmaktadır. Bu sektördeki firmaların sadece %17’si yıl boyunca 30 günden daha az bir zaman diliminde bir zafiyeti barındırmaktadır. Retail Trade sektöründeki firmaların ise %60 ı yıl boyunca en az bir zafiyet barındırmaktadır. Bu sektördeki firmaların sadece %11 yıl boyunca 30 günden daha az süre boyunca bir zafiyet barındırmaktadır. Rakamlar incelendiğinde saldırganların istismar etmek üzere açıklığa sahip bir sistem bulmasının çok zor olmadığı anlaşılmaktadır. Kurumlar genellikle, saldırıya uğradıktan sonra güvenlik konusunda daha fazla dikkat etmeye başlıyorlar. Bu da bir kurumların siber güvenlik altyapılarının güçlendirmesinin önemini ancak bir kez hacklendikten sonra anladıklarını göstermektedir. 2016 yılında gerçekleşitirilen BlackHat konferansına katılanlar arasında gerçekleştirilen ankete göre BlackHat katılımcılarının %72’si önümüzdeki 12 ay içerisinde büyük bir hacklenme vakası yaşayacaklarını düşünüyor.
  15. 15. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Cyber Edge Grup tarafından Kuzey Amerika ve Avrupalı şirketlerin katılımıyla gerçekleştirilen ankete göre 2014 yılında katılımcıların %62 si son 12 ay içerisinde en az bir kez siber saldırıya uğradıklarını ifade etmişlerdir. 2015 yılı için son 12 ay içerisinde en az bir siber saldırıya uğradığını belirten katılımcı oranı ise %71’dir. Aynı anket içerisinde katılımcılara önümüzdeki 12 ay içerisinde bir saldırıya uğrayacaklarını düşünüp düşünmedikleri sorulmaktadır. 2014 yılı sonuçlarına göre katılımcıların %71’i, 2015 sonuçlarına göre ise %76’sı son 12 ay içerisinde en az bir kez siber saldırıya uğracaklarını düşündüklerini belirtmişlerdir.
  16. 16. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity 2015 yılında ISACA tarafından gerçekleştirilen ve 3,435 Bilgi İşlem Uzmanının katıldığı ankette ise katılımcıların %46’sı 2015 yılında bir siber saldırı beklediklerini belirtmişlerdir.
  17. 17. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Maddi Kayıplar Ne Seviyededir? Verizon Data Breach Investigation Report 2015’e göre siber saldırı sonucu oluşabilecek maddi zararlara ilişkin tahmin sonuçları aşağıda verilmiştir. Örneğin, 1.000.000 müşteri kaydı olan bir firmanın hacklenmesi durumunda bu durumun firmaya maliyetinin yaklaşık 1,2 milyon dolar olacağı tahmin edilmektedir, değişen şartlara göre bu rakamın 27,5 milyon dolara çıkması da muhtemeldir. Yapılan anket sonuçlarına göre firmanızın ilerleyen zamanlarda bir saldırıya uğrayacağını biliyorsanız ve bunun önüne geçmek için aldığınız önlemler yeterli olamıyorsa üstelik başarılı bir saldırı sonucunda doğabilecek zararlar da çok yüksek ise ne yapmayı düşünürsünüz? İşte bu durumda siber sigorta yaptırmayı düşünebilirsiniz. Siber saldırılar büyük firmaları etkiledikleri gibi küçük ve orta büyüklükteki işletmeleri de etkilemektedir. Yapılan araştırmalara göre küçük ölçekteki işletmelerin %43’ü 2015 yılı içerisinde en az bir kez oltalama saldırısına maruz kalmıştır. Ayrıca çalınan her bir kaydın firmaya maliyetinin 217$ olduğu tespit edilmiştir. 1000 kayıt = 217.000$ anlamına gelmektedir.
  18. 18. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Sigorta Nedir? Siber saldırılar, özel ya da resmi kurumlar için çok büyük riskler taşımaktadır. Sigorta şirketleri, veri koruma sigortası, veri kurtarma sigortası ya da siber sigorta gibi isimlerle, siber saldırıların bu kuruluşlar üzerindeki etkilerini en az indirecek sigorta paketleri hazırlamaktadırlar. Siber saldırılar kurumların bilgi işlem altyapılarında olumsuz etkiler oluşturmaktadır. Ancak bu saldırıların boyutu sadece sitem bazlı değildir. Bu saldırıların, yasal boyutları, yönetimsel boyutları, halkla ilişkiler boyutları ve finansal boyutları daha bir çok boyutu bulunmaktadır. Siber sigorta şirketleri bu durumları analiz ederek siber risklere karşı güvenceler sunmaktadır. Çünkü bir siber saldırı, kuruma ait birçok gizli bilginin çalınması veya bozulmasının kuruma olan olumsuz etkilerinin yanı sıra, bir siber saldırı aynı zamanda kurumların saygınlıklarına ve piyasa değerlerine de olumsuz etkiler yapmaktadır. Siber sigortalar, bilgilerin ihlal edilmesi ile bağlantılı zararlar ve savunma masraflarını, üçüncü kişilerin verilerine virüs buluşması, sigorta ettirenin yetkisi dışında üçüncü kişilerin bilgilerine ulaşılması, sistem kodlarının çalınması, donanımların çalınması, çalışanların bilgileri açık etmesi gibi bir kısım riskleri kapsamaktadır. Ayrıca Siber Sigortalar ile ağ kesintisi yüzünden uğranılan gelir kayıpları, güvenlik tehdidinin kaldırılması için üçüncü kişilere yapılan tehdit ödemeleri ya da elektronik bilgilerin ihmal sonucu zarar görmesi ve yapılan savunma masrafları isteğe bağlı olarak güvence altına alınabiliyor. Siber Sigorta çok hızlı büyüyen bir iş sektörüdür. 2014’ten bu yana siber sigorta için yapılan ödemeler 2 Milyar doları aşmıştır. Sektörün ilerleyen her geçen yılda %100’den fazla büyümesi beklenmektedir. PWC’ye göre sektör 2020 ya kadar kendini 3 e katlayıp işlem hacmini 7.5 Milyar dolara çıkaracaktır.
  19. 19. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Sigorta firmalarını yaptığı şey genel manada firmaların güvenlik durumlarını analiz etmek ve müşterileri için bir sigorta kapsamı oluşturup bunu ücretlendirmektir. Sigorta şirketi, firmaların siber güvenlik durumlarının belirlenmesi için firmalardan bazı bilgiler talep eder ve elde ettiği bilgiler ile firmanın siber güvenlik durumunu anlamaya çalışır. Güvenli mi, değil mi? Ya da ne kadar güvenli? Siber güvenlik durumunun analiz edilmesi için kullanılan özellikler; kullanılan antivirüs, kullanılan işletim sistemi, kullanılan üçüncü parti uygulamalar olabilir. Sektörün ilk zamanlarında siber sigorta firmalarının müşterilerinin siber güvenlik durumlarını anlayabilmeleri için geliştirdikleri uzun kontrol listeleri vardı. Ancak bu şekilde bir kontrol listesinin sağlıklı bir şekilde doldurulmasının zorluğu bir yana bu tarz bir sistem müşterinin güvenlik durumunu ifade etmede oldukça yetersiz kalmaktadır. Kontrol listelerinin yanı sıra sigorta firmaları müşterilerinin siber güvenlik durumlarının analiz edilmesi için Sızma Testi raporları da kullanılmaktaydılar. Ancak firmaların siber güvenlik durumları durağan bir yapıya sahip değildir. Bir firmanın siber güvenliği oldukça dinamik birçok değişkene bağlıdır. Networke bağlanan yeni bir cihaz, yeni tespit edilen bir zafiyet ya da network yapılandırma ayarlarında yapılacak ufak değişiklikler sistemi bir anda güvensiz hale getirebilir. Bu nedenle günümüzde, siber sigorta firmaları risk değerlendirmesi için Sürekli Gözetim (Continious Monitoring) verilerini de kullanmaktadır. Bu sistem, firmanın siber güvenlik durumunun gerçek zamanlı olarak değerlendirilmesine olanak sağlamaktadır. Pricewaterhousecoopers’ın 2016 yılında yayınladığı rapora göre Amerikan firmalarının ⅓’ü şu an bir siber sigortadan faydalanmaktadır. Siber sigortayı, büyük, küçük ve orta seviyedeki firmalar satın almaktadır. 2014 ve 2015 yılında siber güvenlik altyapısının geliştirilmesi amacıyla yapılan yatırımlar 3.8 Milyar dolar iken, Siber Sigorta sektörüne ödenen miktar ise 3,2 Milyar dolar olmuştur. Bu rakamlar sektörün ne kadar hızlı büyüdüğünü göstermektedir.
  20. 20. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Sigorta Yaptırmış Bir Firma Siber Saldırıya Maruz Kalırsa Ne Olur? Elbette sigorta kapsamında belirlenen rakam ne ise ödemelerini alırlar. Örneğin; Target firması hacklendiğinde 40 milyondan fazla kredi kartı bilgisi ve kişisel bilgi ifşa olmuştu. Saldırıdan Target firmasının 70 milyon müşterisi etkilendi. Siber saldırının firmaya maliyeti 248 milyon dolar oldu. Target firmasının açıklamalarına göre kurum, sigorta kapsamında sigorta şirketinden 90 milyon dolar ödeme almıştır. Bir başka örnek HomeDepot Eylül 2014’te hacklendi ve 56 milyon kredi kartı bilgisi ifşa edildi. Saldırının firmaya maliyeti 43 milyon dolar oldu. Sigorta şirketi zararın 15 milyon dolarını karşıladı. Siber sigorta firmaları üzerlerine düşen ödemeleri yapıyorlar, ancak ödenen rakamlara bakıldığında büyük firmaların henüz yeterli kapsamda bir sigorta yaptırmadıkları anlaşılıyor.
  21. 21. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Sigortanın Diğer Sigortalardan Farkı Nedir, Ne Gibi Güvenceler Sağlamaktadır? Sisteminizin güvenliğini sağlamak için birçok önlem almış olabilirsiniz, ancak sisteminiz yine de bir siber saldırıdan etkilenebilir. Sisteminiz bir siber saldırıdan etkilendiği kurumuzun zaman kalıcı hasarlar almaması için ve zararınızın bir kısmını karşılamak için siber sigortalar devreye girer. Siber sigorta işletmenin direkt etkilenmesinden kaynaklanan zararları karşıladığı gibi 3. Şahıslara (müşteri) yönelik olan zararları da karşılayabilmektedir. Siber risk sigortasının bazı sigorta tiplerine göre karşılaştırılması aşağıdaki grafikte verilmiştir.
  22. 22. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Fidye Yazılımları Nedir? Fidye yazılımlarının 2 farklı türü vardır; şifreleyiciler ve kilitleyiciler. Saldırganlar için temel amaç şifrelerin ve kilitlerin kaldırılması için cihaz sahibinden fidye talep ederek gelir elde etmektir. Bilgisayarınıza şifreleyici bir fidye yazılımı bulaştıysa, bu yazılım bilgisayarınızda bulunan her türlü veriyi şifreler. Şifrelenen veriler; kaydedilmiş oyun dosyaları, fotoğraflar, veri tabanları, excel dosyaları, pdf dosyalar olabilir. İçerisinde bir kurum için çok önemli bilgilerin olduğu cihazlar saldırganlar için yüksek öncelikli hedeflerdir. Örneğin, içerisinde muhasebe yazılımınızın olduğu ve bütün muhasebe kayıtlarınızın olduğu bir bilgisayar yüksek öncelikli hedeflerden birisidir. Çünkü muhasebe kayıtları bir kurum için en önemli bilgilerdendir ve eğer başka bir yerde güncel bir yedeğiniz yoksa fidye bedelini ödeme olasılığınız epey artmaktadır. Diğer fidye yazılımı türü ise kilitleyici fidye yazılımlardır. Bu tip yazılımlar bilgisayarınızda bulunan dosyaları şifrelemek yerine bütün sisteminizi kilitler. Bu durumda sisteminize giriş dahi yapamazsınız. Günümüzde aktif olarak sistemleri etkilemekte olan birçok fidye yazılımı bulunmaktadır ve her geçen gün sayısı artmaktadır. Fidye yazılımlarından bütün sistemlerin (Windows, Linux, Mac OSX, Android) etkilenmesi mümkündür. Ancak bu zararlı yazılımlardan ağırlıklı olarak Windows ve Android cihazlar etkilenmektedir. Bir saldırganın zararlı yazılımı kullanıcı bilgisayarına indirtebilmek adına kullanabileceği birkaç yöntem bulunmaktadır. Bu yöntemler ile belirli sayıda kullanıcının bilgisayarını çok kolay bir şekilde etkilemeyebilmektedir. Bu yöntemlerden birisi Oltalama Saldırısı ile kullanıcılardan bir mail ekini indirip tıklamaları için oldukça inandırıcı bir senaryo hazırlayabilirler. Diğer yöntem ise web sitelerin içerisinde bulunan reklam alanlarına reklam vermektir. Yasal bir siteye girseniz dahi bazı reklamlar ile karşılaşmaktayız, bu reklamlardan bazıları fidye yazılımı içeren bağlantıları paylaşmaktadır. Bu durumun bilincinde olmayan bir kullanıcı ilgisini çeken bir reklama tıklayarak bilgisayarına fidye yazılımı bulaştırabilir. Fidye bedelini ödeyerek bu durumdan kurtulmayı düşünebilirsiniz. Ancak fidye bedelini ödemenin bazı sonuçları da beraberinde getirdiğini unutmamak lazım. Öncelikle fidye bedellerinin ödenmesi saldırganları bu iş için motive ederek gerçekleştirecekleri fidye saldırılarının artarak devam etmesine neden olur. Bir diğer olası olumsuz sonuç ise parasını ödemenize rağmen sisteminizdeki etkinin kaldırılmamasıdır. Kaspersky’ın gerçekleştirdiği bir araştırmaya10 göre fidye bedelini ödeyenlerin %20’si dosyalarını/sistemlerini geri alamamışlardır. Aslında beklenmedik bir sonuç değil, suçluların adil olmalarını bekleyemezsiniz. Eğer sisteminize fidye yazılımı bulaştıysa dosyalarınızın şifresini kendiniz çözemezsiniz. Ücretsiz bazı şifre çözücüleri deneyebilirsiniz, ancak tüm şifreleyiciler için şifre çözücü bulunmamaktadır. Özetle, sisteminize bir fidye yazılımı bulaştıysa çözüm için yapılacak pek bir 10 https://www.kaspersky.com.tr/blog/ransomware-faq/2613/
  23. 23. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity seçenek kalmıyor aslında. Yapılacak en mantıklı şey sisteminize fidye yazılımı bulaşmaması için gereken önlemleri almak. Sisteminizin bir saldırıdan etkilenmemesi için alınması gereken önlemler yazımıza göz atabilirsiniz. Alacağınız bütün önlemlere rağmen yine de saldırılardan etkilenmeniz mümkün. Bu durumda ise yapılacak en mantıklı hareket siber sigorta yaptırarak uğradığınız zararı minimuma indirmek olacaktır. Siber Risk Nedir? Siber risk, bir kurumun bilgi teknolojisi altyapısında meydana gelebilecek beklenmedik bir teknik arıza ya da bu altyapı sistemlerine yönelik olarak gerçekleştirilen siber saldırılar sonucu kaynaklanabilecek muhtemel finansal kayıp ve marka değerine yönelik oluşabilecek zararları ifade eden risk durumudur. Siber riskler genel olarak iki ana kategori altında değerlendirilir; First-Party Riskler ve 3rd Party Riskler: Genel olarak First Party Riskler, kuruma yönelik gerçekleştirilecek bir siber saldırı sonrası kurumun sahip olduğu verinin zarar görmesi veya çalınması durumunda doğacak zararları ve siber saldırı sonrasında kurumun gelirlerinde meydana gelecek olumsuz etkileri kapsar. Veri hırsızlığından, veri ihlalinden veya bir virüsten kaynaklanan ve First-Party Risk Kapsamında değerlendirilen risk başlıkları şunlardır; • Veri Kaybı • Yazılımsal Hatalar, • Verilerin şifrelenerek, şifrenin çözülmesi karşılığında fidye istenmesi • Ağ kesintisi sonucu doğacak zararlar • Kurum verilerinin silinmesi ve manipüle edilmesi • İş Durması ve/veya Yavaşlaması • Çalınan Verilerin İfşa Edilmesi Riski • İtibar Kaybı 3rd Party Riskler, siber saldırının poliçe sahibi olan kurumun dışında saldırıdan etkilenen kişi ve kurumlara yönelik olan risklerdir. Bu riskler, veri ihlalinden veya diğer siber olaylardan etkilenen üçüncü taraflardan gelen dava veya hak taleplerini içerir. Bir kurumun içi bir iyi siber güvenlik sigortası hem First Party hem de 3rd Party riskleri kapsamalıdır. 3rd Party Riskler kapsamında değerlendirilen risk başlıkları şunlardır; • Security and privacy breaches • Investigation of privacy breach • Customer notification/PR expenses • Multi-media liability • Loss of third-party data • Third-party contractual indemnification
  24. 24. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber riskleri tamamen yok edecek bir çözüm ne yazık ki bulunmamaktadır. Bu nedenle işletmeler için hangi siber risklerin azaltılmasına yönelik çalışmaların yapılacağına karar verilmesi önemli bir problemdir. Günümüzde bu karar verme işlemi çeşitli zafiyetlerin neden olduğu zararların analiz edilmesi ile yapılmaktadır.. Alınan önlemlerin olası siber tehditleri engelleyip engellemediği yada ne derece engelleyebildiği, çoğunlukla net bir şekilde ortaya konamamaktadır. Hızlı değişen siber riskleri azaltmaya yönelik yapılan yatırımların ne kadar işe yaradığının yorumlanması ve analiz edilmesi bu kadar zor iken bu alana nasıl yatırım yapmak gerekli ? Bir veri ihlalinin tam olarak ne kadar maddi zarara neden olacağının önceden hesaplanması oldukça zor bir iştir. Kurumlar genellikle siber risklerle baş etmek için diğer risk durumlarına uyguladıkları yöntemleri --gelir kaybını minimuma indirecek aksiyonlara odaklanmak-- kullanmaktalar. Ancak siber tehditler ve siber riskler daha iyi analiz edilebilirse daha yerinde aksiyomlar alınabilmesi için analizler yapılabilir. İtibar, bir firma için en değerli varlık olmakla birlikte, koruma en zor olan varlıklardan birisidir. Firmalar için marka değerine gelebilecek zarar, anlık gelir kayıplarına nazaran çok daha önemlidir. Çünkü marka değerine gelecek zarar geleceğe yönelik uzun vadeli gelir kaybı anlamına gelmektedir. Bu nedenle siber risklerin analiz edilmesi ve karşı önlemler alınması yöneticiler için oldukça önemlidir. Siber riskleri azaltmaya yönelik alınan tedbirler, firma için her yıl yüzlerce milyon dolar kayıpları engelleyebilir. Siber risk analizinin ilk adimi şirketin önemli varlıklarını (assests) ve bu varlıkların zafiyetlerini belirlemektir. Bir siber saldırı sonucunda doğabilecek zararlar, müşteri kaybından kaynaklanan gelir kaybı olabileceği gibi saldırı sonrasında sistemleri onarıcı düzenlemeler, adli bilişim analizleri ve danışmanlık masrafları da olabilir. Müşteriler tarafından güven kaybı genellikle saldırganların kritik verilere erişmesi sonucunda daha büyük olmaktadır. Yöneticiler, geçmiş deneyimlere göre siber riskleri azaltıcı bazı tedbirler alabilirler, ancak bunların yanı sıra yöneticilerin, siber riskleri iyi analiz ederek firma öncelikleri belirlemesi ve riskleri azaltacak aksiyomlara nasıl ve ne kadar yatırım yapılacağını yönetmeleri beklenmektedir. Peki siber risklerin analiz edilmesi için yöneticiler ne gibi ölçütler kullanmalı? Bu risk ölçümleri nasıl elde edilmekte? Bu sorulara farklı iş sektöründeki insanlar farklı cevaplar verecektir. Ancak herkes tarafından kabul edilen bir gerçek ise risk analizinin yapılabilmesi için sağlıklı verilere ihtiyaç duyulmaktadır ve bu veriler ile risk modellerinin oluşturulması gerekmektedir. Günümüzde siber risk analizinin yapılabilmesi için kullanılan en efektif yöntemlerden birisi Sürekli Gözetim (Continuos Monitoring)’dir.
  25. 25. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Sigorta Nasıl Yaptırabilirim? Artık bütün sigorta şirketleri bilgi güvenliği sigortası yapmaktadır. İstediğiniz sigorta şirketi ile sigorta kapsamında bulunmasını istediğiniz güvenceleri belirtip siber sigorta yapabilirsiniz. Sürekli Gözetim (Continuous Monitoring) Nedir? Siber saldırılar günümüzde bir kurum için en büyük tehditlerden birisidir. Bir siber saldırı sonucu maddi zararlar oldukça yüksek olabilir, ayrıca marka değerine gelecek bir zarar kurum gelirlerini uzun yıllar boyunca olumsuz yönde etkileyebilir ve onarılması için ciddi kaynaklar harcanması gerekebilir. Kurum ekosistemleri anlık değişimlerle sürekli değişen dinamik yapılara sahiptir. Bir sistem yıl içerisinde belirli zaman aralıklarında zafiyet barındırıp bazı zaman aralıklarında zafiyet barındırmıyor olabilir. Bir siber saldırıdan korunabilmek için öncelikle kurum iç ağınızı güvenli hale getirecek bir takım önlemler almanız gerekmektedir. Ancak kurum varlığınız sadece iç network ağınız ya da web uygulamalarınızdan ibaret değildir. İnternette, sosyal medyada, forumlarda, dark webde ve daha birçok yerde kurumunuz ile ilgili bir takım şeyler konuşuluyor, hatta siz farkında olmadan birileri firmanıza ilişkin gizli bir takım bilgileri satmaya çalışıyor olabilir. Bazı saldırganlar sizin kurumunuzda bulduğu bir güvenlik açığını diğer saldırganlarla paylaşıyor olabilir ya da bütün halka açıklıyor olabilir. Belki de bir saldırgan sizin kurum isminizi kullanarak bir domain satın alıp o domain üzerinden müşterileriniz dolandırmak istiyor olabilir. Özetle iç network ağınızla ya da web uygulamalarınızla ilgili olmasa dahi internet ortamında firmanızı tehdit edebilecek bir çok unsur bulunabilmektedir. Sanal ortamda kurumuza ait tehditlerden haberdar olmanız ve bir saldırgan gözüyle bakıldığında kurumunuzun dışarıdan nasıl göründüğünü analiz edebilmeniz için ve kurumuzun internet üzerindeki varlıklarını devamlı tarayan bir gözetim mekanizmasına ihtiyacınız vardır. Sürekli Gözetim mekanizmasında alacağınız geri bildirimler ile bir saldırıyı daha başlamadan engelleyebilir ve hem sizi hem de müşterilerinizi büyük kayıplar vermekten koruyabilirsiniz. Olası siber tehditlere zamanında müdahale edilebilmesi için Sürekli Gözetim mutlaka gerekli bir güvenlik mekanizmasıdır. Dünya genelinde Sürekli Gözetim yapan firmalar hakkında bilgi alabilmek için bu yazıyı inceleyebilirsiniz. Normshield, ülkemizde Sürekli Gözetim hizmet veren yerli tek firma konumundadır. Normshield geliştirdiği Scorecard mekanizması ile kurumları ilgilendiren internetteki tehdit varlıklarını devamlı tarayarak olası bir zararlı durum tespit edildiği takdirde müşterilerini uyarmaktadır. Böylelikle kurum, bir saldırıyı henüz başlamadan engelleyebilmekte ya da o tehdit varlığını gözetim altına alabilir. Scorecard, kurumunuza dair internet üzerinden erişebilen bilgilerini tarayan bir servistir. Normshield, taradığı veri kaynaklarında; kurumuza yönelik kötü amaçlı bir paylaşım, kurum çalışanlarınıza ait hesaplar için hacklenmiş e-mail ve parolalar, kurum müşterilerine yönelik
  26. 26. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity gerçekleştirilen oltalama saldırıları gibi durumları tespit eder. Ardından 18 farklı risk durumunu analiz ederek kurumuza ilişkin bir skor hesaplar. Bu keategorilere ilişkin sunulan detaylı raporlandırma, kurumuza yönelik olan riskleri azaltmanızda yol gösterici olur. Scorecard, kurumuza ilişkin bu verileri toplarken Open Source Intelligence (OSINT) den faydalanmaktadır. Kurumuza yönelik doğrudan erişim ya da aktif bir tarama ile edilen bilgiler kullanılmamaktadır. Kullanılan veriler tamamıyla pasif olarak elde edilir. OSINT e ilişkin diyagram aşağıda verilmiştir. Scorecard için detaylı bilgiyi Normshield - Scorecard yazısından edinebilirsiniz.
  27. 27. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Cyber Risk ScoreCard Modern dünyada, bütün iş sektörüne yönelik en büyük tehditlerden birisi siber saldırılardır. Başarılı bir siber saldırı sonucu firmaya verilecek zarar; gelir kaybı, sisteme zarar verme ve / veya halkın gözünde itibar kaybı şeklinde olabilir. Siber saldırılardan korunabilmek için firmanıza yönelik güvenlik açıklarını tespit edecek bir güvenlik mekanizmasına ve bu açıklıkları ortadan kaldırabilme yeteneğine sahip bir ekibe ihtiyacınız vardır. Normshield’in pasif siber istihbarat modülü işletmenizi siber saldırılardan korumak için kullanabileceğiniz faydalı bilgiler sunmaktadır. Cyber Risk Scorecard, bilinen ancak henüz kapatılmamış güvenlik açıkları ve açık ağ bağlantı noktaları gibi olası güvenlik risklerinden genel olarak internet üzerinden erişilebilen verilerinizi tarayan bir hizmettir. Scorecard ayrıca, kurumunuz hakkında saldırganlar tarafından internete sızdırılmış e-mail adresi, şifre ve kaynak kod gibi varlıkları taramasının yanı sıra kurumunuz çalışanlarını / müşterilerini aldatmaya yönelik olarak kurulmuş sahte websiteleri, mobil uygulamaları ve diğer ürünleri de sürekli bir şekilde taramaktadır. Bu bilgilerin elde edilebilmesi için birçok sosyal medya ortamı, dark webler, dark forumlar ve daha birçok veri kaynağı sürekli gözetim altında tutulmaktadır. Scorecard, elde ettiği verileri analiz eder ve sonuç olarak kurumuzun güvenliğini ifade eden bir puan ile birlikte kurumuzun zayıf olduğu güvenlik noktaları hakkında okunması kolay bir rapor hazırlar. Bu rapor, şirketinizin karşılaşabileceği olası güvenlik risklerini belirlemenize ve bu riskleri hafifletmek için gerekli adımları atmanıza yardımcı olur. Tüm bunlar yaparken Scorecard, hiçbir zaman işletme varlıklarınız üzerinde aktif bir tarama yapmaz ve kurumunuz sistemlerine doğrudan müdahalede bulunmaz. Scorecard, bilgi toplamak için Açık Kaynak İstihbaratı (Open Source Intelligence - OSINT)’dan faydalanır. Saldırganlar ve yasal güvenlik firmaları güvenlik açıkları ve daha farklı bir çok bilgi için sosyal medya, websitesi ve daha birçok kaynağı sürekli bir şekilde taramakta ve elde ettikleri bilgileri forumlarda ya da kendi websiteleri gibi kaynaklarda belirli aralıkla paylaşmaktadırlar.
  28. 28. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Birçok farklı birey ve kurum tarafından sağlanan bu verilerin tamamına Açık Kaynak İstihbaratı (OSINT) denir. OSINT, Scorecard analizi için kullanılan birincil veri kaynağıdır. OSINT’da yer alan veri kaynaklarına ilişkin grafik aşağıda verilmiştir. Bu veri kaynaklarından bazıları; hacker forums, sosyal medya, Google, sızdırılmış veritabanları, paste sites, VirusTotal, Censys, Cymon, Google Safe Browsing. Cyber Risk ScoreCard Kategorileri Normshield Scorecard bir şirketi on dokuz güvenlikle ilgili kategoride ve bir bilgilendirme kategorisinde olmak üzere 20 farklı kategoride değerlendirir. Her kategori, bir firmanın siber güvenlik durumunun farklı bir yönünün değerlendirilmesi için faydalı bilgiler sağlamaktadır. Örnek bir Scorecard raporu çıktısı aşağıda verilmiştir. Güvenlikle ilgili kategoriler üç ana gruba ayrılmıştır: (1) Vulnerability Management, (2) Cyber Threat Intelligence, (3) Perimeter Monitoring.
  29. 29. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity NormShield Cyber Risk Scorecard, yaptığı analizler sonucu yirmi risk kategorisinin her biri için bir skorlama yapar. Skorlama A-F arası bir değer almaktadır. “A”, “çok iyi” ve “F” ise “çok kötü” yü ifade etmektedir. Puan kartının pasif sürümü, kurum sistemlerine ve ağ varlıklarına doğrudan müdahalede bulunmaz. Scorecard, 3rd party vendor’lerin değerlendirilmesini ve siber sigorta müşterilerinin değerlendirmesini kolaylaştırır. Vulnerability Management Vulnerability Management, sistemlerin saldırıya açık zafiyetleri ve sistemin zayıf yönlerini tanımlar. Bu kategori grubu sayesinde güvenlik ekibinin tespit edilen açıkları istismar edilmeden önce kapatması ve mevcut sistemin iyileştirmesine yönelik çalışmalar yapılması sağlanır. Vulnerability Management kategorisi altı alt kategoriden oluşur. Her bir kategori için, şirketin güvenlik altyapısının farklı katmanları için birçok güvenlik izleyicisi bulunmaktadır. Bu alt kategoriler şunlardır: Patch Management, Application Security, DNS Health, Email Security, SSL/TLS Strength, Website Security.
  30. 30. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Cyber Threat Intelligence Başarılı bir siber saldırı için, genellikle bir "Cyber Kill Chain" olarak adlandırılan birkaç adımın izlenmesi gerekir. Bu adımların ilk sıralarında hedef kurum hakkında bilgi edinme adımları gelir. Kurum hakkında elde edilebilecek bilgiler, dark forumlarda ya da sosyal medyada paylaşılan hacktivist paylaşımlar olabileceği gibi kuruma ait internet ortamına daha önceden sızdırılmış e-mail adresleri ve parolalar gibi bir takım hassas bilgiler de olabilir. İnternet ortamında kurum ile ilişkili olarak paylaşılmış olan her türlü veri potansiyel olarak zararlıdır ve takip edilmesi gerekir. Saldırganlar, kurum çalışanlarını ve / veya müşterilerini aldatmaya yönelik bir takım yöntemler kullanabilir. Saldırganlar, oltalama saldırıları ile müşteri kredi kartı bilgilerini çalmaya çalışabilir, üstelik bu amaç için kurum web sitesine oldukça benzer bir domain üzerinden sahte bir web sitesi yayımlayabilir ya da kurum mobil uygulamasına oldukça benzer mobil uygulama geliştirmek gibi bir takım yöntemler kullanabilir. Bu tarz bir saldırı müşterileri doğrudan etki edebileceği gibi kurum çalışanlarını etkileyerek şirketin de doğrudan zarar görmesine kapı aralayabilir. Bu nedenle kuruma yönelik bu tarz tehditlerin devamlı olarak takip edilmesi ve analiz edilmesi gerekmektedir. Bu durumların incelenip analiz edildiği Cyber Threat Intelligence kategorisi yedi alt kategoriden oluşur. Bunlar; IP/Domain Reputation, Leaked Credentials, Hacktivist Shares, Social Network, Fraudulent Apps, Fraudulent Domains, Information Disclosure. Perimeter Monitoring Bir kurumun ne kadar popüler olduğunun bilinmesi siber olayların henüz gerçekleşmeden önce anlaşılmasında önemli rol oynamaktadır. Bir şirketi birincil hedef yapan şey depoladığı verinin değeri ve şirketin tanınırlığı / kullanılırlığının fazlalığının birleşiminden oluşur. Bu değerler saldırganlar için yüksek motivasyon kaynağıdırlar. Popülerliği tanımlayabilmek için kullanılan çok çeşitli bilgi kaynakları vardır. Örneğin; çalışan sayısı, iş sektörü, yıllık kazanç, müşteri sayısı, coğrafi konum, firmanın günlük haberlerde bahsedilme oranı vs.. Birçok firma müşterilere yönelik kaç farklı uygulamaya sahip olduğunu dahi bilmemektedir. Sağlam bir güvenlik mekanizması için tüm uygulamaların güvenlik açıkları barındırıp barındırmadıklarının sürekli bir şekilde incelenmesi gerekmektedir. Her şirket, iç ağ kurmak için ağ donanımları kullanır. Şirketler yeni pazarlama kampanyaları veya coğrafyalar için yeni web siteleri ve web portalları oluştururken ve şirketlerin iç network yapıları sürekli genişlemektedir. Doğru ağ ekipmanı seçimi önemli olmasının yanı sıra, bu cihazların doğru bir şekilde yapılandırılması da oldukça önemlidir. Bu başlık altındaki alt kategoriler ağ sorunlarını, uygulamaların zayıf yönlerini güvenlik açıklarını bulur ve raporlar. Analiz edilen alt kategoriler şunlardır; Digital Footprint, Brand Monitoring, Attack Surface, DDoS Resiliency, Network Security, CDN Security, Web Ranking.
  31. 31. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Siber Sigorta Yapan Başlıca Firmalar Türkiye’de siber sigorta yapan başlıca firmalar şunlardır; • Marsh Sigorta ve Reasürans Brokerliği A.Ş. • AIG Sigorta, CyberEdge Veri Koruma Sigortası • JLT Sigorta ve Reasürans Brokerliği • IBS Sigorta ve Reasürans Brokerliği • Teb Sigorta • Zürich Sigorta • Allianz Sigorta • Doğan Sigorta Brokerliği A.Ş. • CHUBB TEB, Zürich Sigorta ve AIG Sigorta gibi şirketler bu alanda faaliyet göstermeye başlarken, Allianz Sigorta da çalışma yapıyor. Haziran ayında 'Kimliğim Güvende Sigortası' ürününü pazara sunan TEB, bir ayda 10 binden fazla müşteriye ulaştı. Zürich Sigorta da yılbaşında çıkardığı 'Kimliğim Güvende' ürünüyle bireylere hizmet veriyor. Yakında çıkaracağı özel ürünüyle şirketlere de hizmet verecek. Zürich Sigorta CEO'su Yılmaz Yıldız, "Kimliğim Güvende Sigortası'nda poliçede belirtilen miktarlar ve şartlar dahilinde kimlik hırsızlığı/sahtekarlığı harcamaları teminatı, kayıp çalıntı kimlik teminatı, şifre çalınması teminatı, gelir kaybı teminatı, seyahat ve iletişim masrafları teminatları gibi teminatlar sağlanıyor" diyor. Yıldız, siber saldırıların küresel bir tehdit olduğu algısının yükselmesiyle bu yöndeki sigorta ürünlerine talebin de artacağını söylüyor. Sigorta şirketlerine ek olarak, bu alanda danışmanlık hizmeti veren şirketler de bulunuyor. Örneğin KPMG, büyük çaplı sigorta poliçelerinin yapılandırılması aşamasında siber güvenlikle ilgili süreç ve altyapı risklerinin maddileştirilebilmesi için yönetim danışmanlığı hizmetleri sunuyor. KPMG Türkiye Bilgi Sistemleri Risk Yönetimi Bölüm Başkanı ve Şirket Ortağı Sinem Cantürk, "Siber güvenliğe daha bütünsel bir yaklaşım getirmek gerekiyor. Siber güvenlik sigortalarının yanında, gerekli önlemlerin kuruluşlar tarafından alınmış olmasının temin edilmesi gerekiyor. Bu önlemler yalnızca teknolojiyle ve saldın anıyla sınırlı olmamalı, süreç geniş bir alanı kapsamalı" diyor. Dünya Genelinde siber sigorta yapan başlıca firmalar şunlardır; • AIG • Allianz • Brooklyn Underwriting • CHUBB • Zurich
  32. 32. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity Sürekli Gözetim (Continious Monitoring) Hizmeti Sunan Firmalar Sürekli Gözetim, Siber Güvenlik alanında yeni ortaya çıkmış ve son yıllarda hızla önem kazanan bir Siber İstihbarat Servisi modelidir. Bu alanda hizmet veren dünya genelinde çok sayıda firma bulunmamaktadır. Türkiye’de bu alanda sektöre hizmet veren tek firma, geliştirdiği Scorecard ürünüyle Normshield firmasıdır. Normshield, dünya trendini sıkı bir şekilde takip etmekte ve Sürekli Gözetim siber istihbarat modelinde Türkiye’de öncü konumdadır. Normshield aynı zamanda ABD’de yer alan ofisi ile dünya genelinde bu hizmeti sunan sayılı firmalar arasındadır. Dünya genelinde Sürekli Gözetim Hizmeti Sunan firmalar şunlardır; • NormShield • Bitsight • SecurityScorecard • Riskrecon • FicoScore
  33. 33. [SİBER SİGORTA NEDİR?] BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, ”Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.

×