Sigorta Şirketleri Siber Saldırganların Öncelikli Hedefi
Sigorta sektöründe faaliyet gösteren şirketler müşterileriyle daha iyi iletişim kurabilmek, yeni ürünler sunabilmek ve müşterilerinin finansal portföylerini genişletebilmek amacıyla dijital kanallara geçiş yapıyor. Bu kapsamda geleneksel ana BT sistemlerinin yanı sıra ajans portalları, online poliçe başvuruları, web ve mobil tabanlı uygulamalar gibi entegrasyon seviyesi yüksek platformlara yatırım yapıyorlar. Ancak bu yatırımlar, platformlar ve uygulamalar; avantajlarının yanında dijital dünyanın en büyük tehdidi olan siber saldırı risklerini de beraberinde getiriyor.
Şirketlerin güvenlik açıklarını bulma ihtiyacını platforma kayıtlı yüzlerce bağımsız araştırmacıdan oluşan güvenilir toplulukla hızlı, hesaplı ve etkin bir şekilde çözen BugBounter da bu doğrultuda dijital dönüşüm yolculuğunda ilerleyen sigorta şirketlerini siber saldırılara karşı uyarıyor.
Sigorta şirketlerine yapılan saldırıların en büyük motivasyonu bu şirketlerin büyük oranda kişisel verilerle iş yapıyor olması olarak karşımıza çıkıyor. Yasaların da etkisiyle hem mevcut hem de eski müşterileri için pek çok veriyi uzun yıllar boyunca saklamak zorundalar. Bu yüzden isim, T.C. kimlik numarası, doğum tarihi, ev adresi, aile bireyleri, sağlık bilgileri, maaş gibi kişiyi tanımlamak için kullanılan belgelerden oluşan veri merkezlerine sahip sigorta şirketleri farkında olmadıkları güvenlik açıklarından ötürü siber saldırganlar için ilgi çekici bir hedef haline geliyor.
Sigorta şirketlerine yapılan siber saldırılar neticesinde yaşanan ihlaller, cezalar ve davalar gibi somut hasarlar ortaya çıkarabiliyor. Öte yandan tüketicilerin şirkete olan güvenini kaybetmesi ve verilerinin güvenliğinden endişe duyması gibi dolaylı ancak somut hasarlar kadar tehlikeli yansımalara da neden oluyor. Deloitte’ın araştırmasına göre sigorta işleri güven üzerine kurulu olduğu için verilerle ilgili yaşanan bilgi güvenliği ihlalleri, markayı ve şirketin pazar payını önemli ölçüde etkiliyor.
Siber saldırganların kullandığı yöntemler
Bilgisayar korsanları, kötü yazılmış yazılım uygulamalarından veya kötü tasarlanmış veya uygulanmış ağ sistemlerinden yararlanmayı seviyorlar. Kıymetli verilerinize ulaşmak için içeriye sızdıktan sonra hemen kendilerini açığa çıkartacak hareketlerden kaçınıyorlar. Sürekli sistemleri tarayabilecekleri boşluklar bırakıyorlar. İçeride kimlerin nelere erişimi olduğunu sıkı bir şekilde kontrol altına alamayan işletmeler, büyük olasılıkla ya yanlış kişilere yanlış izinler vermiş ya da becerikli bir hackerın istismar etmesi için etrafta güncel olmayan izinler bırakmış oluyorlar.
Dünya gündemini yakından takip eden hacker’lar, COVID-19’u da kendi amaçları için kullanmayı başardı. Tüm dünyanın dikkatini pandemiye vermesinin ardından güvenlik ekipleri odaklarını çalışanları uzaktan güvenli eriştirmeye adadı. Bu noktada yeni geliştirilen yazılımları yeterince kapsamlı test edecek sayıda çalışan kalmadı. Sigorta şirketinin hacklenmesi ve ağ sisteminin ele geçirilmesi için tek bir acentede bile bir güvenlik açığının olması yeterli olabiliyor.
Evrak işi yoğun olan sektörlerde farklı bir risk daha ortaya çıkıyor. Örneğin sigorta firmasının çalışanları hasar belgeleri, sigorta sertifikaları, kimlik fotokopileri gibi birçok elektronik dosyayı düzenli olarak kayıt alıyor, inceliyor ve kaydediyor. Uzaktan yüklenen bu tür dosyaların arasında gizlice çalıştırılabilen zararlı yazılımların işlemlerine de açık bir kapı bırakılmış oluyor. Bu tür zararlı dosyaların hangi tür dokümanlar arasına gizlenebileceğini bulmak ayrı bir uzmanlık alanı.
Tedarikçi firmalarla gerçekleştirilen işbirlikleri de aslında sigorta şirketleri için büyük risk barındırıyor. Dünyada birçok şirket, kendi sistemleri sağlam olsa bile birlikte çalıştığı tedarikçi şirketin kendi sistemlerine entegre olmasıyla tedarikçide yaşanan bir siber saldırıdan etkilenebiliyor. Sigorta şirketleri yaygın acente kanalları ile buna dahil. Bunun önüne geçebilmek için bir sigorta şirketi başka bir şirketle çalışmadan önce o firmanın siber güvenlik sistemlerini düzenli olarak inceletmesini ve bunu kendilerine raporlamasını isteyebilir.
Tedarikçinin evinde kullandığı bilgisayarla şirketin sisteminin arasına kendisini konumlayabilen hacker, kullanıcıya varlığını belli etmeden sigorta şirketine gerçek bir kullanıcı gibi erişebiliyor. Kendisine hakkı olmayan yetkiler tanımlayıp bu yetkiler ile birçok işlemi kimseye belli etmeden aylarca sürdürebiliyor.
Tedarikçi firmalar üzerinden saldırıya uğrama ihtimalinizi azaltmak için konuyla ilgili whitepaper’ımızı inceleyebilirsiniz.
Sigorta sektöründe öne çıkan hacklenme vakaları
Anthem Healthcare
Tüm sağlık sektöründeki en büyük veri ihlali rekoru 7,8 milyon dolar hasarla karşılaşan Anthem Healthcare’a ait. Ocak 2015’te gerçekleşen saldırıda çalışanların kullanıcı adlarını ve şifrelerini ele geçiren siber saldırganlar isim, doğum tarihi ve ev adresi gibi hassasiyet derecesi yüksek verileri ele geçirdi. Bu saldırı sonrasında Anthem ayrıca oluşan hasar için 40 milyon dolar, verileri çalınan kişilere de toplam 115 milyon dolar ödemek zorunda kaldı.
Chubb Corporation
Amerika’daki 12. en büyük mal ve kaza sigortacısı Chubb, Mart 2020’de tedarikçi firma üzerinden izinsiz erişimle gerçekleşen bir siber saldırının kurbanı oldu. Henüz resmi bir bilgilendirme olmasa da siber güvenlik araştırmacıları Chubb’ın dosyaları şifreleyen ve verileri saldırganlara gönderen bir fidye yazılımıyla gerçekleştiğini düşünüyor.
Pacific Specialty Insurance Company
Otomotiv ve ev sigorta sağlayıcısı Pacific Specialty Insurance Company, Mart 2019’da siber saldırının hedefi oldu. Hacker’lar çalışanların e-posta adreslerini ele geçirerek sisteme sızdı ve ulaştıkları isimleri, finansal verileri ve sağlık sigorta bilgilerini internete sızdırdı.
Dijital dünyadaki varlığını artıran her şirket, siber saldırıya uğrama riskini de aynı oranda artırıyor
Tüm güvenlik risklerine rağmen müşterilerin taleplerini karşılayıp rekabette öne çıkmanın yolu dijitalleşmeden ve güvenli dijital dönüşümden geçiyor. Bu yüzden sigorta sektöründeki firmaların sistemlerinin sağlamlığını sürekli olarak denetime alması gerekiyor. Ne yazık ki yılda bir veya iki kez yapılan sızma testleri bunun için yeterli olamıyor. Geçtiğimiz yıllarda sıkça gördüğümüz üzere milyon dolar seviyesine varan kayıplar yaşanıyor ve maalesef bu kayıpları yaşayan sigorta şirketlerinin tümü de sistemlerinin yeterince denetlendiğini sanıyordu.
Platformumuza pek çok ülkelerden dahil olan, farklı beceri alanlarına sahip, hackerlar gibi farklı teknikler kullanabilen yüzlerce güvenlik araştırmacısı sayesinde bir siber saldırgan bakış açısıyla sistemleri hızla test ediyoruz. Yalnızca geçerliliği doğrulanmış güvenlik açığı raporlarıyla şirketlere farkında olmadıkları riskleri gösteriyor ve kendilerini güçlendirmenin anahtarını sunuyoruz. Doğrulanmış bir güvenlik açığı bulamadığımızda bir ücret de almıyoruz.
Böylece sigorta şirketlerinin ve acentelerinin siber savunmalarını yüzlerce uzman ile 7/24 test ederek şirketlerin milyon dolar seviyesine varan maddi ve itibar kayıplarının önüne geçmesine çok makul bütçeler ile yardımcı oluyoruz.