Geçtiğimiz ilkbahar salı öğleden sonra Marcus Trevino'nun gelen kutusuna düşen e-posta, ne bir düzenleyici kuruluştan ne de bir federal kurumdandı. Ticari sigorta şirketinden geliyordu — Denver merkezli butik bir firma, altı yıldır 40 kişilik lojistik şirketini sigortalıyordu. Mesaj kibar ama netti: doksan gün içindeki poliçe yenilemesinden önce, Trevino'nun şirketinin üçüncü taraf bir sıfır güven güvenlik denetiminden geçmesi gerekecek, aksi takdirde yapay zeka ile ilgili siber olaylar için teminat poliçeden sessizce çıkarılacaktı.
Trevino, "Bir hata olduğunu düşündüm," dedi. "Biz bir teknoloji şirketi değiliz. Biz yük taşıyoruz."
Şaşkınlığında yalnız değil — ya da niş bir sigorta risk üstlenme konuşmasının Kuzey Amerika ve Batı Avrupa'daki binlerce küçük ve orta ölçekli işletme için hızla operasyonel bir zorunluluğa dönüşmesine hazırlıksız yakalanmasında.
KOBİ'lerin Haberdar Olmadığı Sessiz Değişim
Son on sekiz ayda, butik ve bölgesel sigorta taşıyıcılarından oluşan bir grup — Zurich veya AXA gibi devasa genelci oyuncular değil, profesyonel sorumluluk, ticari siber ve teknoloji hata ve ihmallerinde yoğun teminat sağlayan daha küçük, uzmanlaşmış firmalar — yenileme süreçlerine doğrudan güvenlik mimarisi incelemeleri eklemeye başladılar.
Tetikleyici keyfi değil. 2024'ün sonlarından bu yana, yapay zeka destekli siber saldırılar, tehdit ortamını eski risk üstlenme modellerinin fiyatlandırmak için tasarlanmadığı şekillerde yapısal olarak değiştirdi. Eskiden insan sosyal mühendisliği gerektiren oltalama kitleri artık otonom olarak çalışıyor. İş e-postası uzlaşma planları artık makine hızında işliyor. Fidye yazılımı operatörleri, çoğu küçük firmanın ihlali tespit edebileceğinden daha hızlı bir şekilde savunmasız KOBİ ağlarını belirlemek için yapay zeka destekli keşif kullanıyor.
2023 ve 2024 başlarını yapay zeka riskini teorik terimlerle modelleyerek geçiren sigorta aktüerleri, şimdi gerçek talep verilerine bakıyorlar — ve zarar oranları rahatsız edici yönlere doğru ilerliyor.
"Bunu yapan taşıyıcılar cezalandırıcı davranmıyor. Zaten ödedikleri tazminatlara yanıt veriyorlar. KOBİ siber poliçe portföyünüz kan kaybetmeye başladığında, ya riski yeniden fiyatlandırırsınız ya da poliçe sahibinden bunu farklı yönetmesini talep etmeye başlarsınız." — On yılı aşkın süredir orta ölçekli taşıyıcılarla çalışmış bir ticari sigorta brokeri
Bu Bağlamda Sıfır Güven Gerçekten Ne Anlama Geliyor (Ve Etiketin Neden Çok İş Yaptığı)
İşte burada operasyonel gerçeklik karmaşıklaşıyor — ve KOBİ topluluğu içinde bazı meşru hayal kırıklıklarının haklı olduğu yer burası.
"Sıfır güven" bir güvenlik çerçevesi olarak, kime sorduğunuza bağlı olarak, ya mikrosegmentasyon, sürekli kimlik doğrulama ve en az ayrıcalık erişim zorlamasını içeren titiz bir mimari felsefe ya da satıcıların çok faktörlü kimlik doğrulama ve bir ağ diyagramını içeren neredeyse her şeyi kapsayacak şekilde genişlettiği bir pazarlama terimidir. Sigorta sektörünün bu terimi benimsemesi durumu tam olarak netleştirmedi.
Bu yılın başlarında popüler bir DevOps topluluk forumundaki bir GitHub başlığı, kafa karışıklığını iyi yakalamıştı. Bir yorumcu: "Sigortacım bana 'sıfır güven uyumluluk kontrol listesi' gönderdi ve temel olarak MFA'yı açıp açmadığımızı ve erişim günlüklerini üç ayda bir inceleyip incelemediğimizi sordu. Bu sıfır güven değil. Bu sadece tamamen pervasız olmamak."
Butik taşıyıcılar tarafından zorunlu kılınan denetimlerin kapsamı ve titizliği büyük farklılıklar gösteriyor. Bazıları yazılı bir düzeltme raporu ile resmi bir üçüncü taraf sızma testi gerektiriyor. Diğerleri ise, bazı durumlarda sigorta firmasının kendisi tarafından kiralanan bir taşeron olan bir "güvenlik danışmanı" ile kırk beş dakikalık bir video görüşmesini içeriyor — bağımsızlık ve teşvik uyumu hakkında bariz sorular yaratan yapısal bir düzenleme.
Sahadaki KOBİ deneyimi parçalı. Bazı işletmeler denetim sürecinin gerçekten faydalı olduğunu, yanlış yapılandırılmış bulut ortamlarını ve geniş izinlere sahip unutulmuş yönetici hesaplarını ortaya çıkardığını bildiriyor. Diğerleri ise büyük ölçüde göstermelik hissettiren bir uygulamayı anlatıyorlar — danışmanlık ücretleri olarak 3.000 ila 12.000 dolar arasında değişen, çoğunlukla dosyalanan ve şirketin gerçekte nasıl çalıştığı hakkında çok az şey değiştiren bir uyum kontrol kutusu.
Butik Taşıyıcı Hesaplaması
Neden bu değişime büyük genelci sigortacılar değil de daha küçük, uzmanlaşmış taşıyıcılar öncülük ediyor? Bunun bir kısmı yoğunlaşma riskidir. Örneğin, profesyonel hizmetler veya sağlıkla ilgili KOBİ'lerde yoğun teminat yazan butik bir firma, daha dar, daha korelasyonlu bir iş portföyüne sahiptir. Yapay zeka destekli saldırıların belirli sektörünü vuran tek bir kötü dalga, beklenenden daha büyük talep riskleri yaratabilir. Büyük taşıyıcılar, harekete geçme mecburiyeti hissetmeden önce daha fazla şoku absorbe edebilecek kadar çeşitlendirilmiştir.
Ayrıca işleyen bir rekabet dinamizmi de var. Kendilerini "yönetilen riskin" sofistike sigorta sağlayıcıları olarak konumlandıran butik taşıyıcılar — sadece fiyat rekabetçi emtia kapsamı değil — yapay zeka tehdit modellemesinde öncü olarak görülmekte menfaat sahibidirler. Sıfır güven denetimlerini zorunlu kılmak kısmen gerçek bir risk yönetimi ve kısmen de bir pazar konumlandırma ifadesidir: biz bunu ciddiye alıyoruz ve sizin de almasını bekliyoruz.