Artan farkındalık ve kötü örnekler yetmiyor!

Siber riskler ile mücadele sadece departmanlar arası geniş katılım ile daha etkin olabilir ve bu işin bir ‘BT’ sorumluluğu olmadığını bilmek şart. Dünya çapında bin 800’den fazla risk yöneticisinin katılım gösterdiği Aon Global Risk Yönetimi Anketi’ni analiz edince görülüyor ki, küresel anlamda farkındalık artmış durumda. Siber riskler en önemli 5’inci risk. “Risk farkındalığını arttırmak amacıyla 2007’den beri bu anketi düzenliyor, anket sonucunda risk yöneticilerine yol gösterici önemli veriler elde ediyoruz” diyen Aon Türkiye Risk Danışmanlığından Sorumlu Genel Müdür Yardımcısı Ahmet Eryaman’ın da dikkat çektiği gibi, siber riskler 2015 yılına kadar bu kadar önemsenmiyordu. Ancak 2013-2015 arası peş peşe gelen ve basında geniş yer alan siber saldırılar küresel düzeyde farkındalığı arttırdı. “Çalışmaya katılan bin 800’ü aşkın risk yöneticisine 2020 yılı risk beklentilerini sorduk. Siber risklerin 2020’de de en önemli 5’inci risk olacağı öngörülüyor” bilgisini veren Ahmet Eryaman’a göre, kurumsal farkındalık sektörden sektöre değişiyor. Bunu en somut olarak, firmaların “siber risk değerlendirme” çalışması yaptırıp yaptırmadıkları ile ölçmek mümkün. Mesela eğitim, sigorta, yatırım ve finans, bankacılık, havacılık gibi sektörlerdeki firmaların çoğu bu egzersizi uyguluyor. “Siber risk değerlendirme çalışmaları zaman ve enerji isteyen, bazen dış kaynaklandırılarak yapılan işler” bilgisini veren Ahmet Eryaman’ın tabiriyle bir firma bu egzersize zaman ve para ayırıyorsa, konuya verilen önemin artığına da emin olabilirsiniz. “Ancak pek de memnun olmadığımız bir saptama var” diyen Eryaman’a göre, siber risk değerlendirme sürecine aktif olarak destek veren departmanları sorguladığımızda, BT yüzde 86, risk yönetimi yüzde 38 olarak öne çıkıyor. Yani sorumluluk hala büyük oranda BT’nin omuzlarında. Halbuki siber riskler ile mücadele sadece departmanlar arası geniş katılım ile daha etkin olabilir. Bu gerekliliği dile getiren Ahmet Eryaman, riskler paralelinde gelişen sigorta sektörünü anlattı:   
 
Bölgesel bazda farkındalık nasıl bir dağılım gösteriyor?
Teknolojik gelişmelerin en hızlı şekilde iş hayatına sokulduğu Kuzey Amerika’da siber riskler “en önemli risk” olarak gözüküyor. Bu farkındalık Avrupa’da da yüksek. Küresel anlamda farkındalığın en düşük olduğu bölge Latin Amerika, yani Güney ve Orta Amerika bölgesinde. Diğer tüm bölgelerde siber artık en önemli ilk 10 risk arasında. Bu çalışmamız siber riskler konusunda küresel bazda kurumsal farkındalığı en güzel biçimde gözler önüne seriyor.
 
Her ölçekte şirket, güvence için hangi öncelikli adımları atıyor?
Farkındalığın artmasıyla, firmalar proaktif olarak hazırlıklarını yapıyorlar. 2017 yılında 2015’e kıyasla siber risk değerlendirmesi yapan firmaların oranı yüzde 11 artmış. 2017’de her iki firmadan biri mutlaka siber risk değerlendirmesi yapıyor. Firmaların yüzde 23’ü siber risk değerlendirmesini finansal sayısallaştırma modelleri ile, yani parasallaştırarak hazırlıyorlar. Siber sigorta satın alınması ile risk transferi yapanların oranı yüzde 33’e ulaştı. Ama tüm gelişmelere rağmen, firmalar 2015’e göre kendilerini bir nebze “daha az hazır” hissediyorlar. Çalışmamızda fark ettik ki, yıllık cirosu 1 milyar dolar ve üzeri olan katılımcıların yüzde 56’sı siber riskleri ilk iki risk arasında gösteriyor. Büyük ölçekteki şirketlerin proaktif olarak bu konuda zaman ve para harcadıkları aşikâr. Maalesef yıllık cirosu 250 milyon dolar ve altında olan firmaların siber tehlikelere öncelik vermediklerini gözlemliyoruz. Cirosu 1 milyar doların altındaki firmaların siber riskler için sigorta almakta geri kaldıklarını saptadık. Bu ölçekteki şirketlerin sadece yüzde 25’i sigorta güvencesi almış. Yüzde 56’sı sigorta yaptırmayı düşünmüyor bile…
 
Stroz Freidberg, siber riskler konusunda nasıl bir danışmanlık hizmeti sunuyor?  
Siber konusundaki hizmet yelpazemizi 6 başlık altında topluyoruz. Şu anda Türkiye’de en çok talep gören hizmetlerimiz; siber risk inceleme/değerlendirme ve siber risk maruziyetlerini parasallaştırma hizmetleri. Bunun akabinde, risk transferi diye adlandırdığımız siber sigorta danışmanlığının artacağını öngörüyoruz. Bu konuda Aon’un bir avantajı var. Geçmişi geleneksel olarak danışmanlık veya bilişim teknolojilerine dayana hizmet sağlayıcılar; inceleme, değerlendirme, test, geliştirme ve iyileştirme, mücadele konularının birkaçında hizmet sağlayabiliyorlar. Evveliyatı sigortacılığa dayalı firmalar ise genelde inceleme/değerlendirme, parasallaştırma, risk transferi konularının bir veya birkaçında destek sunuyorlar. Aon’un farkı ise bu başlıkların her biri altında zengin paket servislerinin olması.
 
Stroz Freidberg bu danışmanlık çalışmaları için küresel BT şirketleri gibi paydaşlarla işbirlikleri yapıyor mu?
Rekabet kuralları gereği, küresel BT şirketleri ile işbirliğimiz olamıyor. Ancak mesela inceleme /değerlendirme hizmeti verdiğimiz müşterilerimizde, daha evvelden yapılmış olan benzer incelemeleri mutlaka değerlendirmeye alıyoruz. Siber riskler ile mücadele bir maraton haline geldi. Firmaların yıllara yayılan çalışmaları ister iç kaynak ister dış kaynak ile yapılmış olsun, onların siber risklere karşı olgunluğunu gözler önüne seriyor. Bu yüzden daha evvel yapılmış çalışmalar ile “mevcut durum analizi” arasındaki fark, bize firmaların olgunluğundaki ilerlemeyi gösteriyor.
 
Stroz Freidberg'in Türkiye'deki çalışmaları ve stratejilerinizi paylaşır mısınız?
Türkiye’de 2017 yılını daha çok İnceleme /Değerlendirme ve Parasallaştırma hizmetleri ile bitirdik. Önümüzdeki yıllarda, tıpkı yurtdışında süregeldiği gibi, siber risk değerlendirme hizmetlerimizi sunmaya devam edeceğiz. 2018’deki hedeflerimizden biri, test hizmetlerimizi artırmak. Burada katma değeri en yüksek servisimiz “Threat Hunting” diye anılan ve firma içinde sinsice yayılmaya başlayan ama henüz harekete geçmemiş saldırıları ortaya çıkarmak. Başarılı bir “Threat Hunting” çalışması için üç belirleyici konu var: Tehdit bilgisi, ortam bilgisi yani sistemler ve firma maruziyeti. Bu üç konuda da Aon gibi küresel hizmet sağlayıcılar birçok müşteriye hizmet verdikleri için tehdit bilgisine fazlasıyla haiz oluyor, firma maruziyetini daha iyi değerlendirebiliyorlar. Bu yüzden yüksek katma değer sağlayacağımıza inanıyoruz. Yurtdışında olduğu gibi, Türkiye’de de hem risk transferine hem mücadeleye yönelik servislerimizi yaygınlaştırmayı hedefliyoruz.
 
Terzi usulü ince ayarlamalar gerekli 
Aon Türkiye Kurumsal Müşterilerden Sorumlu Genel Müdür Yardımcısı Tevfik Erdengi, siber riskleri nasıl, hangi önceliklerle sigorta kapsamına aldıklarını anlatırken, Türkiye pazarı özelinde hedeflerini şöyle paylaştı: 
“Medyada duyulan ya da çoğu zaman duyurulmayan binlerce siber saldırının her gün yaşandığını bilerek, Türkiye’de ulaşabildiğimiz tüm risk ve sigorta yöneticilerini mümkün olduğunca bu konuda bilgilendirmeye ve öncelikle risklerini analiz edip anlamaya teşvik ediyoruz. Gün geçtikçe artan bir duyarlılığa şahit oluyoruz. Bir süre önce sadece finansal kurumlara has olduğu düşünülen siber risklerin aslında sektör ayrımı yapmaksızın her türlü sanayi, üretim, hizmet kurumunu etkilediği görülüyor. Siber risklerini sigorta yoluyla transfer etmek isteyen kuruluşlar için alabilecekleri birçok teminat piyasada sunulabiliyor. Örneğin:

• Sigortalının kendi zararı, yani finansal ya da dijital varlıkların çalınması, kar kaybı, siber şantaj, araştırma masrafları, halkla ilişkiler masrafları, verinin yerine tekrar konması masrafları, donanım ve yazılım kontrolü ve temizlenmesi masrafları.
• Sigortalıyla bağlantısı olan üçüncü kişilerin talepleri, yani hassas ve özel verilerin sızması, fikri hakların kaybı, duyuru ve bilgilendirme masrafları, itibar zedelenmesi.

Siber risklere karşı, diğer pek çok diğer riskte olduğu gibi standart paket poliçe satın alınmasını tavsiye etmiyoruz. Örneğin nesnelerin interneti için yatırım yapan bir elektronik üreticisi ile bir hastaneler grubunun teminat ihtiyaçları çok farklı ve terzi usulü ince ayarlamalar yapılması gerek. Sigortalı ile birlikte çalışarak ona en uygun, potansiyel kayıpları en aza indirgeyecek teminat yapısını oluşturmayı amaçlıyoruz.”