Siber risklerin transferinde önemli bir araç, siber risk sigortası

Şirketler kasko, işyeri paket, makine kırılması elektronik cihaz, üçüncü şahıs mali mesuliyet gibi sigorta ürünleri satın alarak doğal afet, hırsızlık, iş durması, kaza ile meydana gelebilecek çok çeşitli sayıda risklere karşı varlıklarını koruma altına alıyor. Peki ya dijital varlıklarımız?

Türk Nippon Sistem ve Ağ Yönetimi Müdür Yardımcısı Hüsnü Tavlaş

Geride bıraktığımız 2017 yılında gerçekleşen önemli siber saldırıları hatırlayalım.

Wanna Cry; Mayıs ayında ortaya çıktı ve eski Windows işletim sistemlerinde bulunan bir zafiyeti kullanarak 90’dan fazla ülkede 200 binin üzerinde bilgisayarı etkisi altına aldı. İngiltere ve İskoçya’da Ulusal Sağlık Sistemi’nin çökmesine neden oldu.

Petya; WannaCry’ın etkisini üzerimizden atamamışken Haziran ayında Ukrayna’dan başlayarak Avrupa ve Amerika’ya yayılan yeni bir fidye yazılımı kısa zamanda çok sayıda bilgisayara yayıldı.

Bad Rabbit; Ekim ayında ortaya çıkan ve kendisini sahte bir Adobe Flash Player güncellemesi olarak gösteren yazılım Kiev metrosu, Odessa Havalimanı, Rusya’da çok sayıda kurum ile birlikte Türkiye’yi de etkisi altına aldı.

Fidye yazılım temelli bu saldırılar ne ilk ne de son olacak. Kurbanların saldırganlara ödediği fidye miktarından çok daha önemli olan sistemler durduğunda meydana gelen maddi kayıplar.

Her ne kadar fiziksel ve teknolojik önlemler almış olsanız da yüzde 100 güvenlik ne yazık ki sağlanmıyor. İnsan faktörü riski sıfırlamanıza engel oluyor.

Bilgi güvenliği yönetimi kapsamında risklerden doğabilecek kötü sonuçların önüne geçebilmek için dört temel yöntem uygulanıyor.

Riskten kaçınmak
Riski azaltmak
Riski kabul etmek
Riski transfer etmek.

Siber risk sigortaları, bu dört temel prensipten biri olan riskin transferi konusunda kullanılabilecek en önemli araçlardan bir tanesidir.

Riski transfer eden sigortalılar tarafından baktığımızda, siber güvenlik sigortaları veri kayıplarının restorasyon masrafları, saldırıdan kaynaklı iş durması, adli bilişim giderleri, hukuksal giderler gibi teminatları içermenin dışında, üçüncü şahıslara karşı özel bilgilerin ifşasından doğabilecek zararlar, veri ihlalleri ile ilgili savunma giderleri gibi teminatları da kapsamakta.

Çoğu zaman, siber sigortaların klasik sigortalar ile karşılaştırılması gibi bir yanlışa düşülüyor. Şöyle ki:

Elektronik cihaz sigortaları, sunucu, storage, bilgisayar gibi cihazları fiziksel hasarlara karşı teminat altına alan bir sigorta türüdür. Yazılım ve bilgiler teminat dışındadır.

Sorumluluk sigortalarında da kötü niyetli, kasti zararlar ve finansal kayıplar teminat haricidir.

Sigorta şirketleri tarafından durumu ele aldığımızda, henüz ülkemizde olgunlaşmamış siber güvenlik sigortaları her ne kadar ticari bir fırsat gibi görünse de risklerin değerlendirilmesi fiyatlandırılması ve meydana gelebilecek hasarların ekspertizi konusunda yeterli uzman ve bilgi birikimi ne yazık ki tatmin edici düzeyde değil.

Risklerin belirlenmesi aşamasında şirketlerin almış olduğu teknik önlemlerin değerlendirilmesi ve meydana gelen risklerin ekspertizinin yapılmasında siber güvenlik uzmanlarına ihtiyaç olduğu kaçınılmaz bir gerçek olarak sigorta şirketlerinin karşısına çıkıyor. Bu açığında Amerika ve İngiltere gibi siber sigortaların çoğunlukla yapıldığı ülkelerde olduğu üzere siber güvenlik şirketlerinin kapatacağını söylemek yersiz olmaz.

Sigortalılık bilincinin yetersiz olması sebebiyle meydana gelen talep yetersizliği ve sigorta şirketlerinin siber riskler konusundaki bilgi ve tecrübelerinin yeterli olmamasını siber risk sigortalarının ülkemizde olgunlaşmamasının temel nedenleri olarak gösterebiliriz.

Bu temel nedenler ülkemizdeki siber sigorta poliçelerinin yaygınlaşmasının önüne geçtiği gibi, poliçe fiyatlarını da etkiliyor.

Gelecekte, sürücüsüz araçlar, nesnelerin interneti gibi hızla gelişmekte olan teknolojilerle sektör üretimindeki pastadan en büyük payı alan otomobil sigortalarında düşüş yaşanacağı ön görülüyor. Bu prim düşüşü farklı ve yeni bir ürün olan siber riskler sigortaları ile ne derece telafi edilir bilinmez ama orta vadede sigorta şirketlerinin siber riskler ile ilgili değerlendirmeler yapmaları gerekliliğini gündeme getiriyor. Hal böyle olunca ilerleyen zamanda, sigorta şirketlerinin siber sigorta alanında sektörel olarak erken edinilecek bilgi ve tecrübelerle de rakiplerinin önüne geçmesi ebetteki kaçınılmaz olacaktır.

Risklerini transfer etmek isteyen şirket ve kurumlar için, her ne kadar ülkemizde yeterli olgunluğa erişmemiş olsa da siber risk sigortalarının önemli bir araç olduğunu ve kesinlikle değerlendirilmesi gerekliliğinin altını çizmek isterim.