Siber güvenlik, sigorta ile anlam kazanacak

Kurumsal siber güvenliği sigorta ile pekiştirmenin önemine inanan Aon, bu konuda gerek satın almalar yapıyor gerek yeni risk değerlemelerini portföyüne ekliyor.

Aon Türkiye Eş CEO’su Selda Oknas

Bilişim riskleri gelişirken, sigorta başlığında farkındalığı geliştirme çabası tüm sektörlerde küresel bir gerçek halini alırken, yöneticilerden başlayarak tüm şirket çalışanlarının düzenli olarak bilgilendirilmesi bir gereklilik halini alıyor. Aon Türkiye Eş CEO’su Selda Oknas, küresel bazda bu başlıkta artan farkındalığın Türkiye pazarına yansımasını sorduğumuzda, “Daha fazla oyuncu olmasını ve mevcut durumda evrilen ihtiyaçlar doğrultusunda teminat kapsamlarını geliştirmelerini bekliyoruz” temennisini dile getirirken, tecrübeler paralelinde farkındalık artışıyla siber sigortalara talebin de orta vadede hızla artacağı öngörüsünü paylaştı. Selda Oknas, sigortanın BT’deki gelişimi odaklı sorularımızı yanıtladı:

Küresel risk öngörüleri; gelişen teknoloji, çeşitlenen cihazlar ışığında nasıl bir değişim sergiliyor?

Tüm dünyada her sektörden her boyutta kurum, rekabetçi kalmak, kalite ve verimlilik hedeflerine ulaşmak için dijital teknolojilere yatırım yapmaya devam ediyor. Bütün bu gelişmeler ülkelerin düzenleyici kurumlarının aldıkları önlemlerin ve yasal yaptırımlarının kuvvetlenmesi sonucunu doğuruyor. Önemli bir gerçek de siber suçların dünyada en hızlı artış gösteren suçlar arasında yer alıyor olması. Siber suçlar, özellikle son 10-15 yıldır sadece kurumlar için değil, bireyler için de her geçen gün daha önemli bir risk oluşturuyor.

Kurumsal güvenlik uygulamalarına BT bütçelerinde pay ayrılıyor. Peki ya sigorta burada nasıl bir konumda?

Ne yazık ki halen pek çok kurumda siber riskler stratejik kurumsal riskler arasında görülmüyor. Halen silo zihniyetiyle BT biriminin sorumluluğu olarak görülmeye devam eden siber riskler, bu bakışla yönetilmeye devam ediyor. Halbuki korkulan siber olay gerçekleştiğinde ortaya çıkacak sonuçlar bütün kurumu, iç ve dış paydaşlarını, itibar ve marka değerini son derece olumsuz bir şekilde etkileyebiliyor. Yönetim kurulları, yüksek profilli siber olayların potansiyel mali tablo etkileri hakkında daha fazla bilgi sahibi oldukça, siber tehlikeler ve çözümler kurumsal yönetim tartışmalarında daha fazla yer alır hale geliyor. Sürekli gelişen teknolojiyle birlikte, siber saldırı teknikleri de gelişti. Bunun akabinde, üretim, eğitim, inşaat, enerji ve altyapı hizmetleri gibi diğer sektörler de siber saldırıların hedefine girdi. Özellikle sağlık sektörü, sahip olduğu ciddi miktardaki hassas üçüncü kişi verileri nedeniyle siber sorumluluk sigortası poliçelerine daha fazla talep gösterdi.

Sigorta şirketleri, her türlü BT riskini kapsayabilmek adına, kendi içlerinde nasıl bir değişim sergiliyorlar? Temelde bilişim odaklı sigorta başlıkları neler?

Sigorta şirketleri de müşterilerine daha fazla değer yaratabilmek adına siber risklerin belirlenmesi ve transferi alanında daha etkin faaliyet gösteriyorlar. Örneğin, Aon’un 2016 yılında tamamını satın alarak bünyesine kattığı Stroz Friedberg ekibiyle siber güvenlik ve siber danışmanlık alanındaki yetkinlikleri çok arttı. Sigorta brokerliği alanındaki hizmetlerimizin yanı sıra, siber güvenlik alanında siber risklerin değerlendirilmesi, penetrasyon testleri gibi detaylı teknik tespitlerin yapılması, iyileştirme önerileriyle kurumların siber güvenlik önlemlerini kuvvetlendirmeye yardımcı olmak ve herhangi bir siber atak sonrası acil müdahale hizmetlerinin verilmesi konularında destek verebiliyoruz. Ayrıca, tespit edilen siber riskler doğrultusunda kurumlara en büyük hasarı verebilecek senaryoların belirlenmesi, bunların bir etki analizi çalışmasıyla parasal olarak ölçümlenmesi konularındaki siber danışmanlık hizmetlerimizle de siber sigorta poliçesi karar süreçlerine de destek oluyoruz. Siber sigorta piyasasında tecrübelerle elde edilen hasar verileri ve arttıkça artan aktüerya imkanlarıyla poliçe kapsamındaki teminatlar da genişlemeye devam ediyor. Halihazırda dünyada 75 sigorta şirketi E&O (hata ve ihmal) veya siber sorumluluk teminatı kapasitesi sağlar durumda ve teorik kapasitenin 1 milyar doların üzerinde olduğu gözleniyor. Londra gibi belli başlı piyasalara ek olarak yerel piyasalarda da alternatif çözümler oluşmuş durumda.

Bir şirketi bilişim odaklı risklere karşı güvence altına alırken, nasıl bir risk değerlendirmesi yapıyorsunuz?

Aon olarak farklı boyuttaki kurumların farklı ihtiyaçlarına yönelik çeşitli risk değerlendirmesi çözümlerimiz mevcut. Örneğin; siber güvenlik olgunluğunu artırma ihtiyacındaki kurumlara teknik uzmanlığı olan ve dünyadaki belli başlı 20 siber olayın 12’sine müdahale etmekle görevlendirilmiş olan Stroz Friedberg ekibimizden uzmanlar zafiyetleri de net bir şekilde tespit ederek risk değerlendirmesi gerçekleştiriyor ve iyileştirme önerileri sunuyor. Siber risk danışmanlığı ekibimizin sunduğu risk değerlendirme çözümleri de mevcut. Kurumların hem BT hem iş tarafındaki yöneticileriyle beraber çalışarak, kuruma en büyük hasarı verebilecek siber senaryoları, mevcut siber güvenlik kontrollerini tespit ediyor ve bir etki analizi çalışması ve finansal modelleme vasıtasıyla riskin parasal büyüklüğünü ortaya koyuyoruz. Orta ölçekli kurumlar için “CyQu” adını verdiğimiz “Aon Cyber Quotient Evaluation” portalımız vasıtasıyla siber risk değerlendirme hizmeti sunuyoruz. Bu çözüm, başlıca 8 kritik kontrol alanı altında sektör emsalleriyle kıyaslamalı şekilde sunduğu siber risk olgunluk skorları çıktısı aracılığıyla kurumların kritik güvenlik açıklarını ortaya çıkarmak ve risk azaltma stratejilerini basitleştirmek için hızlı bir siber risk değerlendirmesi çözümü sunuyor. Çalışma sonundaki anlık geri bildirime ek olarak 10 iş günü içinde siber risk danışmanlarımız tarafından kuruma özel ve detaylı bir rapor sunuluyor.