Kurumsal riskinizi bilin, sigortasız kalmayın!

Bir Aon şirketi olan Stroz Friedberg tarafından hazırlanan ‘2018 Siber Güvenlik Öngörüleri Raporu’, şirketlerin risk yöneticilerini, üst düzey yöneticilerini siber dünyanın tehlikelerine karşı hazırlıklı tutmayı hedefliyor. Küresel bazda birçok şirket, gelişen riskler ve çeşitlenen ihtiyaçlar paralelinde altyapılarını doğru biçimde hazırlamak için dijital dönüşüm başlığında önemli yatırımları hayata geçiriyor. Ancak, dijital altyapılara yapılan yatırımlar paralelinde, bu altyapıların güvenliği de şirketler için öncelikli risk yönetim başlığı halini alıyor.

Raporda ‘2017’de Yaşananlar’ başlığında siber saldırıların boyutu, gelişmişliği ve etkilerinin önceki yıllara oranla önemli yükseliş gösterdiğine dikkat çekiliyor. Buna göre, siber saldırıların etki alanı mobil cihazlardan arabalara uzanan geniş bir yelpazedeki dijital platformlara yayıldı. Bu da siber saldırıların etkilerinin büyümesine yol açtı. Örneğin, WannaCry fidye yazılımı 150 ülkede 200 bin bilgisayarı etkiledi. Equifax saldırısı sonrası da 143 milyon kullanıcının kişisel ve hassas verileri açığa çıktı. Raporda dikkat çekildiği gibi, 2017’de yaşanan siber vakaların çoğunda sorumlu tutulan direktör ve üstü seviye yöneticiler suçlandı, bazıları istifa etti, birçoğu da aklandı. Ama yine de güvenlik odaklı haberler, kurumsal gündemde önemli yer aldı, kurumsal prestiji birebir etkiledi.

Tek şifre güvenli olmadığını gösterdi

Rapor, siber riskler konusunda değişen sorumluluk algısına da işaret ediyor. Çünkü 2017 ve öncesinde siber riskler ağırlıklı olarak ‘BT riskleri’ altında değerlendiriliyordu. Ancak gelinen noktada, siber saldırıların etkileri, siber risklerin sadece BT departmanı konusu olarak değil, şirketlerin temel işletme riskleri kapsamında yönetilmesi gerektiğini ortaya koydu. Rapora göre, 2017’de ağırlıklı olarak büyük ölçekli şirketler saldırılara hedef oldu, finansal güçlerine bağlı olarak bu saldırıların etkilerini giderebildi ve yeni risklere karşı önlemler alabildi. 2017’de sıklıkla karşılaşılan bir risk de mevcut sistemlerdeki kimlik doğrulama süreçlerinin zayıf ve yetersiz kalması oldu. Raporda örneklendiği üzere, siber saldırganlar tek şifre ile girilebilen sistemlerde tüm şifreleri kolaylıkla kırabilir hale gelmişti.

Siber sigortası olanlar belli

2017’de Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) kapsamında belirlenen yeni regülasyon Avrupa Birliği (AB) tarafından yürürlüğe sokulmuştu. Raporda dikkat çekildiği üzere, bu tüzüğe Avustralya, Japonya ve Güney Kore gibi ülkeler de uyum sağlayacaklarını bildirdi.

Öte yandan, Ponemon Enstitüsü tarafından 2017 yılında gerçekleştirilen araştırmada kurumsal risk yöneticilerinin yüzde 87’sinin siber riskleri en önemli ilk 10 risk arasında görmesine rağmen, yine bu şirketlerin sadece yüzde 27’sinin siber risklere karşı sigortalandığı görüldü. Halihazırda siber risklere karşı sigorta yaptıran sektörler ise finans, sağlık, kısmen enerji ve perakende sektörleri olarak sıralandı.

Mesleki sorumluluk sigortalarının kapsamı genişleyecek

Raporda yer alan 2018 yılı öngörüleri de risklerin önüne geçmenin zorluğunu açıkça ortaya koyuyor. Özellikle siber ortamda görünürlüğü ve faaliyetleri artan şirketler, siber güvenlik konularını işletme kültürüne ve risk yönetimi çerçevelerine entegre etmeye başlayacak. Bu da gerek kendi yatırımlarının güvenliği gerekse düzenleyici kurumların müşteri verilerinin korunması konusunda artan hassasiyetleri paralelinde daha da önem kazanacak. Ancak, rapor acı bir gerçeğe de dikkat çekiyor. Buna göre, 2018’de yöneticilerin siber saldırıların sonuçlarından sorumlu tutulduğu vakalar artacak. Bu çerçevede, siber risklerle bağlantılı iş süreçlerinde görev alan yöneticilerin “mesleki sorumluluk sigortaları” siber riskleri de kapsar hale gelecek. Bu esnada siber saldırıların etkileri anlaşıldıkça, siber risklerin işletmenin tüm diğer fonksiyonlarına; örneğin insan kaynakları, kurumsal iletişim, üretim süreci gibi kurumsal birimlere yönelik etkileri de değerlendirme kapsamı içinde yer alacak. Bu arada, şirketler siber sigorta poliçeleri de talep etmeye başlayacak. Bu talep karşısında sigorta şirketleri de genel sigorta poliçelerinin kapsamını daraltarak, halihazırda bu poliçelerde yer alan siber riskler bağlantılı kayıplara dair sigortaları ‘bağımsız sigorta poliçeleri’ haline getirecek.

Yönetim kurulunda CRO da yerini alacak

Rapora göre, 2018’de risklere hedef olan sektörlere havaalanları, havayolları, üretim tesisleri, enerji nakil şebekeleri, lojistik firmaları, petrol şirketleri gibi farklı alanlarda faaliyet gösteren şirketler de eklenecek. Ancak, siber risk farkındalığı arttıkça “Kurumsal Risk Yöneticisi” olarak tanımlanan ‘CRO – Chief Risk Officer’ görevini üstlenen yöneticiler ön planda yer almaya başlayacak. Bu yöneticilerin, şirketin diğer üst yöneticilerine, siber risklerin şirketin faaliyetlerine yönelik bütünleşik etkisini doğru anlatmaları ve bunun önemini kavratmaları konusunda alacakları sorumluluk, onları doğal olarak CEO’ların en önemli yardımcılarından biri haline getirecek.

Buna ek olarak, Genel Veri Koruma Tüzüğü’ne uyum sürecini 2017’de kabul eden şirketlere ve ülkelere ek olarak, bu yıl Amerika’daki pek çok büyük şirketin yanında küresel bazda faaliyet gösteren şirketlerin de bu tüzüğü kabul etmesi bekleniyor. Küresel düzenleyici kuruluşların konuya dair yaptırımlarının 2018’de artacağı, hatta şirketlere yeni uyum ve denetleme sertifikaları gereklilikleri getirecekleri öngörülüyor.

KOBİ’ler gerekli önlemleri almalı

Rapor, 2018’de siber saldırıların mobil sistemleri ve BT altyapılarının güvenliğini doğru biçimde entegre edemeyen KOBİ’lere yayılacağı öngörüsüne de yer veriyor. Bu saldırılar, KOBİ’nin kendisinden ziyade, bu işletmelerle iş yapan büyük şirketlerin altyapılarını ve ağlarını etkileyecek. Böylece, raporda dikkat çekildiği gibi, büyük şirketler işbirliği yaptıkları KOBİ’leri risk yönetimi programı çerçevesinde değerlendirecek, bu işletmelerin siber güvenlik altyapılarını güçlendirmelerini hizmet ihalelerinde temel şart olarak ortaya koyacak. Raporda öne çıkan bir başlık da, çok faktörlü kimlik doğrulama süreçlerinin öne çıkması. Buna göre, 2018, çoklu ve karmaşık şifrelerin yanında, yüz ve ses tanıma gibi ikincil ve üçüncül kimlik doğrulama adımlarını gerekli kılacak.

Risk yönetimine gereken önem verilmeli!

Siber güvenlik başlığında yapılan araştırmalar, Türkiye’nin siber güvenlik konularında birkaç sektör dışında fazla aktif olmadığını ortaya koyuyor. Buna göre, bankacılık, enerji gibi sektörlerde önem taşıyan siber risklerin giderek tüm sektörlere yayılması, üretimden ulaştırmaya her alanda öncelikli riskler arasında görülmesi şart. Burada en önemli bileşen ise risk listesindeki her konunun siber boyutu olduğuna dair farkındalığın da artması. Endüstri 4.0 odaklı ilginin gelişimi ve konuyla ilgili Bakanlıkların yaptıkları yatırımlar, siber risk farkındalığının artırılması adına önemli bir fırsat. Bu vurguyu yapan rapora göre, şirketler de Endüstri 4.0’a geçerken dönüşecek her iş sürecinde siber riskleri göz önünde bulundurmak zorunda. Yani her işletme, mümkün olan en üst seviyede risk yöneticileri istihdam etmeli veya bu konuda danışmanlık desteği almalı. Siber saldırganların kendilerini sürekli olarak geliştirdiği bir ortamda, kurumsal korunma süreçlerinin de saldırganların hızına yetişebilecek şekilde güncellenmesi şart. Siber risklerin önlenmesi adına sağlam adımlar atılması gerekse de, önlenemeyen durumlara karşı küresel bazda ‘kayıpları en aza indirme’ konusunda en önemli bileşenlerden biri olan siber risk sigortaları da yöneticilerin gündeminde üst sıralarda yer almak zorunda.