Aktüerler ile siber risk uzmanları birlikte çalışmalı
Hem bireyler hem de organizasyonlar için siber riskler giderek daha fazla önem kazanıyor. Buna bağlı olarak, sigorta sektörüne de bu risklere teminat vermek ve risk yönetimi çözümleri sunmak için büyük bir fırsat doğmuş oluyor. Fakat, bu alanda standart aktüeryal tekniklerin uygulanması oldukça zor olduğundan ötürü, siber poliçeler için riske uygun fiyatlama yapmak pek kolay olmuyor. Munich Re’nin uzmanlarından Rory Egan, kaleme aldığı makalede, her ne kadar zor olsa da fiyatlama yapmanın mümkün olduğunu ifade ediyor.
Sigortacıların örnek alabileceği geçmiş underwriting ve hasar deneyimlerinin az olması, bu alanda en büyük zorluğu yaratıyor. Bazı durumlarda da, siber teminatların, paket poliçeler içinde verilmesi de söz konusu güvencenin ayrıştırılarak analitik amaçlarla incelenmesini zorlaştırıyor. Dolayısıyla, siber riskler konusunda sektörün elinde spesifik bir veri bulunmuyor. Ayrıca, diğer sigorta türlerinde de siber risklere maruz kalma ihtimali var. Siber riskler konusunda sağlıklı bir veri toplamayı güçleştiren bu durum “sessiz siber risk” olarak biliniyor.
FİYATLAMADA STANDART YOK
Tüm bunlar, aktüerlerin genelde kullandığı veri setlerinin siber risklere uyarlanamamasına ve fiyatlamada standart bir yöntem izlenememesine yol açıyor. Bu sebeple, çoğunluğun üzerinde anlaştığı bir şemanın kullanılması önem taşıyor. Böyle bir şema sayesinde, sektör paydaşları verileri daha etkili bir şekilde paylaşabilir ve tüm pazarın faydalanabileceği anonim veri paylaşma mekanizmaları hayata geçirilebilir.
Daha fazla veri toplamak, sektöre fazladan, fakat gerekli de olan bir idari yük getirebilir. Fakat bu yük, sigorta sektörü için bir inovasyon fırsatı da yaratır; bu sayede sadece müşterilere bağlı olmayan veri toplama mekanizmaları geliştirilebilir.
Poliçede ek teminatlar arasında siber güvence olup olmadığına dair net ibareler kullanılması suretiyle poliçelerdeki anlam karmaşası ortadan kaldırılarak sessiz siber riskin önüne geçilmesi gerekiyor. Poliçede bu teminatın bulunduğu durumlarda, teminat devreye girdiği zamanlarda ilgili verinin saklanması da önem taşıyor. Saklanan veriler sayesinde bu riskleri anlama şansı artar ve fiyatlama daha doğru yapılır.
RİSK DİNAMİKLERİ SÜREKLİ DEĞİŞİYOR
Siber risklerin fiyatlandırılmasında zorluk yaratan bir diğer etkense, sürekli değişen risk dinamikleri. Hem günlük yaşamda hem de iş hayatında Nesnelerin İnterneti, bulut bilişim, endüstri 4.0 gibi yeni teknolojilere bağımlılık hızla artarken, siber riskler de çoğalıyor. Siber savunmadaki gelişmelere cevaben, siber saldırganların kullandığı teknikler de inovatif bir hal alarak sürekli evrimleşiyor.
Veri Koruma Kanunu gibi regülatif değişiklikler de siber riskleri hem artırma hem de azaltma potansiyeline sahip. Mesela, düzenlemeler siber risklere karşı farkındalığın artırılmasında ve bu risklerin azaltılmasında bir katalizör olabilir. Buna karşın regülasyon, bir siber risk gerçekleştiği zaman ortaya çıkan masrafları artırabilir. Düzenlemeler; artan raporlama gerekliliklerine, etkilenen üçüncü taraflara yapılacak tazminat ödemelerindeki artışa ve daha yüksek para cezalarına yol açabilir.
Değişen bu dinamikler, gelecekte olabilecekleri öngörmek için tarihsel verilerden faydalanmanın tek başına yeterli olmayacağını, verilerden gelen faydanın da bir sınırı olduğunu gösteriyor. Bu durumda, aktüerlerin, siber risk uzmanları ve underwriter’lar ile birlikte çalışmaları ve kendi profesyonel görüşlerine daha fazla güvenmesi gerekiyor.
POLİÇE KAPSAMINA DİKKAT EDİLMELİ
Siber sigorta pazarı son yıllarda önemli bir büyüme kaydetti ve ileride daha da fazla büyüme potansiyeli taşıyor. Potansiyelin farkında olan bazı sigortacı ve brokerler, daha geniş kapsamlı poliçeler sunup pazarda farklılaşarak bu alanda büyümek istiyor, bu da pazarı bir anlamda müşteri dostu kılıyor. Buna karşın, bazı sigortacılarsa birbirinden bağımsız risklerin iç içe geçerek birleşik bir risk haline gelmesi ve bu durumun da büyük bir hasar potansiyeli yaratmasından çekinerek, teminat vererek üstlendikleri siber riskleri artırma konusunda temkinli davranıyor. Yakın zamanda tanık olduğumuz NotPetya gibi vakalar, birleşik risklerin taşıdığı potansiyeli gözler önüne seriyor. Sigortacıların oluşturduğu birleşik risk modelleri hızla gelişse de sektörün kapasitesi, bazı müşterilerin istediği büyüklüklerde teminat verebilecek boyutlara ulaşamıyor.
Sigortalanamayacağı sanılan birleşik bir riski istemeden kapsam dahiline almamak için, sigortacıların poliçe metninin ucunu açık bırakmaması ve metni kesin sınırlarla çizmesi gerekiyor. Örneğin, kapsam dışında bırakılan hallerdeki en ufak bir boşluk fiyatlama sürecini ciddi bir şekilde baltalayabilir. Oysa teminat kapsamları arasındaki farklılıklar, poliçe metinlerinin daha sağlam bir şekilde kurgulanmasını zorlaştırıyor.
Piyasadaki fiyatlar incelenirken dikkatli olunması önem taşıyor. Uzun süredir kârlı olan pazarlarda bile, şirketler üstlendikleri birleşik riskin karşılığı olan seviyede prim almıyor olabilirler. Aktüerlerin verilen teminatları eksiksiz bir şekilde anlaması, nelerin kapsanacağı, nelerin kapsam dışında bırakılacağına karar vermesi ve her bir poliçe için risk gerçekleştiği zaman ne kadar büyük bir hasar alabileceklerini iyice tartarak öngörebilmesi gerekiyor.
KİŞİYE ÖZEL RİSK DEĞERLENDİRMESİ ŞART
Olası hasar frekansları ve büyüklüklerini öngörmek için yapılacak hesaplamalarda riskler tek tek değerlendirilmeli ve sigortalının her bir risk için ne kadar önlem aldığı ya da bu riske ne kadar açık olduğu gibi farklılıklar gözetilerek hareket edilmeli. Bu kapsamda, kişiye ya da kuruma özel bir risk değerlendirmesi yapılarak, sigortalının maruz kaldığı siber risklere karşı uyguladığı risk azaltma çalışmalarının ne kadar etkili olduğunun iyice incelenmesi, doğru bir fiyatlama yapmak için önem taşıyor.
Eğer hasar frekansı ve büyüklüğünü tetikleyen faktörler doğru bir şekilde anlaşılırsa, ‘iyi’ ve ‘kötü’ risklerin fiyatlanmasında farklılıklar görülmesi mümkün. ‘İyi’ riskler sigortalıların lehinde primlere yol açabilecekken, ‘kötü’ riskler varsa sigortalılar bu risklere önlem almaları yönünde motive edilebilir. Riskler daha iyi anlaşılıp da sigortacılar risk bazlı fiyatlama yaklaşımlarını geliştirdikçe, fiyatlamadaki belirsizlik yüzünden yüksek yazılan primler aşağı çekilebilir. Rekabetçi bir piyasada, bu indirim müşterilere yansıtılabilir.
Renk Özcan
renk@sigortacigazetesi.com.tr