Siber riskte tehdit de büyük potansiyel de…
Dijital dönüşüm, çalınmaya ve dolandırıcılara karşı çok hassas birçok verinin bulunduğu bir dünya yarattı. Bunun sonucunda, siber risk günümüzdeki en önemli tehditlerden biri olarak yerini almış oldu.
Siber suçlular, sürekli yeni zayıf noktalar arıyor ve taktiklerini geliştiriyor. Genelde suç aktivistlerde ya da organize çetelerde aranıyor olsa da, sıklıkla siber suçların sorumluları çalışanlardan biri oluyor. Siber suçlar hem çok masrafa yol açıyor hem de tespit edilmeleri ve savaşılmaları giderek zorlaşıyor. Sigortacılar için de siber risk, günümüzdeki en önemli risklerden biri olarak öne çıkıyor.
2014’TE GÜNDE 100 BİN GÜVENLİK İHLALİ GERÇEKLEŞTİ
PwC’nin her yıl gerçekleştirdiği anketin sonuçlarından yola çıkarak hazırladığı rapora göre, 2014 yılında küresel bazda yaklaşık 43 milyon güvenlik ihlali gerçekleşti. Günde ortalama 100 bin güvenlik ihlaline denk gelen bu rakam, finansal olarak da ciddi sonuçlar doğurdu. Siber suçların ekonomik hasarı bazı durumlarda onlarca milyon doları buldu.
ORTALAMA HASAR 650 BİN İLE 5.9 MİLYON DOLAR ARASINDA
2013 yılında güvenlik ihlalleri toplam gelirleri 100 milyon doların altında olan küçük şirketlere ortalama 650 bin dolara, toplam gelirleri 100 milyon dolar ile 1 milyar dolar arasında olan orta büyüklükte şirketlere ortalama 1 milyon dolara, toplam gelirleri 1 milyar doların üzerinde olan büyük şirketlereyse ortalama 3.9 milyon dolara mâl oluyordu. 2014 yılındaysa bu hasar küçük şirketler için ortalama 410 bin dolar, orta büyüklükte şirketler için ortalama 1.3 milyon dolar, büyük şirketler içinse 5.9 milyon dolar olarak gerçekleşti.
2014 yılında, siber risk sigortalarında 2.5 milyar dolar prim üretildi. Üretimin %90’ı ABD’den geldi. Buna karşın, ABD’de bile şirketlerin sadece üçte birinin siber risk poliçesi vardı. ABD’de yazılan siber risk poliçelerinin %50’sini sağlık, teknoloji ve perakende sektörlerinden şirketler satın aldı.
PwC’ye göre, siber riskler konusundaki farkındalık arttıkça sigortacılık da bu alanda büyümeye devam ediyor. 2018 yılında siber risk sigortalarındaki prim üretiminin 5 milyar dolara, 2020’deyse en az 7.5 milyar dolara yükselmesi bekleniyor.
TEMİNATLAR TALEP EDİLENDEN DAHA AZ
Birçok sigortacı, teminat limitlerini müşterilerinin talebinden daha aşağıda konumlandırıyor. En yüksek teminat 500 milyon dolar, ancak birçok büyük şirket 300 milyon dolarlık teminat bulmakta bile zorlanıyor. Sigortacılar aynı zamanda poliçelerde kısıtlayıcı koşullara ve teminat dışında bırakılan durumlara yer veriyor.
PwC; yüksek primler, poliçeyle getirilen kısıtlayıcı koşullar ve teminat limitleri göz önüne alınınca sigortalıların, siber risk sigortalarının gerçek değerini karşılayıp karşılamadığı hakkında kafalarında soru işaretleri oluştuğunu ifade ediyor. Bu kuşkuların kısa vadede büyümeyi yavaşlatabileceği belirtiliyor. PwC’ye göre, siber risk sigortalarındaki koşul ve limitler dolayısıyla sigortacıların aleyhinde yasal düzenlemeler ya da kısıtlamalar getirilmesi riski de söz konusu.
DÜZENLEYİCİLER MÜDAHALE EDEBİLİR
Her şeye karşın, birçok düzenleyicinin yanı sıra piyasa oyuncuları hâlâ siber risklerin büyüklüğü konusunda endişeli. En büyük siber risk sigortacılarının çoğunun merkezi olan İngiltere’de düzenleyicilerin bu alandaki müdahalesi, tüm dünyada gerçekleştirilen en belirgin müdahale. Kasım 2014’te, Lloyd’s “gerektiği zaman daha doğru isabetli müdahaleler” yapabilmek için risklerin incelenmesi ve yönetim süreçlerini güçlendirecek yeni önlemler aldı. Temmuz 2015’te, İngiltere’nin bankacılık düzenleme kurumlarından biri olan Prudential Regulation Authority (PRA) 60’tan fazla sigortacıdan uluslararası şirketlere gerçekleştirilecek, veri ihlallerine ve bunları takip eden toplu davalara yol açacak peş peşe gelen birçok sayıda siber atak gerçekleşmesi ihtimali üzerine kurulmuş bir senaryoya göre hareket etmelerini talep etti.
PwC’ye göre tüm bunlar, düzenleyicilerin, siber riskleri tam anlamıyla idrak edemeyen ve olası bir hasar durumuyla başa çıkamayacak şirketlerin siber risk sigortası yazmasını engellemek için bir adım atabileceğine işaret ediyor.
PAZAR BÜYÜDÜKÇE POLİÇE ŞARTLARI DA ESNER
Siber risk sigortalarının gelecek yıllarda büyümesi, dolayısıyla sigortacıların üzerindeki baskının da azalması bekleniyor. Baskının azalmasıyla beraber oluşacak rekabet sonucunda limitlerin esnemesi, primlerin düşmesi ve poliçede belirtilen koşullar ile kapsam dışında kalan hallerin talebe uygun olarak değişmesi de beklenebilir.
Daha uzun vadeli bakıldığında, pazardaki verilerin en nihayetinde doğru fiyatlama yapacak olgunluğa ulaşacağı düşünülüyor. PwC’ye göre burada önemli olan bu olgunluğa ulaşmanın ne kadar zaman alacağı. Eğer bu süreç çok uzarsa, yenilikçi bir firmanın çıkarak agresif bir biçimde fiyatları düşürmesi ve çok daha cazip koşullar sunması olası görünüyor.
PwC’nin yayınladığı rapora göre, 2020 yılında siber risk sigortalarında 7.5 milyar dolar prim üretilmesi bekleniyor. Buna karşın, bu alandaki veri eksikliği sebebiyle hâlâ doğru risk değerlendirmesi ve fiyatlandırma yapılamaması büyümeyi yavaşlatıyor. Ayrıca, sigortalıların ödedikleri yüksek primin gerçek karşılığını alıp almadıkları konusundaki şüpheleri de büyümeyi yavaşlatan bir diğer etken olarak öne çıkıyor.
7 ADIMDA KÂRLI BÜYÜME
PwC, sigortacıların siber risk alanında doğru teminatlar ve doğru fİyatlar vererek kârlı bİr büyüme çİzgİsİ yakalayabİlmek İçİn 7 adımlık bİr yol harİtası sunuyor:
1- HASAR DOĞRU DEĞERLENDİRİLMELİ
Sigortacılar, muhtemel hasarın ne kadar olabileceği ve ne kadar ödemeyi göze alabilecekleri konusunda doğru değerlendirme yapmalı. Yeterli aktüeryal verinin bulunmadığı bu alanda doğru fiyatlama yapmak zor da olsa, sigortacılar ödedikleri toplam hasarı risk iştahlarına ve ödeme güçlerine göre değerlendirerek bu konuda daha doğru kararlar verebilir. Bu özellikle teminat verirken hangi sektörlere odaklanılacağı, hangi alanlarda poliçe yazmaktan kaçınılacağı ve hangi alanlara daha fazla teminat verilebileceği konusunda daha doğru kararlar verilmesine ön ayak olabilir.
2- TEKNOLOJİ UZMANLARIYLA İŞBİRLİĞİ ÖNEMLİ
Daha etkili bir risk değerlendirmesi için, sigortacıların teknoloji firmaları ve istihbarat bürolarından uzmanlarla birlikte çalışması da önemli. Bunun sonucunda, ödenecek tazminatlara ve diğer üçüncü şahıs sorumluluklara odaklanan aktüerler ve underwriting ekibi ile verilere ve sistemlere odaklanan teknoloji uzmanları arasında gelişecek işbirliğiyle risk değerlendirmesi ve fiyatlandırması daha iyi sonuçlar verebilir.
3- POLİÇE ŞARTLARI DURUMA GÖRE BELİRLENMELİ
Sigortacıların çoğu siber risk poliçelerinde genel şart ve koşullar koyuyor. Poliçe sahibinin zayıf noktaları ve bu konuda verilen tavsiyeleri dinleme eğilimini göz önüne alarak kişiselleştirilmiş şart ve koşullar sunmak daha doğru bir yaklaşım olabilir. Bu, aynı zamanda sigortacıyla müşterisi arasında daha yakın ilişkiler kurulmasını ve komisyon bazlı bir danışmanlık ilişkisinin başlamasını da sağlayabilir.
4- VERİ PAYLAŞIMINI ARTIRMAK ŞART
Daha etkili bir veri paylaşımı, daha doğru fiyatlamanın anahtarı olabilir. Günümüzde firmalar itibar kaygısıyla yaşanan veri ihlallerini açıklamaktan kaçınırken, sigortacılar da rekabetteki avantajlarını kaybetme endişesiyle veri paylaşımından kaçınıyor. Bununla birlikte, ABD’deki veri ihlallerini bildirme zorunluluğu getiren yasanın Avrupa Birliği’nde uygulanması bekleniyor. Bu uygulamayla birlikte veri paylaşımının artması, dolayısıyla sigortacıların da daha doğru fiyatlandırma yapmasının önü açılabilir.
5- POLİÇELER DAHA SIK GÜNCELLENMELİ
Yıllık yenilemelerin ya da 18 ayda bir yapılan ürün güncellemelerinin yerine, poliçelerin güncel olarak sürekli yenilenmesi sağlanabilir. Bu dinamik yaklaşımın, güvenlik yazılımlarının güncellenmesi veya kredi bağlantılı sigorta yapan firmaların kredi limitine ve riskin büyüklüğüne göre anında fiyat vermesi gibi bir sisteme benzetilerek kurgulanması etkili bir sonuç verecektir.
6- RİSK TRANSFERİ SAĞLANMALI
Siber risk alanında reasürans tarafı sigortacılığa göre daha az gelişmiş olmasına karşın, sürekli gelişen siber risklerin daha iyi anlaşılması ve oluşabilecek büyük hasarlara dair senaryolar üretilmesi, reasürörleri de bu alanda atılım yapma konusunda cesaretlendirebilir. Risk transferi, geleneksel hasar fazlası reasürans klozlarını içermenin yanı sıra aşırı yüksek hasarlar için sınai kayıp garantisi ya da şarta bağlı sermaye yapıları olabilir.
7- SİGORTACI ÖNCE KENDİNİ KORUMALI
Müşterilerin, siber risklere karşı kendini koruyamayan bir sigorta şirketine güvenmesi beklenemeyeceği için, bu konuda atılacak her adım önem arz ediyor. Birçok hassas veriye ev sahipliği yapan sigorta şirketlerinin de siber risklere karşı daha dikkatli olması gerekiyor. Siber risk sigortası satan şirketlerin ellerindeki hassas verilerin, müşterilerinin zayıf yönlerini bulmak ve bilgilerine erişmek isteyen hackerların hedefinde olması beklenmedik bir şey olmayacaktır. Dolayısıyla sigortacıların buna sıradan bir bilgi teknolojisi meselesi gibi değil, ciddi bir güvenlik sorunu olarak bakması şart.
Renk Özcan
renk@sigortacigazetesi.com.tr