Sigortacılıkta SİBER RİZİKO dönemi

Günümüz “Dördüncü Endüstri Devrimi” olarak isimlendirilen evreyi yaşadığımız bir zaman dilimidir. Bu son çeşit endüstri devrimi IoT (Internet of Things = Nesnelerin interneti) ve IoS (Internet of Services = Hizmetlerin interneti) ve fizik-siber sistemler üzerine inşa edilmiştir. IoT, fiziksel nesnelerin, araçların, binaların birbirleriyle veya daha büyük sistemlerle elektronik ortam, yazılımlar, sensörler v.b. sayesinde bağlantılı olduğu ve veri değiştirebildiği “bilgi toplumunun altyapısı” olarak tanımlanan bir kavramdır. IoT uzaktan kumanda olanağı verdiğinden, dış dünyanın bilgisayar sistemleriyle bütünleşmesini sağlamaktadır. Buna M2M (Machine to Machine) iletişim denmektedir.
IoS ise yeni hizmet dağıtım kanallarının devreye alınmış olmasını ifade etmektedir. Öyle ki, hizmet alan kişinin hizmet sağlayıcıya başvuruda bulunması esasına dayanan hizmetler artık, kullanıcının doğrudan inisiyatif aldığı bir şekle dönüşmekte; Intranet (yerel veya sınırlı iletişim), Internet’e (geniş iletişime) evrilmektedir.

SİBER RİZİKOLAREN ÖNEMLİ 10 RİZİKO İÇİNDE
Kuşkusuz her yenilik, sorunlarını da yaratmaktadır. Siber rizikolar son zamanlarda oldukça önemli bir artış göstermiştir.
Siber tehdidin çoğalması üzerine tüzel kişiler bundan kaynaklanan rizikoların sigorta şirketleri tarafından üstlenilmesini daha fazla talep etmeye başlamışlardır. Günümüzde siber rizikolar kişilerin karşı karşıya olduğu en önemli 10 riziko içinde yer almaktadır. (Belirtmek gerekir ki, içinde bulunduğumuz yüzyıl, iklim değişikliğine bağlı rizikolar ile terör rizikosunda da yükselişe sahne olmuş ve olmaktadır.)

2019’DA SALDIRILARIN MALİYETİ 2.1 TRİLYON DOLARA ULAŞABİLİR
Diğer taraftan bakacak olursak; veri ihlallerinin toplam maliyetinin 2019 yılında 2.1 trilyon dolara ulaşacağı tahmin edilmektedir. Siber suçların dünya ekonomisine 2015 yılındaki senelik maliyeti ise 445 milyar dolar olarak hesaplanmıştır. Şu halde kısa sürede muazzam bir artış meydana geleceği düşünülmektedir.
İçinde yaşadığımız çağda şirketlerin ve diğer kuruluşların en büyük sermayeleri sahip oldukları bilgilerdir. Ancak bilgi, elektronik ağın büyük bir hızla genişlemesi yüzünden saldırılara açık bir hale gelmiş bulunmaktadır.

SİBER SALDIRILAR DEVLETLERİ BİLE TEHDİT EDİYOR
Siber rizikolar yalnızca tüzel kişileri değil, gerçek kişileri de yakından ilgilendirmekte ve tehdit etmektedir. 2015 senesinde üç Ukrayna enerji tesisine yönelik siber saldırılar sonucu yaklaşık 80 bin müşterinin enerji alamadığı hesaplanmıştır.
Diğer yandan, günümüzde devletler de siber sorunlar yaşamaktadır. Geçmişte Estonya ve Gürcistan doğrudan siber saldırılara hedef olmuşlardır. 2007 yılında Estonya’da “Kahraman Kızılordu Askeri” heykelinin kaldırılmasına karar verildikten sonra, bu ülkeye siber alanda geniş bir saldırı gerçekleştirildi ve Estonya, bankaların kamu kurumlarının ve özel sektörün çalışamaz duruma düşmesiyle adeta felce uğradı. Bu saldırıdan sonra NATO tarafından Talin’de bir Siber Savunma Merkezi kurulmuştur.
2008 yılında ise “Siber Savaşçılar” bu sefer Gürcistan’daki Güney Osetya’yı önce bombalaması sonra da işgal etmesi üzerine saldırıda bulundular. Sonuçta Gürcü bankaları devre dışı kaldı. Bu saldırıdan sonra Gürcistan’ın kullanması için Türkiye ve Rusya ile kesişmesi olmayan, Karadeniz’den geçen yeni bir fiber altyapısı oluşturuldu.
Rusya’nın ABD seçimlerine “karıştığı” iddialarının (bizzat eski ABD Başkanı Barack Obama tarafından) ortaya atıldığı; ülkemizde 2017’nin ilk günlerinde yaşanan elektrik kesintilerinin siber saldırı ürünü olduğunun açıklandığı günümüzde siber saldırılar dijital ortamın söz konusu olduğu bütün durumlarda karşımıza çıkmaktadır.

İTİBAR KAYBINA NEDEN OLABİLİR
Başlıca siber rizikoları aşağıdaki şekilde özetleyebiliriz:
* Verilerin çalınması
* Sistemlere saldırılması
* Hukuksal sorumluluk
* İtibar ve şöhretin zedelenmesi
* Mal zararları

Bir kişi veya kuruluş açısından önem taşıyan gizli bilgilere ulaşılarak bunların başkalarına satılmak veya sadece hedef kişi veya kuruluşa zarar vermek amacıyla çalınması sık görülen bir siber rizikodur.
Sistemlere yönelik saldırılar bunları devre dışı bırakmak için yapılmaktadır. Daha sonra da “fidye” istenmekte ve sistemin yeniden işler duruma getirilmesi alınan fidye karşılığında olmaktadır.
Sistemin devre dışı kalması yüzünden çok önemli boyutlara ulaşan iş durması kayıpları meydana gelebilmektedir.
Kamu otoriteleri, bazı hallerde idari para cezası uygulayabilmektedirler.
Bir kişi veya kuruluşun elinde bulunan başkalarına (mesela müşterilere, çalışanlara) ait bilgilerin ve kişisel verilerin gereği gibi korunmamış olması, bu bilgileri elinde bulunduran ve siber saldırıyı engellemekte ihmali saptanan kişi veya kuruluşun hukuksal sorumluluğunu gerektirebilir.
Nihayet, siber saldırıya maruz kalan kişi veya kuruluş, itibar kaybına uğrayabilmektedir.
Bir diğer önemli kategori de virüs bulaşması veya “hacker” saldırısı sebebiyle artık elektronik donanımın “güvensiz” hale gelmesi ve yenilenmesi gereğinin ortaya çıkmasıdır. Bu sebeple önemli masrafların yapılması lazım gelebilir.
Siber saldırının altı özelliği olduğu kabul edilmektedir:
* Görünmezlik
* Yoğunluk
* Anlaşılmazlık
* Uluslararası nitelik taşıması
* Belirsizlik
* Kasıtlı olma

Siber olayın söz konusu olduğu çoğu kere iş işten geçtikten sonra belirlenebilmektedir; bu da zararlı sonuçların önüne geçme şansını tanımamaktadır. Siber olay çoğu zaman oldukça yoğun bir biçimde ve anlaşılmaz bir karmaşıklıkta gerçekleşmektedir (saptanması ve kapsamının ne olduğunun öğrenilmesi ancak uzmanların başarabildiği hususlardır.) Kaynağı ve sonuçları açısından uluslararası boyut içermektedir (riziko uluslararası web üzerinde ortaya çıkmaktadır.) Belirsizlik unsuru da söz konusudur (siber olayın meydana gelip gelmeyeceği ve eğer meydana gelecekse bunun ne zaman söz konusu olacağı bilinmemektedir.) Nihayet siber olay çok büyük bir çoğunlukla kasıtlı eylemdir.

KLASİK SİGORTA ÇÖZÜMLERİ YETERSİZ KALABİLİYOR
Mal sigortası, sigorta konusu malın zayi olması, hasarlanması veya malın (mesela çalınma sebebiyle, ziya veya hasar söz konusu olmaksızın) elden çıkmış bulunması halinde sigorta koruması sağlar. Siber riskler ise, kullanım olanağından yoksun kalma ve verilerin gizliliği ve tamlığına yönelik sonuçlar doğurmaktadır. Bir eşya zararı ise çoğunlukla söz konusu olmamaktadır. Geleneksel sigorta anlayışında, bir eşya zararından kaynaklanan zararlar (uygulama bunları çoğu halde “dolaylı zarar” deyimiyle anlatmaktadır) temin edilmekte, buna karşılık kural olarak saf mal varlığı zararları (bir eşya zararının sonucu olmayan kayıplar) teminat dışında bırakılmaktadır. Bu ilke katı şekilde sürdürülürse, mesela su basması sonucunda hasarlanan bilgisayar sistemi sigortacı tarafından tazmin edilecek, buna karşılık virüs bulaşması sonucu meydana gelen kayıplar (maddesel olmayan = immateriel kayıplar) teminat dışında kalacaktır. Oysa siber rizikolar alanında bu ilke gereksinimleri karşılamaktan uzaktır. Farklı yaklaşım benimsemek lazımdır.
Buna karşılık sorumluluk teminatı, üçüncü kişilere verilen maddesel ve maddesel olmayan zararlar dolayısıyla sigortalının tazminat ödeme yükümlülüğünü sigorta koruması altına almaktadır.
Özel anlaşma ile virüs bulaşması ve terör teminatları sigorta teminatına ilave ettirilebilir. Özel bir teminat genişlemesi de, bilgisayar sisteminin “rehin alınması” ve tekrar devreye alınması için “fidye” istenmesi halini temin eden (deyim yerinde ise “haydutluk”) teminatıdır.
Türk Elektronik Cihaz Sigortası Genel Şartları “all risks” (bütün rizikolar) esasına tabi olarak sigorta koruması sağlamaktadır. Ancak bu sigorta, yalnızca teminat dışında bırakılmış olmayan hallerden ileri gelen “maddi” zararları kapsadığı için, siber rizikolar bunun sağladığı korumaya dahil bulunmamaktadır.

SİBER RİZİKOYA KARŞI YENİ VERİ KORUMA KURALLARI
Siber rizikoların en aza indirilmesinde, özellikle kişisel verilerin korunmasına ilişkin mevzuat da önemli bir yer tutmaktadır. Avrupa Topluluğu, 2016 yılında bu konuda yeni bir tüzük benimsemiştir ve 2 sene sonra yürürlüğe girecektir. Bu yeni düzenlemenin önemli noktalarından biri de yalnızca AB sınırları içinde uygulanacak bir düzenleme olmaması; tersine AB’ye dönük mal veya hizmet satmayı öneren yabancı kişi ve firmaların da bunun kapsamına dahil bulunmasıdır.

Yorum yazın