Türkiye’de yükselen risk: Siber saldırılar
2025 yılında küresel siber risk sigortası pazarında prim üretiminin 20 milyar doların üstüne çıkması bekleniyor. Allianz tarafından yayınlanan rapora göre, günümüzde bu branştaki prim üretimi 2 milyar dolar civarında. Bir ‘iş riski’ olarak algılanması gereken siber riskler geniş tanımıyla, Bilgi Teknolojileri (BT) riskiyle eş anlamlı. Yani bir kurum bünyesinde bilgi teknolojilerinin kullanımı, sahipliği, işletilmesi, iş süreçlerine dahil olması, etkisi ve uyarlanmasıyla ilişkili işletme risklerini içerir.
Sigortacılıkta siber risk, bilgisayar kullanımı veya aracılığıyla gerçekleşen finansal zararların tümünü kapsıyor. Bu riskler sürpriz maliyetlere ve iş durmalarına sebep oluyor. Gizli bilgiler açığa çıkabiliyor ve kurumlar üçüncü taraflarca sorumlu tutulabilir veya kurumların bilgisayar sistemleri hatalı çalışabilir. Maruz kalınabilecek kayıplar sistem arızaları, personel hataları veya bilgisayar virüsleri, ‘hacker’ saldırıları, DDoS atakları gibi suç niteliğinde olaylardan kaynaklanabiliyor.
AIG Sigorta Finansal Sigortalar Müdürü Demet Karakullukçu: Siber riskler günümüzde giderek artan riskler arasında
Demet Karakullukçu, mobil cihazlarında, bilgisayarlarında, sunucularında veya internette elektronik veri kullanan herhangi bir şirketin siber risklerle karşı karşıya olduğunu belirtti. Karakullukçu, risklerin, bir dizüstü bilgisayar üzerinde bilgi kaybından, internet bilişiminin yarattığı tehditlere kadar geniş bir yelpaze oluşturduğunu söyledi.
Teknolojiyi kullanan, bilişim sistemleri vasıtasıyla veriyle iş yapan her kurumun siber risklerle karşı karşıya olduğunu dile getiren Karakullukçu, “Bankacılık, sigorta, finans kurumları, eğitim kurumları, sağlık kurumları, ulaşım, iletişim, perakende, otel, seyahat ve eğlence sektörü riskli grupta değerlendirilebilir. 2014 verilerine göre dünya üzerinde yaklaşık 43 milyon küresel güvenlik olayı gerçekleştiği söyleniyor. Bu bir günde 100 binin üzerinde saldırı demek. Birçok şirket, siber riskler konusunda endişeli olmasına rağmen bu risklere karşı hazırlıklı değil. Şirketler veri güvenliğini gündemlerine almalı, bir siber güvenlik eylem planı oluşturmalı, şirket içi veri güvenliği ve şüpheli elektronik posta bilgilendirme eğitimleri ile çalışan farkındalığını artırmalıdır.”
‘HEM GÜVEN HEM GELİR KAYBINA YOL AÇIYOR’
Veri kayıpları, düzenleyici kurumlar tarafından idari para cezası uygulanmasına neden olabilirken, bu tür saldırılar aynı zamanda sunucuların kapatılmasına, güven ve gelir kaybına neden olabiliyor.
Sigorta poliçesinin verilerin ihlaliyle bağlantılı zararları ve şirketlere veri ihlaliyle açılabilecek davalarda savunma masraflarını karşıladığını söyleyen Karakullukçu, bir sızıntı ya da ihlal sonrasında verilerin geri yüklenmesi veya yeniden oluşturulmasıyla ilgili maliyetlerin de teminat içerisinde olduğunu söyledi ve şöyle devam etti: “Korsanların hizmet engelleme saldırıları, şirket çalışanı fiilleri nedeniyle verilerin ifşa olması için de teminat sunulur. Şirketin, ihlalden sonra gerçekleşebilecek bir soruşturmaya hazırlıklı olması ve profesyonel olarak temsil edilmesi ile ilgili maliyetler de teminat kapsamında. İstenirse sistem arızası ya da bulut hizmetlerine erişimin engellenmesiyle ilgili genişletilmiş teminatlarla birlikte güvenlik aksamasının sebep olduğu iş durmasını ve bir şantajın sona erdirilmesi için yapılacak ödemeleri de teminat altına alabilir.”
Marsh Risk Yönetim Uygulamaları ve Özel Riskler’den Sorumlu Genel Müdür Yardımcısı Tarık Serpil: Türkiye, siber saldırı sıralamasında ilk 10’da
Ülkemizde son zamanlarda iletişim altyapısına yönelik ciddi saldırıların gerçekleştiğini söyleyen Tarık Serpil, 2015 yılının Aralık ayında ‘.tr’ uzantılı web sitelerine yapılan saldırıların pek çok web sitesine girişi engellediğini hatırlattı ve konuyla ilgili sözlerine şöyle devam etti:
“Türkiye’ye yapılan saldırıların sıklığı dönemsel olarak artmakta. Türkiye, siber saldırı sıralamasında ilk 10 ülke arasında bulunmaktadır. Bu durumdan en çok etkilenen sektörlerden biri olan bankacılık sektöründeki farkındalık yüksek olmakla beraber bankacılık sektörü siber risk değerlendirme ve önleme konusunda önemli yatırımlar yapmaya başlamıştır. Telekomünikasyon ve enerji sektörlerinde de bilgi güvenliği ve siber güvenlik konusunda aksiyonlar alınmaktadır.”
Tarık Serpil, Türkiye’de siber güvenlik konusunda hâlâ pek çok belirsizlik bulunduğunu dile getirdi. Kurumların bu konuda farkındalığının artırılması gerektiğini söyleyen Serpil, böylelikle yaşanan kayıpların azaltılabileceğini belirtti ve şunları ekledi:
“Öncelikle kurumların maruz kalabileceği siber risklerin tespit edilmesi ve önceliklendirilmesi gerekmektedir. Sonraki aşamada risklerin etkilerinin azaltılması için alınacak önlemlerin devreye alınması gerekmektedir. Bu süreçte üst yönetimin ilgisi ve desteği önem arz etmektedir. Şirket içerisinde siber risklere ilişkin bilincin artırılması için bu riskin yalnızca Bilgi Teknolojileri departmanının değil tüm birimlerin sorumluluğu olduğuna yönelik bilgilendirme yapılması ve bu yaklaşımın günlük operasyonlara yaygınlaştırılması önemlidir.”
VERİLEN TEMİNATLAR
Siber saldırı sonrası sigortalı şirketin direkt uğrayabileceği zararı, üçüncü şahıslar tarafından gelebilecek talepleri ve şirketin uğrayacağı kâr kaybını
konu alıyor. Serpil, şirketlerin direkt uğrayacağı zarara ilişkin teminat alt başlıklarını ise şöyle sıraladı:
* Kaybolan/çalınan datanın yerine konma masrafları, Bilgi Teknolojileri adli inceleme masrafları, müşterilere bildirim yapılmasına ilişkin masraflar, çağrı merkezi destek birimi kurulmasına ilişkin masraflar.
lİhmal sonucu virüs bulaşması, sisteme erişimin engellenmesinden kaynaklanan sorumluluk, DDoS ataklarından doğan sorumluluk veya üçüncü şahıs dijital varlıkların tahrip edilmesi kaynaklı sorumluluklar.
* Kâr kaybı teminatıysa sigortalı şirkete düzenlenen atak sonucu şirketin belirli bir süre iş yapamaması durumunda tetikleniyor. Şirkette yaşanan iş durması da poliçe şartları çerçevesinde teminat altına alınıyor.