Teknoloji Risklerinin Azaltılması İçin Bir Yöntem: Siber Güvenlik Sigortası ve Hukuki Yönü
Bu yazıda siber risk sigortasının tanımı ve niteliğine ilişkin hususlar açıklanmaktadır.
Siber riskler, devletler, kurumlar ve bireyler için gün geçtikçe önem kazanan bir konudur. Ülkemizde siber güvenlik, reel sektör tarafından 2000’ler sonrasında yaşanan dönemde daha fazla odaklan bir kavram olarak, günümüz belirleyici rekabet unsurlarının başında yer almaktadır. 2021 yılında dünya genelinde yapılan araştırmalar göstermiştir ki, siber güvenlik %40 oranla dünyada ilk on risk arasında 3. sırada yer almaktadır.
Gelişmekte olan teknoloji ve internet unsurları hızla değişen alanlardır ve bu sebeple beraberlerinde getirdikleri risklerin de değişken olması kaçınılmazdır. Yönetilemeyen riskler kurumlar için farklı iş alanlarındaki tehlikelere işaret etmektedir. İnternet risklerini yönetmek hususunda yeterli etkinliği gösteremeyen kurumlar yeterli rekabet gücüne ulaşmak konusunda da geride kalacaklardır. Bu bağlamda kurumların siber riskleri yönetmeleri gereksinimi konusunda farkındalık seviyeleri artan bir trend göstermektedir.
Siber güvenliğe ilişkin kurumsal düzeyde farkındalığın sağlanması ve güvenlik yatırımları büyük ölçüde siber saldırının yaşanması ve regülasyonlarla tetiklenmektedir. Kurumların siber riskleri görmezden gelmesi ve buna bağlı olarak siber güvenlik gereksinimlerine ilişkin aksiyonları almamaları, siber saldırı tecrübesi yaşamamış, hayati iş fonksiyonlarının yavaşlamasına hatta durmasına sebebiyet verebilecek bir vaka tecrübe etmemiş olmasından kaynaklanmaktadır.
Dijital alanda artan riskler, teknoloji ve hukuk yaklaşımlarındaki değişiklikler sebebiyle ortaya çıkmakta ve gelecekte gerçek hasar taleplerine dönüşmesi beklenmektedir. Bu riskler yeni ve öngörülemeyen durumlar olabileceği gibi daha önceden bilinen risklerin çeşitli sebeplerle değişiklik göstermesi olabilir. Hasar talebine neden olması beklenmeyen olguların yeni hukuki düzenlemelerin ortaya çıkması ile hasar taleplerine konu olması bu sebeptendir.
Siber ortamlar dinamik yapıları gereği beklenmedik durumların gerçekleşebileceği risk yüzdeliği yüksek ve çeşitli saldırılara maruz kalabilecek yapıdadır. Bilgi teknolojileri sistemlerinin; fiziksel güvenlikten haberleşme güvenliğine, yayınım güvenliğinden bilgisayar güvenliğine, ağ güvenliğinden bilgi güvenliğine, cihaz güvenliğinden sistem güvenliğine, yazılım güvenliğinden donanım güvenliğine, bulut ortamlarının güvenliğinden siber güvenliğe kadar birçok tedbirin alınması gerektiği bilinmeli ve korunacak olan siber varlıkların sınıfına, ortamına veya değerlerine göre gerekli güvenlik seviyeleri belirlenmeli ve koruma sağlanmalıdır.
Siber saldırı riski arttıkça, bununla ilgili hukuki yükümlülükler ve zarar maliyeti de yükselmektedir. Düzenleyici yaptırımlar ve tazminat, artan karmaşayla birleşince, işletmelerin elektronik ağlarını, varlıklarını ve verilerini yeterli düzeyde güvence altına alamaması, gizlilik yasalarına uygun olarak verileri kullanamaması ve başaramaması önemli bir finansal risk oluşturmaktadır.
Siber riskler, işletmelerin, esneklik ve süreklilik planlamaları açısından dikkate almaları gereken en önemli unsurlardan biridir. Siber risklerin ölçülmesi, yönetilmesi ve önlenmesi adımları belirgin yatırımlar gerektirmektedir. Bunların başında altyapı, organizasyon ve insan kaynakları gelmektedir. Dijital dönüşümün hızlanması ile kurumların her güvenlik katmanında yaşanabilecek siber riskleri iş operasyonları ile konsolide ederek değerlendirmeleri ve uçtan uca güvenliği tehdit eden her türlü unsur için gereken önlemleri almaları gereksinimi önem kazanmıştır.
Sigortacılık Sektöründe Siber Risk Sigortası ve Hukuki Dayanağı
Siber Risk Sigortasının Tanımı ve Niteliği
Sigorta kavramı en basit anlamıyla risklerin transfer edilmesidir. Sigorta, belirlenmiş risklerin azaltılması ile ilgili mümkün olan tüm aksiyonlar alındıktan sonra kurumların ya da bireylerin emniyetini tam anlamıyla sağlama almak için yapılan bir işlemdir. Siber risk sigortası, 2000’lerin başından beri İngiltere’de bulunan büyük sigorta borsası Lloyd’s reasürörleri tarafından üretilmiştir, son dönemde çok daha ilgi duyulan ve nispeten yeni sayılabilecek bir sigorta ürünüdür.
Siber risk sigortası, siber saldırılar ve dijital riskler nedeniyle oluşacak veri koruma hasarları, bilişim sistemleri hasarları, iş kayıpları, finansal zararlar, fidye masrafları, kişisel veri ihlalinden doğan tazminat sorumlulukları, siber saldırı nedeniyle oluşan itibar zararları, iş sürekliliğinin sağlanamaması, arz-talep dengesinin bozulması ve sair başa teminatları içinde barındıran bir sigorta ürünüdür.
Siber risk sigortasının gelişim serüvenine bakacak olursak, Siber risk sigortası ürünü ilk olarak 1990’lı yılların sonunda Amerika Birleşik Devletleri’nde ortaya çıkmış ve 2000’li yılların başında da Avrupa’da siber risk sigorta teminatları sağlanmaya başlanmıştır. Türkiye’de ise ilk kez 2010 yılında siber risk sigortalarının bir ihtiyaç olduğu kanaati ortaya çıkmıştır. Türkiye bu sigorta talebi karşısında ilk zamanlarda teminatı yurtdışı piyasalardan sağlarken, 2012 yılı sonrası bazı küresel firmaların Türkiye ofisleri bu teminatı sunmaya başlamıştır. Böylelikle Türkiye’deki sigorta şirketleri 2012 yılından itibaren, yurt içinde teminat sunmaya başlamıştır.
Türkiye’de siber risk kavramı, yalnızca “veri kaybı” olayları ile sınırlı olduğunu düşünülürken, zamanla gerçekleşen zararlar neticesinde siber risklerin ve sigorta teminatlarının çok daha kapsamlı olması gerektiği anlaşılmıştır. Saldırıların artması ve farkındalığın yükselmesi ile birçok şirket bu konu doğrultusunda çalışmalarını hızlandırmıştır. Bu çalışmaların ilk adımı olarak şartname ve teminatlarda genişletmeler yapmışlardır. Siber risk sigortasını diğer klasik sigortalardan ayıran en önemli özellik verinin silinmesi kaybolması ya da çalınması değildir. Çünkü siber risk sigortasında zarar görecek veriler sigortalanmaz ve verilerin maddi bir değeri yoktur. Sigortalanan verinin kaybolmasından kaynaklı üçüncü şahısların talebi sigortalanır.
Siber risk sigortasını diğer sigortalardan farklı kılan bir diğer özellik ise, gerçekleşen riskin etki olarak kestirilebilmesinin güçlüğüdür. Bütün bu karmaşık ve zor belirlemelerden dolayı sigortacıların bu alandaki ürünlerini kolay bir şekilde yaygınlaştırmaları ve uygun fiyatlı poliçelerini müşterilerine sunmaları hiç de kolay değildir. Bu sebeple siber risk sigortasında belirlenmiş paket bir poliçe yoktur, her sigortalının talep ve ihtiyaçlarına göre ek teminat içeren poliçeler düzenlenmektedir.
Proaktif bir risk yönetimi yapısı bütünleşik ve güncel bir metodoloji kullanılarak risklerin önceliklendirilmesi ve aksiyonların takip edilmesi yoluyla gerçekleşir. Bunun için farklı yöntemler kullanılabilir, önemli olan yöntemin şirketin faaliyet alanına, kültürüne ve sektörüne uygun olmasıdır. Reaktif bir yaklaşımda bir olay yaşanması durumunda söz konusu olay çerçevesinde tespit edilen risklere yönelik aksiyon alınması ve uygulanması söz konusudur. Her iki durumda da şirketler aksiyon alamayacakları veya almalarının maliyetli olacağı riskleri siber risk sigortası yoluyla transfer etmeyi tercih edebilirler.
Siber riskler bakımından incelendiğinde, sigortalıyı doğrudan etkileyen, poliçe sahibinin her türlü kaybına sebep olacak riskler birinci şahıs riskleri olarak, poliçe sahibinin veri kaybından veya siber saldırılardan kaynaklı risklerde, müşterilere, devlet kurumlarına yani üçüncü şahıslara karşı yükümlülükleri üçüncü şahıs riskleri olarak tanımlanmaktadır. Siber risk sorumluluk poliçeleri, elektronik veri ve internet kullanımıyla ilişkili birçok riski kapsamaktadır.
Bu riskler:
• Fikir ve telif haklarının çalınması, ticari marka veya hizmet markası ihlalinin sigortalı tarafından çevrimiçi yayınlanmasından kaynaklanan marka sorumluluğu ihlali sonucu doğan zararlar,
• Kişisel verilerin yetkisiz kişilerin eline geçmesi sonucu oluşan ihlal cezaları,
• Karalama ve hakaret gibi fiillerden doğan sorumluluklar,
• Dijital ortam risklerinin gerçekleşmesi nedeni ile ortaya çıkan itibar kayıplarının telafisi için yapılması gerekli halkla ilişkiler ve tanıtım faaliyetleri gibi masraflar,
• Kişilik haklarını ihlal edici internet reklamları sonucu doğan tazminat yükümlülükleri,
• Siber saldırganlar tarafından kurum bilişim sistemlerinin ele geçirilmesi veya yetkisiz sistem girişi elde edilmesi sureti ile talep edilen fidye ödemeleri,
• Kurum çalışanların kötü niyetli olmayan hata, ihmal ve tedbirsizliklerinden veya kötü niyetli olarak kasten neden oldukları gizlilik ihlalleri nedeni ile oluşacak tazminat yükümlülükleri,
• Yaşanacak güvenlik ihlallerinden ötürü etkilenen mağdur üçüncü taraflara kanunların gerektirdiği bildirimlerle alakalı masraflar ve ticari kayıp yükümlülükleri,
• Yaşanan saldırılar neticesinde güvensiz hale gelen sistemler, şebekeler ve bilgisayar donanımlarına gelen zararlar,
• Kurum veri akışı ve bilişim sistemlerinde yaşanan iş durması ve kâr kaybı zararları,
• Siber riskin gerçekleşmesi neticesinde saldırının etkisi analiz etmek ve saldırıyı durdurmak için gerekli yasal, teknik ve adli hizmetlere ilişkin adli soruşturmalardan kaynaklanan maddi kayıplar,
• Hukuka aykırı durumlarda ortaya çıkan para cezaları,
• Sektörel denetimlerde, standartlara uygunsuz durumlardan kaynaklanan bulguların ortaya çıkması.
Siber risk sigortası pazarının gelişimi önündeki en büyük engel sigorta kullanıcısı ya da sağlayıcısının riskin farkındalığı konusunda kümülatif bilgiye sahip olmamaları şeklinde yorumlanabilmektedir. Bilgi eksikliği sigorta kullanıcısı için kullandığı siber dünyada karşılaşabileceği saldırı ve tehditleri öngörememeye sebep olmaktadır. Sigorta sağlayıcısı için ise riskin temini, teminat kapsamı ya da dışı haller, fiyatlandırma konularında emsal olarak kullanılacak bilginin az ya da hiç olmaması sebebiyle etkin süreç tamamlanamamaktadır. Bu durum tüm dünya ülkelerinde olduğu gibi Türkiye için de pazar gelişimi üzerinde en büyük engeldir.
Hukuki Yönüyle Siber Risk Sigortası
Siber risk sigortası hukuki açıdan bakıldığında farklı iki disiplinin koordinasyonu ile düzenlenmektedir. Bu bağlamda teknoloji uzmanlığı ve siber güvenlik değerlendirme niteliğinde bir yaklaşımla sigortacılık düzenlemeleri konsolide edilmektedir.
Türk hukukunda sigorta sözleşmeleri temel olarak Türk Ticaret Kanunu’nda (“TTK”) düzenlenmiştir. Buna göre zarar sigortaları, zarar gören tarafın sigorta ettiren veya üçüncü kişi olması ayrımına dayanarak (i) mal sigortaları ve (ii) sorumluluk sigortaları olmak üzere ikiye ana başlıkta incelenmektedir.
Henüz siber risk sigortası ile ilgili yayınlanmış bir düzenleme olmaması, uygulamada çeşitli belirsizlik durumları yaratmaktadır. Siber risk sigortası, Türk hukukunda TTK’ya ek olarak belirli sigorta türleri için özel düzenlemeler, genellikle tebliğler ile uyumlandırılmaktadır. Dolayısıyla Siber risk sigortası poliçeleri, sigortacı ve sigorta ettiren arasında sözleşme serbestisine dayanan bir sigorta sözleşmesi olarak gerçekleştirilir.
Siber risk sigortası, gerçekleştirilen poliçenin kapsamına bağlı olarak hem sigorta ettirenin kurum ya da kişinin sözleşme kurulurken sahip olduğu malvarlığını hem de üçüncü kişi niteliğinde ilgili tarafların uğradığı zararları kapsayabilir. Poliçe içeriğinde belirlenen sınırlar dahilinde belirlenen siber hasarlar uygulanacak mevzuat konu özelinde değerlendirilmektedir. Bu bağlamda Siber risk sigortası konusunda Türk hukukunda faklı hukuki dayanaklar doğrultusunda değişen değerlendirmeler olabilmektedir.
Siber risklerin teknoloji ile birlikte çok hızlı gelişen riskler olduğu yaklaşımı Dünya Ekonomik Forumu’nun (World Economic Forum) “Küresel Riskler Raporu’nun 2019 baskısına göre, dünyada meydana gelme olasılığı en yüksek olarak belirledikleri ilk beş riskten ikisi siber saldırılar ve veri dolandırıcılığı olarak gösterilmiştir. Kişisel veri koruma ihlal cezaları söz konusu olduğunda, veri dolandırıcılığı ya da siber fidye amaçlı para cezalarının sigortalanabilir olduğu son derece şüpheli olarak görülmektedir. İyi niyetli veya ihmalkar davranışlar için para cezalarının sigortalanabilirliği ile ilgili olarak, duruma göre davranışa atıfta bulunarak sigortalanabilirliği belirlemenin doğru olup olmadığı da dahil olmak üzere birçok tartışma sürmektedir.
TTK’nın 1404. Maddesi uyarınca “- (1) Sigorta ettirenin veya sigortalının, kanunun emredici hükümlerine, ahlâka, kamu düzenine, kişilik haklarına aykırı bir fiilinden doğabilecek bir zararını teminat altına almak amacıyla sigorta yapılamaz.” olarak bildirilmiştir. Bu bağlamda kanun maddesine uygun olmayan her türlü sigorta hukuken geçersiz olacaktır.
Siber risk sigortası kapsamında siber saldırı boyutunun ve hedef kitle kapsamının doğru tayin edilmesi önemlidir. Bir siber saldırı türü olan siber terörizm dünyada birçok örneği bulunan devletler arası bir mesele olarak değerlendirilmektedir. Siber terörizm bir tanım ya da atıf olarak Türk mevzuatında bulunan bir ifade değildir. Bu nedenle siber terörizm konusunda bir teminat muafiyeti, son derece önemli bir gri alan yaratabilir. Siber terörizm için terörizmi çok geniş bir ifade ile tanımlayan Terörle Mücadele Yasası referans olmalıdır. Pandemi sürecinde iş sürekliliğinin bir ekonomi, ekonominin de bir devlet meselesi olduğu açıkça görülmüştür. Bu bağlamda ülkemizin ekonomik akıbetini etkileyecek herhangi bir siber terör girişimi ulusal bir mesele olarak hukuki boyutta değerlendirilmelidir.
Borçlar Kanunu’nun 52. maddesi uyarınca sorumluluk sigortalarında sigorta ettirenin zararın doğmasında ya da artmasında etkili olması yahut tazminat yükümlüsünün durumunu ağırlaştırması durumu var ise, bu durumda sigorta ettirenin kusuru oranında tazminatta indirim yapılır. Dolayısıyla Siber risk sigortasının varlığı, muhtemel siber saldırı esnasında sigorta ettirene doğrudan koruma sağlamayabilir. Sigorta şirketinin poliçeyi oluşturması kapsamında sigorta ettirenin gerekli siber güvenlik önlemlerini sağladığına dair teminat talep etmesi olasıdır. Uluslararası bilgi güvenliği ve siber güvenlik standartlarının uygulanması ya da belirlenmiş azami kontrollerin denetiminin gerçekleştirilmesi sigorta şirketi tarafından şart koşulabilir.
Aşağıda siber risk sigortası kapsamında değerlendirilmesi gereken digger yasal düzenlemeler listelenmiştir:
• T.C. Anayasası 20. Madde: A. Özel Hayatın Gizliliği (Türkiye Cumhuriyeti Anayasası, Kanun Numarası: 2709, Kabul Tarihi: 7.11.1982, RG 9.11.1982/17863 (Mükerrer)); (Değişik fıkra: 3/10/2001–4709/5 md.) ve (Ek fıkra: 7/5/2010–5982/2 md.)
Mahremiyet/özel hayatın gizliliği hukuksal çıkarı kapsamında üzerinde durulması gereken önemli hususlardan biri, “kişisel verilerin korunması hakkı”dır.
• Türk Medeni Kanunu (“TMK”) (Tertip 5, 11.07.2013) B. Kişiliğin korunması. II. Saldırıya karşı (Türk Medeni Kanunu, Kanun Numarası: 4721, Kabul Tarihi: 22.11.2001, RG 8.12.2001/24607); 1. İlke. Madde 24.
Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.
• Türk Borçlar Kanunu (Kanun No: 6098) IV. İşçinin kişiliğinin korunması (Türk Borçlar Kanunu, Kanun Numarası: 5490, Kabul Tarihi: 11.1.2011, RG 4.2.2011/27836); Madde 417. İş Kanunu (Tertip 4, 11.09.2014) İşçi özlük dosyası (İş Kanunu, Kanun Numarası: 4857, Kabul Tarihi: 22.5.2003, RG 10.6.2003/ 25134); Madde 75., Madde 93.
• Türk Ceza Kanunu (“TCK”)(Tertip 5, 04.04.2015) (Türk Ceza Kanunu, Kanun Numarası: 5237, Kabul Tarihi: 26.9.2004, RG 12.10.2004/25611); Haberleşmenin gizliliğini ihlali; Madde 132., Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması; Madde 133., Özel hayatın gizliliğini ihlali; Madde 134., Kişisel verilerin kaydedilmesi; Madde 135., Verileri hukuka aykırı olarak verme veya ele geçirme; Madde 136., Verileri yok etmeme; Madde 138., Şikâyet; Madde 139., Tüzel kişiler hakkında güvenlik tedbiri uygulanması; Madde140.
• Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik (4 Aralık 2020, Sayı: 31324); İlkeler, Madde 5., Güvenlik, Madde 6., Riskin ve kişisel veri ihlalinin bildirilmesi; Madde 7. Açık rıza alma şartları; Madde 8., Trafik ve konum verilerine ilişkin aydınlatma yükümlülüğü; Madde 9.
• Tıbbi Deontoloji Tüzüğü (13 Ocak 1960) (Tıbbi Deontoloji Nizamnamesi, Kanun Numarası: 4/12578, Kabul Tarihi: 13.1.1960, RG 19.2.1960/10436); Madde 4.
• Hasta Hakları Yönetmeliği (1 Ağustos 1998, Sayı: 23420) Bilgilerin gizli tutulması; Madde 23.
• Kişisel Verilerin Korunması Kanunu (“KVKK”)(7 Nisan 2016, Sayı: 6698, Kabul Tarihi: 24.3.2016, RG 7.4.2016/ 29677);
Siber risk sigortası teminatları çerçevesinde KVK Kanunu’nun tamamı dikkate alınmalıdır. Siber tehditler ve saldırılar ile kişisel bilgiler ya da kurum bilgileri usulsüz şekilde ele geçirilerek bu veriler üzerinden kişilere şantaj yapılması, verilerin satılması, sızdırılması gibi eylemlerle haksız gelir elde edilebilmektedir. Bu durum temel hak ve özgürlükleri tehdit edebilecek unsurlar barındırmaktadır. Çünkü bahsi geçen verilerin kişiye özel olması kişinin onayı olmadan üçüncü kişilerle paylaşımının yapılması kişisel temel hak ve özgürlüklerin de kısıtlanabileceği anlamına gelmektedir. Bu şekilde maruz kalınan bir siber saldırıda kişiyi maddi ve manevi koruma altına alabilecek tek korunma yöntemi haklarının siber risk sigortası ile teminat altına alınmasıdır.
Siber Risk Sigortası Teminat Talepleri
Siber risk sigortası, kurumları ve bireysel kullanıcıları dijital oluşum süreçlerde ortaya çıkabilecek, internet tabanlı ya da bilgi teknolojileri altyapısı ve faaliyetleri ile ilgili risklerden korumak için kullanılan bir önlem ürünüdür. Siber risk sigortası teminatına sahip kurumlar, yaşanan iş kesintilerinden ve siber saldırılardan kaynaklanan mali kayıplarını tazmin etmek istemektedirler. Siber uzayda gerçekleşen her türlü faaliyetin etkisinin, fiziki hasarların aksine, hesaplanması çok daha karmaşık bir formdadır.
Teminat Kapsamı
Bireysel ve kurumsal hayatta karşılaşılan siber tehditler bireylere, sektörlere, hedef kitleye, kurum büyüklüğüne göre değişkenlik göstermektedir. Bu yüzden alınması gereken önlemlerin kişiye özel ya da kuruma özel olması gerekmektedir.
Siber risk sigortası poliçelerince arz edilen teminat kapsamı genellikle şunları içermektedir:
• Veri tahribatı, gaspı, hırsızlığı, bilişim korsanlığı ve hizmet aksattırma saldırıları gibi kayıplara karşı birinci taraf teminat (first-party coverage).
• Hatalar ve ihmal neticesinde verinin korunamaması veya karalama ya da itibar kaybı (defamation) gibi başkalarına karşı kayıplar için firmaları tazmin eden yükümlülük teminatı (liability coverage)
• Düzenli güvenlik denetimleri, siber olay sonrası halkla ilişkiler, soruşturma masrafları ve gerçekleşen bilişim suçu ile ilgili ödül koyma fonları.
Birinci taraf teminat kapsamı ve bu kapsam ile ilgili olabilecek maliyetler genelde şunları içerir:
• Adli bilişim soruşturması,
• Bilgisayar ve veri kaybının yerine koyulması ve yeniden kurulması,
• İş kesintisi ve ilave faaliyetler,
• Halkla ilişkiler,
• Bildirim, çağrı merkezi ve kredi izleme,
• Elektronik hırsızlık ve dolandırıcılık koruması,
• Siber gasp/ siber fidye.
İş kesintisi nedeniyle oluşabilecek tazminat talepleri:
Siber risk sigortası teminatlarının kapsamının anlaşılarak mevcut koşullarda uygulanabilirliğinin değerlendirilmesi ilk adım olacaktır. Teminat kapsamının uygun olması halinde iş kesintisinin hangi operasyonları kapsadığı tespit edilerek, oluşan zararın veya kar kaybının azaltılması/önlenmesi yönünde alınan aksiyonların belirlenmesi beklenmektedir. Özellikle bu aşamada kurumların teknik değerlendirmeleri hem teknoloji perspektifini doğru kullanması hem de normative etkide olan sektörel yasal düzenlemeleri göz önünde bulundurması belirleyici olacaktır. Kurumların pandemi kaynaklı Siber risk sigortası tazminat taleplerinin mali kayıtlar, bütçeler ve sektör trendleri ışığında hazırlanması ve bu hazırlık aşamasında hesaplamalar için alternatif metotların etkilerinin ve sonuçlarının değerlendirilmesi oldukça önemlidir.
Teminat dışı haller
Geleneksel sigorta türlerinde olduğu gibi siber risk sigortasının da istisna olarak nitelendirirken teminat dışı uygulamaları bulunmaktadır. Bu kapsamda istisnalar sigorta uygulamasının gerçekleştiği ülkenin piyasasına, pazarın durumuna, ülke şartlarına ve yaşanmakta olan pandemi süreci gibi olağanüstü durumlara göre değişkenlik göstermektedir.
Teminat dışı haller:
• Rekabet; rekabet ve ticaretin engellenmesi, haksız rekabete ilişkin yasaların ihlali teminat dışı haller kapsamındadır.
• Bedensel yaralanma ve maddi varlıkların hasarı; fiziksel yaralanma, hastalık, ölüm ve/veya veriler dışındaki maddi varlıkların kaybı gibi durumlar teminat dışı hal olarak nitelendirilmiştir.
• Sözleşme sorumluluğu; sigortalının bir sözleşme sonucunda sorumlu olduğu herhangi bir garanti, teminat veya sorumluluk istisnadır.
• Siber terörizm; bilgisayarlar aracılığıyla işlenmiş, kamunun kullanmakta olduğu iletişim, ulaşım, enerji tedariki, güvenlik sistemlerinin şiddete, ölüme, imhaya yol açacak şekilde bozulması gibi durumlarda hükümet politikalarını değiştirmeye zorlayan karışıklık ve terör gibi durumlar istisnai hallere dahil edilmiştir.
• İşverenin yükümlülükleri; çalışan emeklilik planları, çalışan istihdam planları, çalışan kâr paylaşım, sosyal güvenlik hakları, işyerinde sağlığı ve güvenliği koruyan sorumluluklar vb. gibi işverenin sorumlu olduğu durumlar istisnai haller dahilindedir.
• İcra bildirimi; icra bildirimince tanınan süreye riayet edilmemesi gibi durumlar istisnai durumlar dahilinde değerlendirilmiştir.
• Altyapı veya güvenlik arızası; mekanizma arızası, voltaj dalgalanmaları, elektrik kesintileri, uydu sistem arızaları, bilgisayar sistemi güvenliğinin sağlanamaması teminat dışıdır.
• Fikri mülkiyet; patentler ve ticari sırlar gibi fikri mülkiyet dahilinde bulunan hakların ihlalinden ileri gelen hususlar teminat dışı hallerdir.
• Kasıtlı eylem; sigortalı aleyhine talepte bulunulmasına yol açacak kasıtlı, planlı eylemler istisna edilmiştir.
• Suç teşkil eden eylemler; mahkeme kararına ya da sigortalı itirafına dayanılarak suç ve dolandırıcılık teşkil eden eylemlerden kaynaklanan durumlar istisna edilmiştir.
• Menkul kıymet talebi; menkul kıymetlerin mülkiyeti, alımı, satımı ile bağlantılı bir yasanın ihlalinden kaynaklı haller istisna edilmiştir.
• Terörizm/savaş; herhangi bir savaş, kargaşalık ve terörizmden kaynaklı haller istisna edilmiştir.
• Ticari zarar; elektronik fon transferi veya işlemin parasal değerinin hesaplanmasında, hesaplar arasındaki transfer sırasında vb. gibi durumlarda sigortalının uğrayacağı ticari kayıplar istisna edilmiştir.
• Veri güvenliği sorumluğu; yöneticilerin veya sorumlu kişilerin şirket verilerinin sızdırılmasında kötü niyetli ve kasıtlı hareketlerinin bulunması durumlarında ortaya çıkan zararlar teminat dışı hal kapsamındadır.
Sonuç olarak;
Ülkemizde ve dünyada dijital ortamlarda veri güvenliğinin ve siber dayanıklılığın sağlanamaması vakaları müşteri kaybı, itibar kaybı ve finansal kayıplar başta olmak üzere kurumlar üzerinde büyük bir etki yaratmıştır. Siber saldırı risklerinin en aza indirilmesi, şirketlerin siber güvenlik dirençlerinin artırılması ve siber risk sigortası ürünlerinin kullanımı için şirketlerin izlemesi gereken adımları şöyle tanımlanabilir.
• Kurumlar, iş modellerinden ve sektörel değişkenlerden kaynaklanan kurumsal risklerin, teknoloji altyapılarının siber dayanıklılığını ve dijital dönüşüm risklerini iyi tanımalı ve konsolide etmelidir. Kurumların kendilerine özgü risk profillerini iyi tanımaları ve bu profil bilgilerini Siber risk sigortası hizmeti kapsamında paylaşabilmeleri, sigorta hizmeti sağlayan tarafların siber riskleri daha iyi fiyatlandırabilmelerini ve azaltabilmelerini sağlayacaktır.
• Kurumlar mevcut dijital olgunluk seviyelerini sektörel, ulusal ve küresel olarak belirlemeli ve olası siber ve dijital risklerini öngörümlemelidir. Siber riskleri azaltmak için değişen teknolojik gündeme ayak uydurmak şarttır. Dijital teknolojinin hızla gelişmesi, siber suçlular için mevcut teknikleri adapte ederek veya yeni zayıf noktalardan istifade ederek tamamen yeni taktikleri denemek için verimli bir zemin sunmuştur. Etkin bir şekilde siber ve dijital risk yönetimini sağlayan ve sürekli takibini gerçekleştiren kurumlar pandemi sürecinde ve sonrasında karşı karşıya kalabilecekleri riskleri daha açık bir şekilde Siber risk sigortası hizmeti alacakları firmalara iletebilirler ve kurumların karşılaşacağı siber tehditlere karşı daha iyi önlemler alabilir.
• Siber risk sigortası kapsamında siber riskler arasında öne çıkan unsurlardan biri insan faktörüdür. Ağ erişim hakları ve sosyal mühendislik gibi konularda ortaya çıkan güvenlik açıkları Siber risk sigortası hizmeti sunan tüm sigortacılar için önemli bir husustur. Bu yüzden siber güvenlik farkındalığı kültürü sergileyen ve doğru siber güvenlik teknolojilerine sahip kurumlar daha düşük sigorta primlerinden yararlanabilir.
• Kurumların mevcut organizasyon şemalarında siber risklerin yönetimini sağlayacak çalışan ya da çalışanlar bulunmuyorsa, bu konuda uzman organizasyonlardan destek alınmalıdır. Tanımlanmayan siber risklerin yönetimi ve buna paralel olarak siber risk sigortası ürünleri ile azaltılması mümkün değildir.
• Kurumlar mükemmel güvenlik modelinin olmadığı ve sıfır siber risk ya da sıfır dijital risk gibi hedeflerin bir gerçeklik temeli bulundurmadığının bilincinde olmalıdır. Kurumların amacı siber saldırıların gerçekleşme riskini azaltmak, olumsuz sonuçları en aza indirmek ve bir ihlalin ortaya çıkması durumunda daha hızlı iyileşme sağlamak için birtakım önlemler almak olmalıdır.
• Başta Kişisel Verilerin Korunması Kanunu olmak üzere veri güvenliği gereksinimlerinin bildirildiği farklı sektörlere yönelik hazırlanan her tür hukuki düzenlemeler ile çalışanların, müşterilerin ve ilgili üçüncü tarafların kurumlara karşı hak talebinde bulunma endişesi, kurumların Siber risk sigortası edinmelerindeki başka temel gerekçelerden biridir. KVK Kanunu üçüncü taraf kişilerin verilerini korumakta ve bu verilerin kaybı için kaybeden kuruluşu sorumlu tutmakta, kaybı halinde ciddi cezalar verilmektedir. Üçüncü şahıs sigortaları veri ihlalleri, gizli ve özel bilgilerin açığa çıkması, veri ihlalleri ile ilgili savunma masrafları gibi teminatları içermemektedir.
Yaşanan dijital dönüşüm etkisi ile siber risk sigortası ürünlerinin tercih edilmesi hususundaki eğilim artmıştır. Buna karşılık siber risk sigortası ürünlerinde temel gerekçelerin siber risklerin tayin edilmesi ve doğru poliçelerin gerçekçi teminat talepleri çerçevesinde hazırlanması, bu kapsamda mevcut belirsizlikler sebebi ile iş çevrelerinde tam güven ortamını henüz sağlamamaktadır. Bu noktada özellikle kurumlara düşen görev yaşanan saldırıların eksiksiz ve doğru şekilde bilgi paylaşımının yapılması ile riskin karmaşıklığının ortadan kaldırılması, bu sayede siber risk ve güvenlik hakkında etkin bilgi birikiminin sağlanmasıyla primlerin doğru şekilde hesaplanabilmesidir.
Yararlanılan Kaynaklar
Allianz Global Corporate & Specialty (AGCS), ‘Küresel İş Dünyası, Covid-19 Üçlüsü Riski İle Karşı Karşıya, İş Kesintisi, Salgın ve Siber Olaylar’ (Allianz, 17 Şubat 2021) <https://www.allianz.com.tr/tr_TR/faaliyetlerimiz/bizden-haberler/allianz-risk-barometresi-2021.html>
Marsh Türkiye ve TÜSİAD, ‘2020 Türkiye Siber Risk Algı Araştırması’ (Marsh, 7 Temmuz 2020) <https://www.marsh.com/tr/tr/insights/research-briefings/2020-turkey-cyber-risk-perception-survey.html>
Prudential Regulation Authority, ‘Cyber insurance underwriting risk: Consultation Paper CP39/16, November’ (Bank of England, 2016) <www.bankofengland.co.uk/pra/Documents/publications/cp/2016/cp3916.pdf>
Wagner W. C., ‘Cyber Insurance: What do Cyber Insurance Policies Cover and Cost?’ (Privacy & Data Security Insight, 9 Nisan 2015) https://www.privacyanddatasecurityinsight.com/2015/04/cyber-insurance-what-do-cyber-insurance-policies-cover-and-cost/
