DİJİTAL DÖNÜŞÜM RİSKLERİNİN AZALTILMASI İÇİN SİBER RİSK SİGORTASI
Dijital alanda artan riskler, teknoloji ve hukuk yaklaşımlarındaki değişiklikler sebebiyle ortaya çıkmakta ve gelecekte gerçek hasar taleplerine dönüşmesi beklenmektedir. Bu riskler yeni ve öngörülemeyen durumlar olabileceği gibi daha önceden bilinen risklerin çeşitli sebeplerle değişiklik göstermesi de olabilir. Hasar talebine neden olması beklenmeyen olguların yeni hukuki düzenlemelerin ortaya çıkması ile hasar taleplerine konu olması bu sebeptendir. Siber ortamlar dinamik yapıları gereği beklenmedik durumların gerçekleşebileceği risk yüzdeliği yüksek ve çeşitli saldırılara maruz kalabilecek yapıdadır. Bilgi teknolojileri sistemlerinin; fiziksel güvenlikten haberleşme güvenliğine, yayınım güvenliğinden bilgisayar güvenliğine, ağ güvenliğinden bilgi güvenliğine, cihaz güvenliğinden sistem güvenliğine, yazılım güvenliğinden donanım güvenliğine, bulut ortamlarının güvenliğinden siber güvenliğe kadar birçok tedbirin alınması gerektiği bilinmeli ve korunacak olan siber varlıkların sınıfına, ortamına veya değerlerine göre gerekli güvenlik seviyeleri belirlenmeli ve koruma sağlanmalıdır.
Siber saldırı riski arttıkça, bununla ilgili hukuki yükümlülükler ve zarar maliyeti de yükselmektedir. Düzenleyici yaptırımlar ve tazminat, artan karmaşayla birleştiğinde işletmelerin elektronik ağlarını, varlıklarını ve verilerini yeterli düzeyde güvence altına alamaması, kişisel verileri hukuka uygun olarak işlememesi gibi durumlar önemli bir finansal risk oluşturmaktadır. Siber riskler, işletmelerin, esneklik ve süreklilik planlamaları açısından dikkate almaları gereken en önemli unsurlardan biridir. Siber risklerin ölçülmesi, yönetilmesi ve önlenmesi adımları belirgin yatırımlar gerektirmektedir. Bunların başında altyapı, organizasyon ve insan kaynakları gelmektedir. Dijital dönüşümün hızlanması ile kurumların her güvenlik katmanında yaşanabilecek siber riskleri iş operasyonları ile konsolide ederek değerlendirmeleri ve uçtan uca güvenliği tehdit eden her türlü unsur için gereken önlemleri almaları gereksinimi önem kazanmıştır.
Sigorta kavramı en basit anlamıyla risklerin transfer edilmesidir. Sigorta, belirlenmiş risklerin azaltılması ile ilgili mümkün olan tüm aksiyonlar alındıktan sonra kurumların ya da bireylerin emniyetini tam anlamıyla sağlama almak için yapılan bir işlemdir. Siber risk sigortası, 2000’lerin başından beri İngiltere’de bulunan büyük sigorta borsası Lloyd’s reasürörleri tarafından üretilmiştir ve son dönemde çok daha ilgi duyulan ve nispeten yeni sayılabilecek bir sigorta ürünüdür.
Siber risk sigortası, siber saldırılar ve dijital riskler nedeniyle oluşacak veri koruma hasarları, bilişim sistemleri hasarları, iş kayıpları, finansal zararlar, fidye masrafları, kişisel veri ihlalinden doğan tazminat sorumlulukları, siber saldırı nedeniyle oluşan itibar zararları, iş sürekliliğinin sağlanamaması, arz-talep dengesinin bozulması ve sair başka teminatları içinde barındıran bir sigorta ürünüdür.
Siber risk sigortasının tarihi gelişimine bakacak olursak, siber risk sigortası ilk olarak 1990’lı yılların sonunda Amerika Birleşik Devletleri’nde ortaya çıkmış ve 2000’li yılların başında da Avrupa’da siber risk sigorta teminatları sağlanmaya başlanmıştır. Türkiye’de ise ilk kez 2010 yılında siber risk sigortalarının bir ihtiyaç olduğu kanaati ortaya çıkmıştır. Türkiye bu sigorta talebi karşısında ilk zamanlarda teminatı yurtdışı piyasalardan sağlarken, 2012 yılı sonrası bazı küresel firmaların Türkiye ofisleri bu teminatı sunmaya başlamıştır. Böylelikle Türkiye’deki sigorta şirketleri 2012 yılından itibaren, yurt içinde teminat sunmaya başlamıştır. Türkiye’de siber risk kavramı, yalnızca “veri kaybı” olayları ile sınırlı olduğunu düşünülürken, zamanla gerçekleşen zararlar neticesinde siber risklerin ve sigorta teminatlarının çok daha kapsamlı olması gerektiği anlaşılmıştır. Saldırıların artması ve farkındalığın yükselmesi ile birçok şirket bu konu doğrultusunda çalışmalarını hızlandırmıştır. Bu çalışmaların ilk adımı olarak şartname ve teminatlarda genişletmeler yapmışlardır. Siber risk sigortasını diğer klasik sigortalardan ayıran en önemli özellik verinin silinmesi kaybolması ya da çalınması değildir. Çünkü siber risk sigortasında zarar görecek veriler sigortalanmaz ve verilerin maddi bir değeri yoktur. Sigortalanan verinin kaybolmasından kaynaklı üçüncü şahısların talebi sigortalanır. Siber risk sigortasını diğer sigortalardan farklı kılan bir diğer özellik ise, gerçekleşen riskin etki olarak kestirilebilmesinin güçlüğüdür. Bütün bu karmaşık ve zor belirlemelerden dolayı sigortacıların bu alandaki ürünlerini kolay bir şekilde yaygınlaştırmaları ve uygun fiyatlı poliçelerini müşterilerine sunmaları hiç de kolay değildir. Bu sebeple siber risk sigortasında belirlenmiş paket bir poliçe yoktur, her sigortalının talep ve ihtiyaçlarına göre ek teminat içeren poliçeler düzenlenmektedir.
Siber risk sigortası hukuki açıdan bakıldığında farklı iki disiplinin koordinasyonu ile düzenlenmektedir. Bu bağlamda teknoloji uzmanlığı ve siber güvenlik değerlendirme niteliğinde bir yaklaşımla sigortacılık düzenlemeleri konsolide edilmektedir.
Türk hukukunda sigorta sözleşmeleri temel olarak Türk Ticaret Kanunu’nda (“TTK”) düzenlenmiştir. Buna göre zarar sigortaları, zarar gören tarafın sigorta ettiren veya üçüncü kişi olması ayrımına dayanarak (i) mal sigortaları ve (ii) sorumluluk sigortaları olmak üzere ikiye ana başlıkta incelenmektedir.
Henüz siber risk sigortası ile ilgili yayınlanmış bir düzenleme olmaması, uygulamada çeşitli belirsizlik durumları yaratmaktadır. Siber risk sigortası, Türk Hukukunda TTK’ya ek olarak belirli sigorta türleri için özel düzenlemeler, genellikle tebliğler ile düzenlenmektedir. Dolayısıyla siber risk sigortası poliçeleri, sigortacı ve sigorta ettiren arasında sözleşme serbestisine dayanan bir sigorta sözleşmesi olarak gerçekleştirilir.
Siber risk sigortası, gerçekleştirilen poliçenin kapsamına bağlı olarak hem sigorta ettirenin, kurum ya da kişinin sözleşme kurulurken sahip olduğu malvarlığını hem de üçüncü kişi niteliğinde ilgili tarafların uğradığı zararları kapsayabilir. Poliçe içeriğinde belirlenen sınırlar dahilinde belirlenen siber hasarlar, uygulanacak mevzuat özelinde değerlendirilmektedir. Bu bağlamda Siber risk sigortası konusunda Türk Hukukunda faklı hukuki dayanaklar doğrultusunda değişen değerlendirmeler olabilmektedir.
Siber risk sigortası teminatları çerçevesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) büyük önem arz etmektedir. Siber tehditler ve saldırılar ile kişisel bilgiler ya da kurum bilgileri usulsüz şekilde ele geçirilerek bu veriler üzerinden kişilere şantaj yapılması, verilerin satılması, sızdırılması gibi eylemlerle haksız gelir elde edilebilecektir. Bu durum temel hak ve özgürlükleri tehdit edebilecek unsurlar barındırmaktadır. Çünkü bahsi geçen verilerin kişiye özel olması kişinin onayı olmadan üçüncü kişilerle paylaşımının yapılması, kişisel temel hak ve özgürlüklerin de kısıtlayabilir. Bu şekilde maruz kalınan bir siber saldırıda kişiyi maddi ve manevi koruma altına alabilecek önemli korunma yöntemlerinden biri de siber risk sigortası yapılmasıdır.
Ülkemizde ve dünyada dijital ortamlarda veri güvenliğinin ve siber dayanıklılığın sağlanamaması, müşteri kaybı, itibar kaybı ve finansal kayıplar başta olmak üzere kurumlar üzerinde büyük bir etki yaratmıştır. Siber saldırı risklerinin en aza indirilmesi, şirketlerin siber güvenlik dirençlerinin artırılması ve siber risk sigortası ürünlerinin kullanımı için kurumlar, iş modellerinden ve sektörel değişkenlerden kaynaklanan kurumsal risklerin, teknoloji altyapılarının siber dayanıklılığını ve dijital dönüşüm risklerini iyi tanımalı ve konsolide etmelidir. Kurumların kendilerine özgü risk profillerini iyi tanımaları ve bu profil bilgilerini siber risk sigortası hizmeti kapsamında paylaşabilmeleri, sigorta hizmeti sağlayan tarafların siber riskleri daha iyi fiyatlandırabilmelerini ve riskleri azaltabilmelerini sağlayacaktır.
Dijital teknolojinin hızla gelişmesi, siber suçlular için mevcut teknikleri adapte ederek veya yeni zayıf noktalardan istifade ederek tamamen yeni taktikleri denemek için verimli bir zemin sunmuştur. Etkin bir şekilde siber ve dijital risk yönetimini sağlayan ve sürekli takibini gerçekleştiren kurumlar pandemi sürecinde ve sonrasında karşı karşıya kalabilecekleri riskleri daha açık bir şekilde siber risk sigortası kapsamına sokabilir ve kurumların karşılaşacağı siber tehditlere karşı daha iyi önlemler alabilir. Tanımlanmayan siber risklerin yönetimi ve buna paralel olarak siber risk sigortası ürünleri ile azaltılması mümkün değildir. Kurumların amacı siber saldırıların gerçekleşme riskini azaltmak, olumsuz sonuçları en aza indirmek ve bir ihlalin ortaya çıkması durumunda daha hızlı iyileşme sağlamak için birtakım önlemler almak olmalıdır.
Başta KVKK olmak üzere veri güvenliği gereksinimlerinin bildirildiği farklı sektörlere yönelik hazırlanan her tür hukuki düzenlemeler ile çalışanların, müşterilerin ve ilgili üçüncü tarafların kurumlara karşı hak talebinde bulunma endişesi, kurumların siber risk sigortası edinmelerindeki başka temel gerekçelerden biridir. KVKK üçüncü taraf kişilerin verilerini korumakta ve bu verilerin kaybı için bu verileri kaybeden kuruluşu sorumlu tutmakta ve ciddi idari para cezaları uygulayabilmektedir.
Yaşanan dijital dönüşüm etkisi ile siber risk sigortası ürünlerinin tercih edilmesi hususundaki eğilim artmıştır. Buna karşılık siber risk sigortası ürünlerinde temel gerekçelerin, siber risklerin tayin edilmesi ve doğru poliçelerin gerçekçi teminat talepleri çerçevesinde hazırlanması mevcut belirsizlikler göz önüne alındığında kendine özgü bir zorluğu beraberinde getirmektedir. Bu noktada özellikle kurumlara düşen görev yaşanan saldırılar hakkında eksiksiz ve doğru şekilde bilgi paylaşımı yapması ve riskin karmaşıklığının ortadan kaldırılmasına katkıda bulunmak olmalıdır. Bu sayede siber risk ve güvenlik hakkında etkin bilgi birikimi sağlanacak ve sigorta primleri doğru şekilde hesaplanabilecektir.
Teşekkürler,
Onur Korucu
KAYNAK : TOMORROW