Siber risk sigortaları nasıl ele alınmalı?

1 Ekim 2015’te düzenlenen ve konuşmacı olarak katıldığım NART Risk Management Forum 2015, siber risklerin yönetiminde siber risk sigortaları temalı Türkiye’de düzenlenen ilk etkinlik oldu. Bu etkinlikteki konuşmamda üzerinde durduğum bazı başlıkları özetleyeceğim bu yazı yanında, siber risk sigortaları hakkında daha detaylı bilgiye erişmek isteyenlerin, ilgili PwC makalelerini okumalarını da şiddetle tavsiye ederim .

Siber suçlar ve bilgi güvenliği konularındaki endişelerin hızla artışı, bu konunun önümüzdeki dönemde kurum üst yönetimlerinin dikkatle incelemesi ve değerlendirmesi gereken bir konu haline geleceğine işaret ediyor.

Siber güvenlikle ilgili olaylar, 2014 yılında bir önceki seneye göre %48 artış gösterdi ve bu olayların dünya ekonomisine yaklaşık 400 milyar dolarlık bir maliyeti olduğu tahmin ediliyor.  Bilgi güvenliği ile ilgili tehditlerin geldiği noktayı göstermesi açısından bir başka çarpıcı istatistik de günümüzde her gün 100.000’den fazla siber olayın gerçekleşmesidir. (Kaynak: The Global State of Information Security® Survey 2015)

Yani kaba bir ortalama ile bu konunun altını tekrar çizmek istersek; her saniye dünya üzerinde yeni bir siber olay gerçekleştiğini ve 10.000 dolardan daha fazla zarar oluştuğunu söyleyebiliriz. Böyle bir ortamda kurumların karşısına mevcut risklere ek olarak siber güvenlikten doğan risklerin de yönetilmesi gibi bir zorunluluk çıkıyor.

Kurumların siber güvenlikle ilgili risklerini, ya da kısaca siber risklerini nasıl yönetebilecekleri ise risk yönetiminin dört temel yöntemi ile özetlenebilir:

  1. Riskin Azaltılması.
  2. Riskin Kabul Edilmesi.
  3. Riskten Kaçınmak.
  4. Riskin Transfer Edilmesi.

Siber risk sigortaları bu dört yöntemden sonuncusu olan riskin transfer edilmesi için kullanılabilecek araçlardan birisi, belki de en önemlisi. Aslında siber risk sigortaları (cyber risk insurance) denildiği zaman bu kavram kurumların siber saldırılar karşısında göreceği direkt zararların teminini adreslese de biz yazı boyunca siber sorumluluk sigortalarını da (cyber liability insurance) aynı başlık altına dahil ediyor olacağız.

Geçmişte kısa bir yolculuk yapacak olursak ilk siber risk sigortası ürünlerinin 2000’li yılların başlarında Birleşik Devletler’de piyasaya sunulduğunu ve kullanıma alındığını görmekteyiz. Bunun en temel sebebi de kurumlara siber saldırıları, daha doğrusu kimlik bilgilerinin açığa çıkmasına yönelik siber saldırıları açıklama zorunluluğu getiren yasal düzenlemeler olarak gösterilebilir. İlk olarak 2003 yılında Kaliforniya eyaletinde yasalaşan bu düzenlemeler ülke genelinde hızlıca yaygınlaştı, 2015 yılı itibariyle de A.B.D.’deki 50 eyaletin 47’sinde yürürlüğe girmiş durumda. 2016 yılı başında yürürlüğe girmesi planlanan Avrupa Birliği Veri Koruması Direktifi’nde de (EU General Data Protection Regulation) kurumlara bu konuda ciddi yükümlülükler getirileceği göz önüne alınınca, çok yakında Avrupa Birliği vatandaşlarının mahrem bilgilerini tutan tüm şirketlerin bu ve benzeri risk yönetimi araçlarını değerlendirmesi ve devreye alması kaçınılmaz olacaktır.

Siber risk sigortalarına giderek hızlı bir şekilde artacağı öngörülen talep, sigortacılar için önemli bir ticari fırsat olmasının yanında bu endüstri için büyük kayıplar yaratma endişesini de beraberinde getirmektedir. Peki tüm bu bilgiler ışığında siber risk sigortalarını sürdürülebilir bir zemine oturtabilmek için gerekli risk değerlendirme, risk fiyatlandırma ve risk transfer yapıları nasıl oluşturulabilir?

Sigorta sektörü açısından düşünüldüğünde, siber riskler çoğunlukla terörizm ve doğal afetlere benzetilerek modelleme yapılmaya çalışılıyor. Ama bu başlık biraz olsun irdelenince eşi benzeri olmayan yepyeni bir risk türü olduğunu farketmek mümkün. Siber riskleri diğer risklerden ayıran temel özelliklerini ise üç maddede özetlememiz mümkün:

  1. Her geçen gün daha da sıklaşıyor ve daha çok zarara yol açıyorlar.
  2. Gerçekleştiklerinde oluşacak olan zararı sınırlamak çok zor.
  3. Oluştuklarında tespit etmek ve değerlendirmek hiç de kolay değil.

Yukarıdaki üç madde sigortacıların bu alandaki ürünlerini yaygınlaştırmalarını, ya da daha uygun fiyatlı poliçeleri müşterilerine sunmalarını oldukça zor bir hale getiriyor. Mevcut siber risk sigorta poliçeleri incelendiğinde sigortacıların temkinli yaklaştığı ve poliçelerdeki çeşitli kısıtlamalar ve yüksek prim/teminat oranları ile kendilerini korumaya çalıştığı görülüyor. Bu her ne kadar şu an hala bakir olan bu yeni alanda kabul edilebilir bir yaklaşım olsa da, müşteriler poliçelerin içeriğini ve gerçek değerini sorgulamaya başladığı zaman sürdürülebilir bir yaklaşım olmaktan çıkacaktır.

Bunun yanında unutulmaması gereken önemli bir gerçek de direkt bu alanda bir ürün sunulmasa da artık ihtiyari sorumluluk, ihmal, kaza ve iş sürekliliği gibi alanları kapsayan genel sigorta poliçelerine karşılık gelen teminat taleplerinin de siber riskler sonucunda gerçekleşiyor olabileceği. Bu bağlamda, tüm sigorta şirketlerinin siber risk başlığını ciddi olarak ele alması ve iş stratejilerinin bir parçası haline getirmesi kaçınılmaz görünüyor.

Yazının başında bahsettiğim veri mahremiyeti yasaları, A.B.D. sonrasında Avrupa Birliği vatandaşları için de yürürlülüğe girdiğinde ve ilişkili cezalar uçuşmaya başladığında, özellikle de mevzubahis ülkelerin vatandaşlarına yönelik hizmetler sunan kurumların siber risk poliçelerine olan taleplerinin artmasına kesin gözüyle bakılıyor. Bu gelişmeler sonrasında, sigorta endüstrilerini regüle eden otoritelerin siber risk sigortaları için de düzenlemeler getirmesi sayesinde, sigorta şirketlerinin bu tarz ürünleri keyfi poliçe koşulları ile sunmasının da önüne geçilecektir. Hal böyleyken, bu gibi düzenlemeler devreye alınmadan önce bu başlıklarda mesafe katedebilmiş sigortacıların, rakiplerinin önüne geçeceğini söylemek mümkün. Her endüstride olduğu gibi sigortacılık endüstrisinde de yenilikçi bir oyuncu, yepyeni bir yaklaşımla ve uygun fiyatlarla içeriği dolgun poliçeler sunmaya başladığında tüm rakiplerinin önüne geçmesi kaçınılmaz olacaktır.

Tüm bu bilgiler göz önüne alındığında, sigorta endüstrisinin siber riskleri sağlam temelleri olan ve sürdürülebilir bir şekilde iş planlarına dahil etmesi ve aşağıda özetlenen konu başlıklarının tüm sektör paydaşları tarafından dikkatlice değerlendirilmesi gerekmekte.

İLGİLİ HABER >> ABD’Lİ ESKİ BAKAN SİBER SİGORTA İŞİNE GİRDİ

Siber risk fiyatlandırmaları için kullanılabilecek yeterli aktüaryel veri olmadığı gerçeğinden yola çıkarak, şu an için bu konunun müspet bir bilimden çok sanata benzediğini söyleyebiliriz. Bu sebepten ötürü, konunun uzmanlarıyla siber risklerin müşteri ve poliçe bazlı olarak değerlendirilmesi daha gerçekçi ve sağlıklı fiyatlandırmalara zemin hazırlayabilir. Kurumların zafiyetlerinin ve olası tehditlerin etkin bir şekilde değerlendirilmesi için de siber güvenlik alanında faaliyet gösteren profesyonel hizmet şirketleri, teknoloji sağlayıcıları ve istihbarat örgütleri ile işbirliği düşünülebilir. Bu işbirliği sayesinde genel poliçe şartları yerine özelleştirilmiş poliçeler sunulması, ilgili poliçeleri müşteriler için daha kullanılabilir hale getirecektir.

Sektör paydaşlarının veri paylaşımında bulunması, siber riskler sonucunda oluşacak zararların en doğru şekilde tahmin edilebilmesini sağlamak için çok önemli. Kurumlar ve sigortacıları, itibar ya da rekabet avantajı gibi sebeplerden dolayı yaşadıkları olayları bildirmeye çekiniyor olabilirler. Ama tüm dünyada yaygınlaşmaya başlayan kanunlar dolayısı ile zaten yasal olarak mecbur tutulacak bu tarz bildirimler, ilgili sigorta poliçelerinin çok daha gerçekçi şekilde sunulabilmesini sağlayacak veri havuzunun oluşabilmesi için vazgeçilmez önem taşıyor.

Son olarak; siber risk poliçesi sunan sigorta şirketlerinin itibarının müşterilerin değerlendirme kriterleri arasında en ön sıralarda yer alacağı da tartışılmaz bir gerçek. Sakladıkları ve işledikleri kişiye özel bilgiler ile kredi kartı detayları sebebiyle zaten siber saldırganlar için oldukça cazip bir hedef olan sigorta şirketlerinin öncelikle kendilerini bu riske karşı koruması da siber güvenlik alanında faaliyet gösteren tüm şirketlerde olduğu gibi olmazsa olmazların başında geliyor. Bu konudaki ilk adım ise, yönetim kurulları da dahil olmak üzere tüm üst yönetimlerin siber riskleri stratejik olarak değerlendirmesi ve konunun basit bir bilişim teknolojisi bileşeni ya da uyumluluk problemi olarak görülmekten vazgeçilmesi olacaktır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ


Verdiğiniz bilgiler 3. parti firma veya kişilerle paylaşılmayacaktır, sadece verdiğiniz talimat istikametinde kullanılacaktır.
A. Burak Sadıç

A. Burak Sadıç

PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri -

2014 yılında katıldığı PricewaterhouseCoopers Türkiye ofisinde Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri olarak çalışan Sadıç’ın yirmi yıldan fazla danışmanlık ve yönetim deneyimi bulunmaktadır. ODTÜ Elektrik-Elektronik Mühendisliği bölümünden 1995 yılında mezun olan Sadıç, PwC öncesinde sırasıyla PDI-Erkom, Siemens, Meteksan, Koç.net, Innova ve Symantec bünyesinde çeşitli kademelerde görev yaptı. Symantec'teki 10 yıllık iş yaşamının son dört yılında ise Güneydoğu Avrupa'daki 12 ülke ve Türkiye'yi kapsayan bölgedeki danışmanlık ekiplerini yönetti.
A. Burak Sadıç

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A. Burak Sadıç

A. Burak Sadıç

PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri -

2014 yılında katıldığı PricewaterhouseCoopers Türkiye ofisinde Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri olarak çalışan Sadıç’ın yirmi yıldan fazla danışmanlık ve yönetim deneyimi bulunmaktadır. ODTÜ Elektrik-Elektronik Mühendisliği bölümünden 1995 yılında mezun olan Sadıç, PwC öncesinde sırasıyla PDI-Erkom, Siemens, Meteksan, Koç.net, Innova ve Symantec bünyesinde çeşitli kademelerde görev yaptı. Symantec'teki 10 yıllık iş yaşamının son dört yılında ise Güneydoğu Avrupa'daki 12 ülke ve Türkiye'yi kapsayan bölgedeki danışmanlık ekiplerini yönetti.
A. Burak Sadıç