Menü Kapat

Teknoloji Risklerinin Azaltılması için Bir Yöntem: Siber Risk Sigortası ve Hukuki Yönü

A. GİRİŞ

Siber riskler, devletler, kurumlar ve bireyler için gün geçtikçe önem kazanan bir konudur. Ülkemizde siber güvenlik, reel sektör tarafından 2000’ler sonrasında yaşanan dönemde daha fazla odaklanılan bir kavram olarak, günümüzün belirleyici rekabet unsurlarının başında yer almaktadır. 2021 yılında dünya genelinde yapılan araştırmalar göstermiştir ki, siber güvenlik %40 oranla dünyada ilk on risk arasında üçincü sırada yer almaktadır[1].

Gelişmekte olan teknoloji ve internet unsurları hızla değişen alanlardır ve bu sebeple beraberlerinde getirdikleri risklerin de değişken olması kaçınılmazdır. Yönetilemeyen riskler kurumlar için farklı iş alanlarındaki tehlikelere işaret etmektedir. İnternet risklerini yönetmek hususunda yeterli etkinliği gösteremeyen kurumlar yeterli rekabet gücüne ulaşmak konusunda da geride kalacaklardır. Bu bağlamda kurumların siber riskleri yönetmeleri konusunda farkındalık seviyeleri artan bir trend göstermektedir.

Siber güvenliğe ilişkin kurumsal düzeyde farkındalığın sağlanması ve güvenlik yatırımları büyük ölçüde siber saldırının yaşanması ve regülasyonlarla tetiklenmektedir. Kurumların siber riskleri görmezden gelmesi ve buna bağlı olarak siber güvenlik gereksinimlerine ilişkin aksiyonları almamaları, siber saldırı tecrübesi yaşamamış, hayati iş fonksiyonlarının yavaşlamasına hatta durmasına sebebiyet verebilecek bir vaka tecrübe etmemiş olmasından kaynaklanmaktadır.

Dijital alanda artan riskler, teknoloji ve hukuk yaklaşımlarındaki değişiklikler sebebiyle ortaya çıkmakta ve gelecekte gerçek hasar taleplerine dönüşmesi beklenmektedir. Bu riskler yeni ve öngörülemeyen durumlar olabileceği gibi daha önceden bilinen risklerin çeşitli sebeplerle değişiklik göstermesi de olabilir. Hasar talebine neden olması beklenmeyen olguların yeni hukuki düzenlemelerin ortaya çıkması ile hasar taleplerine konu olması bu sebeptendir. Siber ortamlar dinamik yapıları gereği beklenmedik durumların gerçekleşebileceği risk yüzdeliği yüksek ve çeşitli saldırılara maruz kalabilecek yapıdadır. Bilgi teknolojileri sistemlerinin; fiziksel güvenlikten haberleşme güvenliğine, yayınım güvenliğinden bilgisayar güvenliğine, ağ güvenliğinden bilgi güvenliğine, cihaz güvenliğinden sistem güvenliğine, yazılım güvenliğinden donanım güvenliğine, bulut ortamlarının güvenliğinden siber güvenliğe kadar birçok tedbirin alınması gerektiği bilinmeli ve korunacak olan siber varlıkların sınıfına, ortamına veya değerlerine göre gerekli güvenlik seviyeleri belirlenmeli ve koruma sağlanmalıdır.

Siber saldırı riski arttıkça, bununla ilgili hukuki yükümlülükler ve zarar maliyeti de yükselmektedir. Düzenleyici yaptırımlar ve tazminat, artan karmaşayla birleştiğinde işletmelerin elektronik ağlarını, varlıklarını ve verilerini yeterli düzeyde güvence altına alamaması, kişisel verileri hukuka  uygun olarak işlememesi gibi durumlar önemli bir finansal risk oluşturmaktadır. Siber riskler, işletmelerin, esneklik ve süreklilik planlamaları açısından dikkate almaları gereken en önemli unsurlardan biridir. Siber risklerin ölçülmesi, yönetilmesi ve önlenmesi adımları belirgin yatırımlar gerektirmektedir. Bunların başında altyapı, organizasyon ve insan kaynakları gelmektedir. Dijital dönüşümün hızlanması ile kurumların her güvenlik katmanında yaşanabilecek siber riskleri iş operasyonları ile konsolide ederek değerlendirmeleri ve uçtan uca güvenliği tehdit eden her türlü unsur için gereken önlemleri almaları gereksinimi önem kazanmıştır.

B. SİGORTACILIK SEKTÖRÜNDE SİBER RİSK SİGORTASI VE HUKUKİ DAYANAĞI

  1. Siber Risk Sigortasının Tanımı ve Niteliği

Sigorta kavramı en basit anlamıyla risklerin transfer edilmesidir. Sigorta, belirlenmiş risklerin azaltılması ile ilgili mümkün olan tüm aksiyonlar alındıktan sonra kurumların ya da bireylerin emniyetini tam anlamıyla sağlama almak için yapılan bir işlemdir. Siber risk sigortası, 2000’lerin başından beri İngiltere’de bulunan büyük sigorta borsası Lloyd’s reasürörleri tarafından üretilmiştir ve son dönemde çok daha ilgi duyulan ve nispeten yeni sayılabilecek bir sigorta ürünüdür.

Siber risk sigortası, siber saldırılar ve dijital riskler nedeniyle oluşacak veri koruma hasarları, bilişim sistemleri hasarları, iş kayıpları, finansal zararlar, fidye masrafları, kişisel veri ihlalinden doğan tazminat sorumlulukları, siber saldırı nedeniyle oluşan itibar zararları, iş sürekliliğinin sağlanamaması, arz-talep dengesinin bozulması ve sair başka teminatları içinde barındıran bir sigorta ürünüdür.

Siber risk sigortasının tarihi gelişimine bakacak olursak, siber risk sigortası ilk olarak 1990’lı yılların sonunda Amerika Birleşik Devletleri’nde ortaya çıkmış ve 2000’li yılların başında da Avrupa’da siber risk sigorta teminatları sağlanmaya başlanmıştır. Türkiye’de ise ilk kez 2010 yılında siber risk sigortalarının bir ihtiyaç olduğu kanaati ortaya çıkmıştır. Türkiye bu sigorta talebi karşısında ilk zamanlarda teminatı yurtdışı piyasalardan sağlarken, 2012 yılı sonrası bazı küresel firmaların Türkiye ofisleri bu teminatı sunmaya başlamıştır. Böylelikle Türkiye’deki sigorta şirketleri 2012 yılından itibaren, yurt içinde teminat sunmaya başlamıştır. Türkiye’de siber risk kavramı, yalnızca “veri kaybı” olayları ile sınırlı olduğunu düşünülürken, zamanla gerçekleşen zararlar neticesinde siber risklerin ve sigorta teminatlarının çok daha kapsamlı olması gerektiği anlaşılmıştır. Saldırıların artması ve farkındalığın yükselmesi ile birçok şirket bu konu doğrultusunda çalışmalarını hızlandırmıştır. Bu çalışmaların ilk adımı olarak şartname ve teminatlarda genişletmeler yapmışlardır. Siber risk sigortasını diğer klasik sigortalardan ayıran en önemli özellik verinin silinmesi kaybolması ya da çalınması değildir. Çünkü siber risk sigortasında zarar görecek veriler sigortalanmaz ve verilerin maddi bir değeri yoktur. Sigortalanan verinin kaybolmasından kaynaklı üçüncü şahısların talebi sigortalanır. Siber risk sigortasını diğer sigortalardan farklı kılan bir diğer özellik ise, gerçekleşen riskin etki olarak kestirilebilmesinin güçlüğüdür. Bütün bu karmaşık ve zor belirlemelerden dolayı sigortacıların bu alandaki ürünlerini kolay bir şekilde yaygınlaştırmaları ve uygun fiyatlı poliçelerini müşterilerine sunmaları hiç de kolay değildir. Bu sebeple siber risk sigortasında belirlenmiş paket bir poliçe yoktur, her sigortalının talep ve ihtiyaçlarına göre ek teminat içeren poliçeler düzenlenmektedir[2].

Proaktif bir risk yönetimi yapısı bütünleşik ve güncel bir metodoloji kullanılarak risklerin önceliklendirilmesi ve aksiyonların takip edilmesi yoluyla gerçekleşir. Bunun için farklı yöntemler kullanılabilir, önemli olan yöntemin şirketin faaliyet alanına, kültürüne ve sektörüne uygun olmasıdır. Reaktif bir yaklaşımda bir olay yaşanması durumunda söz konusu olay çerçevesinde tespit edilen risklere yönelik aksiyon alınması ve uygulanması söz konusudur. Her iki durumda da şirketler aksiyon alamayacakları veya almalarının maliyetli olacağı riskleri siber risk sigortası yoluyla transfer etmeyi tercih edebilirler[3] [4].

Siber riskler bakımından incelendiğinde, sigortalıyı doğrudan etkileyen, poliçe sahibinin her türlü kaybına sebep olacak riskler birinci şahıs riskleri olarak tanımlanmaktadır. Poliçe sahibinin veri kaybından veya siber saldırılardan kaynaklı risklerde, müşterilere, devlet kurumlarına yani üçüncü şahıslara karşı yükümlülükleri ise üçüncü şahıs riskleri olarak tanımlanmaktadır[5]. Siber risk sorumluluk poliçeleri, elektronik veri ve internet kullanımıyla ilişkili birçok riski kapsamaktadır.

Bu riskler:

  • Fikri ve sinai haklarının çalınması, ticari marka veya hizmet markası ihlalinin sigortalı tarafından çevrimiçi yayınlanmasından kaynaklanan marka sorumluluğu ihlali sonucu doğan zararlar,
  • Kişisel verilerin yetkisiz kişilerin eline geçmesi sonucu oluşan idari cezaları,
  • Karalama ve hakaret gibi fiillerden doğan sorumluluklar,
  • Dijital ortam risklerinin gerçekleşmesi nedeni ile ortaya çıkan itibar kayıplarının telafisi için yapılması gerekli halkla ilişkiler ve tanıtım faaliyetleri gibi masraflar,
  • Kişilik haklarını ihlal edici internet reklamları sonucu doğan tazminat yükümlülükleri,
  • Siber saldırganlar tarafından kurum bilişim sistemlerinin ele geçirilmesi veya yetkisiz sistem girişi elde edilmesi sureti ile talep edilen fidye ödemeleri,
  • Kurum çalışanların kötü niyetli olmayan hata, ihmal ve tedbirsizliklerinden veya kötü niyetli olarak kasten neden oldukları gizlilik ihlalleri nedeni ile oluşacak tazminat yükümlülükleri,
  • Yaşanacak güvenlik ihlallerinden ötürü etkilenen mağdur üçüncü taraflara kanunların gerektirdiği bildirimlerle alakalı masraflar ve ticari kayıp yükümlülükleri,
  • Yaşanan saldırılar neticesinde güvensiz hale gelen sistemler, şebekeler ve bilgisayar donanımlarına gelen zararlar,
  • Kurum veri akışı ve bilişim sistemlerinde yaşanan iş durması ve kâr kaybı zararları,
  • Siber riskin gerçekleşmesi neticesinde saldırının etkisi analiz etmek ve saldırıyı durdurmak için gerekli yasal, teknik ve adli hizmetlere ilişkin adli soruşturmalardan kaynaklanan maddi kayıplar,
  • Hukuka aykırı durumlarda ortaya çıkan idari cezalar,
  • Sektörel denetimlerde, standartlara uygunsuz durumlardan kaynaklanan bulguların ortaya çıkması.

Bu kapsamda siber risk sigortası pazarının gelişimi önündeki en büyük engel sigorta ettirenlerin ya da sigortacıların siber  risklerin farkındalığı konusunda kümülatif bilgiye sahip olmamaları şeklinde karşımıza çıkabilmektedir. Bilgi eksikliği sigorta kullanıcısı için kullandığı siber dünyada karşılaşabileceği saldırı ve tehditleri öngörememeye sebep olmaktadır. Sigorta sağlayıcısı için ise riskin temini, teminat kapsamı ya da dışı haller, fiyatlandırma konularında emsal olarak kullanılacak bilginin az ya da hiç olmaması sebebiyle etkin süreç tamamlanamamaktadır. Bu durum tüm dünya ülkelerinde olduğu gibi Türkiye’deki pazarın gelişimi üzerinde en büyük engeldir[6].

  1. Hukuki Yönüyle Siber Risk Sigortası

Siber risk sigortası hukuki açıdan bakıldığında farklı iki disiplinin koordinasyonu ile düzenlenmektedir. Bu bağlamda teknoloji uzmanlığı ve siber güvenlik değerlendirme niteliğinde bir yaklaşımla sigortacılık düzenlemeleri konsolide edilmektedir.

Türk hukukunda sigorta sözleşmeleri temel olarak Türk Ticaret Kanunu’nda (“TTK”) düzenlenmiştir. Buna göre zarar sigortaları, zarar gören tarafın sigorta ettiren veya üçüncü kişi olması ayrımına dayanarak (i) mal sigortaları ve (ii) sorumluluk sigortaları olmak üzere ikiye ana başlıkta incelenmektedir.

Henüz siber risk sigortası ile ilgili yayınlanmış bir düzenleme olmaması, uygulamada çeşitli belirsizlik durumları yaratmaktadır. Siber risk sigortası, Türk Hukukunda TTK’ya ek olarak belirli sigorta türleri için özel düzenlemeler, genellikle tebliğler ile düzenlenmektedir. Dolayısıyla siber risk sigortası poliçeleri, sigortacı ve sigorta ettiren arasında sözleşme serbestisine dayanan bir sigorta sözleşmesi olarak gerçekleştirilir.

Siber risk sigortası, gerçekleştirilen poliçenin kapsamına bağlı olarak hem sigorta ettirenin, kurum ya da kişinin sözleşme kurulurken sahip olduğu malvarlığını hem de üçüncü kişi niteliğinde ilgili tarafların uğradığı zararları kapsayabilir. Poliçe içeriğinde belirlenen sınırlar dahilinde belirlenen siber hasarlar, uygulanacak mevzuat  özelinde değerlendirilmektedir. Bu bağlamda Siber risk sigortası konusunda Türk Hukukunda faklı hukuki dayanaklar doğrultusunda değişen değerlendirmeler olabilmektedir.

Siber risklerin teknoloji ile birlikte çok hızlı gelişen riskler olduğu yaklaşımı Dünya Ekonomik Forumu’nun (World Economic Forum) “Küresel Riskler Raporu’nun” 2019 baskısında belirtilmiştir. Söz konusu raporda yer verilen beş riskten ikisini siber riskler oluşturmaktadır. Bu riskler siber saldırılar ve veri dolandırıcılığı olarak karşımıza çıkmaktadır. Kişisel veri koruma ihlali cezaları da söz konusu olduğunda, veri dolandırıcılığı ya da siber fidye amaçlı para cezalarının sigortalanabilir olup olmadığı son derece tartışmalı bir konudur. İyi niyetli veya ihmalkar davranışlar için para cezalarının sigortalanabilirliği ile ilgili olarak, duruma göre davranışa atıfta bulunarak sigortalanabilirliği belirlemenin doğru olup olmadığı da dahil olmak üzere birçok tartışma sürmektedir.

TTK’nın m. 1404.,  “Sigorta ettirenin veya sigortalının, kanunun emredici hükümlerine, ahlâka, kamu düzenine, kişilik haklarına aykırı bir fiilinden doğabilecek bir zararını teminat altına almak amacıyla sigorta yapılamaz.” hükmünü içerir. Bu bağlamda kanun maddesine uygun olmayan her türlü sigorta hukuken geçersiz olacaktır.

Siber risk sigortası kapsamında siber saldırı boyutunun ve hedef kitle kapsamının doğru tayin edilmesi önemlidir. Bir siber saldırı türü olan siber terörizm dünyada birçok örneği bulunan devletler arası bir mesele olarak değerlendirilmektedir. Siber terörizm bir tanım ya da atıf olarak Türk mevzuatında bulunan bir ifade değildir. Bu nedenle siber terörizm konusunda bir teminat muafiyeti, son derece önemli bir gri alan yaratabilir. Siber terörizm için terörizmi çok geniş bir ifade ile tanımlayan Terörle Mücadele Yasası referans olabilir. Pandemi sürecinde iş sürekliliğinin bir ekonomi, ekonominin de bir devlet meselesi olduğu açıkça görülmüştür. Bu bağlamda ülkemizin ekonomik akıbetini etkileyecek herhangi bir siber terör girişimi hukuken ulusal bir mesele olarak değerlendirilebilir.

Borçlar Kanunu’nun 52. maddesi uyarınca sorumluluk sigortalarında sigorta ettirenin zararın doğmasında ya da artmasında etkili olması yahut tazminat yükümlüsünün durumunu ağırlaştırması durumu var ise, bu durumda sigorta ettirenin kusuru oranında tazminatta indirim yapılır. Dolayısıyla Siber risk sigortasının varlığı, muhtemel siber saldırı esnasında sigorta ettirene doğrudan koruma sağlamayabilir. Sigorta şirketinin poliçeyi oluşturması kapsamında sigorta ettirenin gerekli siber güvenlik önlemlerini sağladığına dair teminat talep etmesi olasıdır. Uluslararası bilgi güvenliği ve siber güvenlik standartlarının uygulanması ya da belirlenmiş azami kontrollerin denetiminin gerçekleştirilmesi sigorta şirketi tarafından şart koşulabilir[7].

Aşağıda siber risk sigortası kapsamında değerlendirilmesi gereken diğer yasal düzenlemeler listelenmiştir:

  • 2709 sayılı T.C. Anayasası, m. 20.A. Özel Hayatın Gizliliği,

Mahremiyet/özel hayatın gizliliği hukuksal çıkarı kapsamında üzerinde durulması gereken önemli hususlardan biri, “kişisel verilerin korunması hakkı”dır.

  • 4721 sayılı Türk Medeni Kanunu, 1. İlke. m. 24.

Kişilik hakkı zedelenen kimsenin rızası, daha üstün nitelikte özel veya kamusal yarar ya da kanunun verdiği yetkinin kullanılması sebeplerinden biriyle haklı kılınmadıkça, kişilik haklarına yapılan her saldırı hukuka aykırıdır.

  • 6098 sayılı Türk Borçlar Kanunu; m. 417.
  • 4857 sayılı İş Kanunu, m. 75 ve 93.
  • 5237 sayılı Türk Ceza Kanunu, m. 132, 133, 134, 135, 136, 138, 139 ve 140.
  • 4 Aralık 2020 tarihli 31324 sayılı Resmi gazetede yayımlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik, İlkeler, m. 5, 6, 7, 8 ve 9.
  • 1 Ağustos 1998 tarihli 23420 sayılı Resmi Gazete’de yayımlanan Hasta Hakları Yönetmeliği, m. 23.
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)

Siber risk sigortası teminatları çerçevesinde KVKK’nın tamamı dikkate alınmalıdır. Siber tehditler ve saldırılar ile kişisel bilgiler ya da kurum bilgileri usulsüz şekilde ele geçirilerek bu veriler üzerinden kişilere şantaj yapılması, verilerin satılması, sızdırılması gibi eylemlerle haksız gelir elde edilebilecektir. Bu durum temel hak ve özgürlükleri tehdit edebilecek unsurlar barındırmaktadır. Çünkü bahsi geçen verilerin kişiye özel olması kişinin onayı olmadan üçüncü kişilerle paylaşımının yapılması, kişisel temel hak ve özgürlüklerin de kısıtlayabilir.. Bu şekilde maruz kalınan bir siber saldırıda kişiyi maddi ve manevi koruma altına alabilecek önemli korunma yöntemlerinden biri de siber risk sigortası yapılmasıdır.

  1. Siber Risk Sigortası Teminat Talepleri

Siber risk sigortası, kurumları ve bireysel kullanıcıları dijital süreçlerde ortaya çıkabilecek, internet tabanlı ya da bilgi teknolojileri altyapısı ve faaliyetleri ile ilgili risklerden korumak için kullanılan bir önlem türüdür. Siber risk sigortası teminatına sahip kurumlar, yaşanan iş kesintilerinden ve siber saldırılardan kaynaklanan mali kayıplarını tazmin etmek istemektedirler. Siber uzayda gerçekleşen her türlü faaliyetin etkisinin, fiziki hasarların aksine, hesaplanması çok daha karmaşık bir formdadır[8].

      a. Teminat Kapsamı

Bireysel ve kurumsal hayatta karşılaşılan siber tehditler bireylere, sektörlere, hedef kitleye, kurum büyüklüğüne göre değişkenlik göstermektedir. Bu yüzden alınması gereken önlemlerin kişiye özel ya da kuruma özel olması gerekmektedir.

Siber risk sigortası poliçelerince arz edilen teminat kapsamı genellikle şunları içermektedir:

  • Veri tahribatı, gaspı, hırsızlığı, bilişim korsanlığı ve hizmet aksattırma saldırıları gibi kayıplara karşı birinci taraf teminat (first-party coverage).
  • Hatalar ve ihmal neticesinde verinin korunamaması veya karalama ya da itibar kaybı (defamation) gibi başkalarına karşı kayıplar için firmaları tazmin eden yükümlülük teminatı (liability coverage)
  • Düzenli güvenlik denetimleri, siber olay sonrası halkla ilişkiler, soruşturma masrafları ve gerçekleşen bilişim suçu ile ilgili ödül koyma fonları.

Birinci taraf teminat kapsamı ve bu kapsam ile ilgili olabilecek maliyetler genelde şunları içerir[9]:

  • Adli bilişim soruşturması,
  • Bilgisayar ve veri kaybının yerine koyulması ve yeniden kurulması,
  • İş kesintisi ve ilave faaliyetler,
  • Halkla ilişkiler,
  • Bildirim, çağrı merkezi ve kredi izleme,
  • Elektronik hırsızlık ve dolandırıcılık koruması,
  • Siber gasp/ siber fidye.

İş kesintisi nedeniyle oluşabilecek tazminat talepleri:

Siber risk sigortası teminatlarının kapsamının anlaşılarak mevcut koşullarda uygulanabilirliğinin değerlendirilmesi ilk adım olacaktır. Teminat kapsamının uygun olması halinde iş kesintisinin hangi operasyonları kapsadığı tespit edilerek, oluşan zararın veya kar kaybının azaltılması/önlenmesi yönünde alınan aksiyonların belirlenmesi gerekir. Özellikle bu aşamada kurumların teknik değerlendirmeleri hem teknoloji perspektifini doğru kullanması hem de normative etkide olan sektörel yasal düzenlemeleri göz önünde bulundurması belirleyici olacaktır.

Ayrıca içinde bulunduğumuz COVID-19 pandemisi ile birlikte kurumların pandemi kaynaklı siber risk sigortası tazminat taleplerinin, mali kayıtlar, bütçeler ve sektör trendleri ışığında hazırlanması ve bu hazırlık aşamasında hesaplamalar için alternatif metotların etkilerinin ve sonuçlarının değerlendirilmesi oldukça önemlidir[10].

      b. Teminat Dışı Haller

Geleneksel sigorta türlerinde olduğu gibi siber risk sigortasının da istisna olarak nitelendirirken teminat dışı uygulamaları bulunmaktadır. Bu kapsamda istisnalar sigorta uygulamasının gerçekleştiği ülkenin piyasasına, pazarın durumuna, ülke şartlarına ve yaşanmakta olan pandemi süreci gibi olağanüstü durumlara göre değişkenlik göstermektedir.

Siber risk sigortası poliçelerince arz edilen teminat  dışı haller genellikle şunları içermektedir[11]:

  • Rekabet; rekabet ve ticaretin engellenmesi, haksız rekabete ilişkin yasaların ihlali teminat dışı haller kapsamındadır.
  • Bedensel yaralanma ve maddi varlıkların hasarı; fiziksel yaralanma, hastalık, ölüm ve/veya veriler dışındaki maddi varlıkların kaybı gibi durumlar teminat dışı hal olarak nitelendirilmektedir.
  • Sözleşme sorumluluğu; sigortalının bir sözleşme sonucunda sorumlu olduğu herhangi bir garanti, teminat veya sorumluluk istisnadır.
  • Siber terörizm; bilgisayarlar aracılığıyla işlenmiş, kamunun kullanmakta olduğu iletişim, ulaşım, enerji tedariki, güvenlik sistemlerinin şiddete, ölüme, imhaya yol açacak şekilde bozulması gibi durumlarda hükümet politikalarını değiştirmeye zorlayan karışıklık ve terör gibi durumlar istisnai hallere dahil edilmektedir.
  • İşverenin yükümlülükleri; çalışan emeklilik planları, çalışan istihdam planları, çalışan kâr paylaşım, sosyal güvenlik hakları, işyerinde sağlığı ve güvenliği koruyan sorumluluklar vb. gibi işverenin sorumlu olduğu durumlar istisnai haller dahilindedir.
  • İcra bildirimi; icra bildirimince tanınan süreye riayet edilmemesi gibi durumlar istisnai durumlar dahilinde değerlendirilmektedir.
  • Altyapı veya güvenlik arızası; mekanizma arızası, voltaj dalgalanmaları, elektrik kesintileri, uydu sistem arızaları, bilgisayar sistemi güvenliğinin sağlanamaması teminat dışıdır.
  • Fikri mülkiyet; patentler ve ticari sırlar gibi fikri mülkiyet dahilinde bulunan hakların ihlalinden ileri gelen hususlar teminat dışı hallerdir.
  • Kasıtlı eylem; sigortalı aleyhine talepte bulunulmasına yol açacak kasıtlı, planlı eylemler istisna edilmektedir.
  • Suç teşkil eden eylemler; mahkeme kararına ya da sigortalı itirafına dayanılarak suç ve dolandırıcılık teşkil eden eylemlerden kaynaklanan durumlar istisna edilmiştir.
  • Menkul kıymet talebi; menkul kıymetlerin mülkiyeti, alımı, satımı ile bağlantılı bir yasanın ihlalinden kaynaklı haller istisna edilmiştir.
  • Terörizm/savaş; herhangi bir savaş, kargaşalık ve terörizmden kaynaklı haller istisna edilmiştir.
  • Ticari zarar; elektronik fon transferi veya işlemin parasal değerinin hesaplanmasında, hesaplar arasındaki transfer sırasında vb. gibi durumlarda sigortalının uğrayacağı ticari kayıplar istisna edilmiştir.
  • Veri güvenliği sorumluğu; yöneticilerin veya sorumlu kişilerin şirket verilerinin sızdırılmasında kötü niyetli ve kasıtlı hareketlerinin bulunması durumlarında ortaya çıkan zararlar teminat dışı hal kapsamındadır.

C. SONUÇ

Ülkemizde ve dünyada dijital ortamlarda veri güvenliğinin ve siber dayanıklılığın sağlanamaması, müşteri kaybı, itibar kaybı ve finansal kayıplar başta olmak üzere kurumlar üzerinde büyük bir etki yaratmıştır. Siber saldırı risklerinin en aza indirilmesi, şirketlerin siber güvenlik dirençlerinin artırılması ve siber risk sigortası ürünlerinin kullanımı için şirketlerin izlemesi gereken adımları şöyle tanımlanabilir.

  • Kurumlar, iş modellerinden ve sektörel değişkenlerden kaynaklanan kurumsal risklerin, teknoloji altyapılarının siber dayanıklılığını ve dijital dönüşüm risklerini iyi tanımalı ve konsolide etmelidir. Kurumların kendilerine özgü risk profillerini iyi tanımaları ve bu profil bilgilerini siber risk sigortası hizmeti kapsamında paylaşabilmeleri, sigorta hizmeti sağlayan tarafların siber riskleri daha iyi fiyatlandırabilmelerini ve riskleri azaltabilmelerini sağlayacaktır.
  • Kurumlar mevcut dijital olgunluk seviyelerini sektörel, ulusal ve küresel olarak belirlemeli ve olası siber ve dijital risklerini belirlemelidir. Siber riskleri azaltmak için değişen teknolojik gündeme ayak uydurmak şarttır. Dijital teknolojinin hızla gelişmesi, siber suçlular için mevcut teknikleri adapte ederek veya yeni zayıf noktalardan istifade ederek tamamen yeni taktikleri denemek için verimli bir zemin sunmuştur. Etkin bir şekilde siber ve dijital risk yönetimini sağlayan ve sürekli takibini gerçekleştiren kurumlar pandemi sürecinde ve sonrasında karşı karşıya kalabilecekleri riskleri daha açık bir şekilde siber risk sigortası kapsamına sokabilir ve kurumların karşılaşacağı siber tehditlere karşı daha iyi önlemler alabilir[12] [13].
  • Siber risk sigortası kapsamında siber riskler arasında öne çıkan unsurlardan biri de insan faktörüdür. Ağ erişim hakları ve sosyal mühendislik gibi konularda ortaya çıkan güvenlik açıkları siber risk sigortası hizmeti sunan tüm sigortacılar için önemli bir husustur. Bu yüzden siber güvenlik farkındalığı kültürü sergileyen ve doğru siber güvenlik teknolojilerine sahip kurumlar daha düşük sigorta primlerinden yararlanabilir.
  • Kurumların mevcut organizasyon şemalarında siber risklerin yönetimini sağlayacak çalışan ya da çalışanlar bulunmuyorsa, bu konuda uzman organizasyonlardan destek alınmalıdır. Tanımlanmayan siber risklerin yönetimi ve buna paralel olarak siber risk sigortası ürünleri ile azaltılması mümkün değildir.
  • Kurumlar mükemmel güvenlik modelinin olmadığı ve sıfır siber risk ya da sıfır dijital risk gibi hedeflerin bir gerçeklik temeli bulundurmadığının bilincinde olmalıdır. Kurumların amacı siber saldırıların gerçekleşme riskini azaltmak, olumsuz sonuçları en aza indirmek ve bir ihlalin ortaya çıkması durumunda daha hızlı iyileşme sağlamak için birtakım önlemler almak olmalıdır.
  • Başta KVKK olmak üzere veri güvenliği gereksinimlerinin bildirildiği farklı sektörlere yönelik hazırlanan her tür hukuki düzenlemeler ile çalışanların, müşterilerin ve ilgili üçüncü tarafların kurumlara karşı hak talebinde bulunma endişesi, kurumların siber risk sigortası edinmelerindeki başka temel gerekçelerden biridir. KVKK üçüncü taraf kişilerin verilerini korumakta ve bu verilerin kaybı için bu verileri kaybeden kuruluşu sorumlu tutmakta ve ciddi idari para cezaları uygulayabilmektedir. Üçüncü şahıs sigortaları veri ihlalleri, gizli ve özel bilgilerin ifşası ve veri ihlalleri ile ilgili savunma masrafları gibi teminatları içermemektedir[14].

Yaşanan dijital dönüşüm etkisi ile siber risk sigortası ürünlerinin tercih edilmesi hususundaki eğilim artmıştır. Buna karşılık siber risk sigortası ürünlerinde temel gerekçelerin, siber risklerin tayin edilmesi ve doğru poliçelerin gerçekçi teminat talepleri çerçevesinde hazırlanması mevcut belirsizlikler göz önüne alındığında kendine özgü bir zorluğu beraberinde getirmektedir. Bu noktada özellikle kurumlara düşen görev yaşanan saldırılar hakkında eksiksiz ve doğru şekilde bilgi paylaşımı yapması ve riskin karmaşıklığının ortadan kaldırılmasına katkıda bulunmak olmalıdır. Bu sayede siber risk ve güvenlik hakkında etkin bilgi birikimi sağlanacak ve sigorta primleri doğru şekilde hesaplanabilecektir.

Yararlanılan Kaynaklar

[1]Allianz Global Corporate & Specialty (AGCS), “Küresel İş Dünyası, Covid-19 Üçlüsü Riski İle Karşı Karşıya, İş Kesintisi, Salgın ve Siber Olaylar” (Allianz, 17 Şubat 2021) https://www.allianz.com.tr/tr_TR/faaliyetlerimiz/bizden-haberler/allianz-risk-barometresi-2021.html (Erişilme tarihi: 20.05.2021)

[2] Altuntaş E., Kara E., Soylu A. B. ve Kırkbeşoğlu E., “Siber risk sigortasılar: Son Gelişmeler, Uygulamalar ve Sorunlar”, Bankacılık ve Sigortacılık Araştırmaları Dergisi, 2018, 8 22.

[3] Altuntaş E., Kara E., Soylu A. B. ve Kırkbeşoğlu E., “Siber risk sigortasılar: Son Gelişmeler, Uygulamalar ve Sorunlar”, Bankacılık ve Sigortacılık Araştırmaları Dergisi, 2018, 8 22.

[4] Marsh Türkiye ve TÜSİAD, “2020 Türkiye Siber Risk Algı Araştırması”, 2020, https://www.marsh.com/tr/tr/insights/research-briefings/2020-turkey-cyber-risk-perception-survey.html (Erişilme tarihi: 20.05.2021)

[5] Çotak A., “Sigortacılık Sektöründe Siber Güvenliği, Dünyada ve Türkiye’deki Gelişmelerin İncelenmes”, Marmara Üniversitesi Bankacılık ve Sigortacılık Enstitüsü Sigortacılık Anabilim Dalı, 2019, 18 20.

[6] Çotak A., “Sigortacılık Sektöründe Siber Güvenliği, Dünyada ve Türkiye’deki Gelişmelerin İncelenmesi”, Marmara Üniversitesi Bankacılık ve Sigortacılık Enstitüsü Sigortacılık Anabilim Dalı, 2019, 18 20.

[7] Barlas M., “Türk Hukukunda Siber risk sigortası”, Fintechtime, 2020, http://fintechtime.com/tr/2020/09/turk-hukukunda-siber-sigorta/ (Erişilme tarihi: 20.05.2021)

[8] Ernst & Young Türkiye, “COVID-19 – Sigorta Tazminat Taleplerine İlişkin Hizmetlerimiz”, E&Y, 2020 https://assets.ey.com/content/dam/ey-sites/ey-com/tr_tr/pdf/covid-19/ (Erişilme tarihi: 20.05.2021)

[9] Wagner W. C., “Cyber Insurance: What do Cyber Insurance Policies Cover and Cost?”, Privacy & Data Security Insight, 2015, https://www.privacyanddatasecurityinsight.com/2015/04/cyber-insurance-what-do-cyber-insurance-policies-cover-and-cost/ (Erişilme tarihi: 20.05.2021)

[10] Canbek G., Siber Güvenlik ve Savunma Problemler ve Çözümler, 8. Bölüm. Siber Güvenlikte Sigortalama, Grafiker Yayınları, 2019, 40.

[11] Altuntaş E., Kara E., Soylu A. B. ve Kırkbeşoğlu E., “Siber risk sigortasılar: Son Gelişmeler, Uygulamalar ve Sorunlar”, Bankacılık ve Sigortacılık Araştırmaları Dergisi, 2018, 8 22.

[12] KPMG, “Siber Tehditlere Karşı İşinizi Sigortaladınız mı?”, KPMG, 2017, https://home.kpmg/tr/tr/home/gorusler/2017/12/siber-tehditlere-karsi-isinizi-sigortaladiniz-mi.html (Erişilme tarihi: 20.05.2021)

[13] Prudential Regulation Authority, “Cyber insurance underwriting risk: Consultation Paper CP39/16, November”, Bank of England, 2016, http://www.bankofengland.co.uk/pra/Documents/publications/cp/2016/cp3916.pdf (Erişilme tarihi: 20.05.2021)

[14] Şekeroğlu S. ve Özüdoğru H., ‘Dijital Dönemin Koruyucuları: Siber Risk Sigortaları’, IV. Uluslararası Sosyal Bilimler Araştırmaları Kongresi, 2019, 61 62.

Yazar
onurkorucu36@gmail.com