98

2016’da her beş şirketten dördü siber saldırıya maruz kaldı.

2017’den itibaren Türkiye’de de yaygınlaşmaya başlayan siber

saldırı sigortaları sayesinde firmalar sadece kendilerini

değil, müşteri ve tedarikçilerini de güvence altına alabiliyor…

Siber riske karşı sigorta kalkanı

PARA I FİNANSESİN ÇETİNEL / esin.cetinel@paradergi.com.tr

DÜNYA dijitalleşiyor. Artık hayatın her alanında her adımda dijital teknolojileri kullanarak yol alıyoruz. Ancak madalyonun bir de diğer yüzü var… O da siber riskler. Teknoloji kullanımı arttıkça siber saldırılar ve dolayısıyla siber risklerde de ciddi artış yaşanmaya başladı. Önce finans kesimi özelinde artan saldırılar artık tüm

dünyada her ölçekte firmaya ve finansın dışındaki diğer sektörlere de yayıldı. Bu saldırılardan artık bireyler de fazlasıyla nasibini almaya başladı.

YILLIK HASAR 4 MİLYAR DOLAR Chubb Türkiye Genel Müdürü Emre Buğday’ın verdiği bilgiye

göre, sadece geçen sene dünyada sigortaya konu olan yaklaşık 4 milyar dolarlık hasar oluştu. Yani başka deyişle siber saldırıya uğrayan firmalar ve bireylere sigorta şirketleri tarafından ödenen toplam hasar tutarı 4 milyar dolarlara ulaştı. Tabii bu tespit edilebilen bir rakam. Maalesef dünyada ve ülkemizde siber saldırıya uğrayan ve bundan maddi zarar gören firmalar prestij kaybı yaşamamak adına bunu kamuoyu ile paylaşmamayı tercih ediyor. Hatta çoğu firma siber saldırı sigortası yaptırdığı sigorta şirketi ile gizlilik anlaşması imzalıyor. Bu yüzden ülkemizde ve dünyada siber saldırı sonrası oluşan maddi hasarların tam tutarı bilinemiyor. Tahmin edebileceğiniz gibi açıklanan resmi rakamların misliyle üzerinde olduğu kesin…

Peki, siber saldırı sigortasının kurumlara maliyet ne? Bu soruyu yönelttiğimiz sektör temsilcilerinden maalesef net bir yanıt alamadık. Sigorta şirketlerinin yöneticilerine göre bunun çok sayıda nedeni var. Öncelikle siber saldırı sigortası klasik bir sigorta ürünü değil. Firmaya özel çalışma yapılması gerekiyor. Ve fiyatlamalar bundan sonra ortaya çıkıyor. Ancak firmanın çok özel bir durumu bulunmuyorsa fiyatlar genelde “binde” oranlarla ölçülüyor. Yani 10 milyon dolarlık bir sigorta yaptırıyorsanız bunun karşılığında “binli dolarlar” düzeyinde prim ödemesi yapmanız yeterli oluyor.

ÖNCE FİRMANIN FOTOĞRAFI ÇEKİLİYORChubb Türkiye Genel Müdürü Emre Buğday siber saldırılarda iki

taraflı risk olduğuna dikkat çekiyor. Birinci riskin sigortalının maruz kalacağı riskler, ikincisinin ise üçüncü şahısların riski olduğunu ifade eden Buğday, siber riski şöyle tarif ediyor:

Siber saldırıların yalnız Türkiye değil dünyada da hızla

arttığına dikkat çeken GRC Howden Reasürans Brokerliği,

dünya çapında yapılan araştırmalardan elde ettiği bulguları

şöyle özetliyor:

● Dünyanın en korunaklı kurum ve kuruluşlarında dahi ciddi

siber saldırılar yaşandı.

● Küçük bir işletmenin olası bir saldırı durumunda maruz

kaldığı zarar birkaç yüz bin bandında olurken, orta ölçekli

bir işletmede birkaç milyon, orta üstü/büyük ölçekli

işletmelerde yüzlerce milyonluk ve hatta etkilerinin

ölçülmesinin ilk etapta mümkün olamadığı zararlar söz

konusu olabiliyor.

● Geçtiğimiz yıl Türkiye’de ve dünyada işletmelerin

yaklaşık yüzde 80’i çeşitli boyutlarda siber risklere maruz

kaldı.● Büyük organizasyonların yaklaşık yüzde 70’i yetkisiz

erişime, yüzde 73’ü ise virüs ve kötü niyetli yazılım

bulaşmasına maruz kaldı. (Bir önceki yıla göre yüzde 59

oranında artış yaşadı.)

● Büyük şirketlerin yaklaşık yüzde 38’i hizmet erişim

engellenmesi saldırıları ile karşılaştı. Yüzde 16’sının gizli

veri ve fikri mülkiyet arz eden bilgileri çalındı.

● Siber risk sigortalarına talep geçen yıl yüzde 60 artış

gösterdi.

İşletmelerin yüzde 80’i

siber risk yaşadı

PA RA HAF TA LIK EKO NO Mİ DER Gİ Sİ 3 - 9 ARALIK 2017

FINANS.indd 98FINANS.indd 98 01/12/17 18:2701/12/17 18:27

“Siber risk derken bir kurumsal firmanın işletim ağı sisteminin dışardan bir saldırı sonucu veya içerden bir çalışanın kötü niyetli hareketi sonucu maruz kalabileceği her türlü kayıptan bahsediyorum. Bunun içine fiziki hasar yani kırılma veya çatlama girmiyor. Siber risk için sigortalının verisinin kaybolması, verinin kötü niyetli kişiler tarafından başka platformlarda kullanılması sonucu ortaya çıkabilecek riskler, hatta dava masrafları, pazar kayıpları, rekabet gücünün azalması gibi ortaya çıkarabilecek her türlü masraftan söz ediliyor.”

Firmaların güvenlik ağlarını güçlendirseler de hacker’ların bir adım önde olabileceğini hatırlatan Buğday, siber risk sigortasının işleyişi hakkında ise şu bilgiyi veriyor:

“Firma ziyaretlerimizde öncelikle siz ne kadar güvenli ağlar yaratırsanız yaratın hacker’ların varlık amacı bu ağı geçmek diye hatırlatıyoruz. Bu yüzden sürekli saldırı altında olabilir ve bir yerden yakalanabilirsiniz uyarısında bulunuyoruz. Bu ziyaretlerde öncelikle uzmanlarımız firmanın fotoğrafını çekiyor. Bu şirketin hangi verileri var, hangi güvenlik ağlarını kullanıyor bunları tespit ediyoruz. Hangi risklere açık bunu belirliyoruz. Bu nedenle firma bazında özel çalışma yapılması gerekiyor. Müşteriye özel poliçe tasarlıyor ve fiyatlama yapıyoruz.”

“TEKSTİL FİRMASI DA YAPTIRMALI”Buğday, siber saldırı sigortasında asıl önemli sürecin hasardan

sonra yaşandığına dikkat çekiyor. Bu süreçte devreye hukukçuların ve varsa halkla ilişkiler ajanslarının girdiğini söyleyen Buğday, “Siber saldırı sonrası elde edilen veriyi kim kullanacak? Çünkü müşteri verilerinin çalınıp başka platformlarda kullanılması durumları geçmişte çok yaşandı. Bunu sigorta şirketi olarak uçtan uca ajan gibi takip etmemiz gerekiyor” diyor.

Siber saldırı sigortasını dünyada ve Türkiye’de ağırlıklı olarak bankacılık ve finans kesimi yaptırıyor. Son yıllarda reel endüstriler, sağlık, perakende ve özellikle ilaç sektörü de bu sigortayı tercih etmeye başladı. Fiyatlandırmalar ise firma bazında farklılık gösterebiliyor. Genel sigortacılıkta fiyatlandırmaların binde bir, binde ikilerle ifade edildiğini hatırlatan Buğday, “Metedolojik anlamda siberde de bindeler üzerinden yapılır ama riski özel olanlar

varsa yüzdelerle de ifade edilebilir” diyor. Chubb, siber saldırı sigortasının Türkiye’de tanıtımı için firmalara

özel seminerler, eğitimler düzenliyor ve birebir müşteri toplantıları organize ediyor. Önce ürünü anlatıp ardından şirkete özel veri analizi, durum analizi yaptıklarını söyleyen Buğday, son bir yılda 200’den fazla farklı sektördeki firmayı ziyaret edip ürünü anlattıkları

bilgisini veriyor. Türkiye’de bugüne kadar büyük firmanın siber saldırı

sigortası yaptırdığını ancak ürünün özellikle son bir yılda orta ölçekli (OBİ) firmalara doğru inmeye başladığını söyleyen Buğday, “Start-up’lar özellikle dijital start-up’lardan da ilgi var. Artık her sektörün siber saldırı sigortası yaptırması gerekiyor. Örneğin tekstil sektörünün kullandığı makinaların da artık bir IP numarası var. Onların da siber saldırı sonrası bir anda makinaları durabilir. Biz örneğin tekstil firmalarını ziyarete gittiğimizde dünyadaki tekstil firmalarının maruz kaldığı riskleri de anlatıyoruz” diyor.

DANIŞMANLIK HİZMETİ VERİYORGRC Howden Reasürans Brokerliği Müdürü Sevil Ertürk ise,

teknoloji kullanımının artmasına paralel olarak küçük, orta, büyük ölçekli ayrımı olmaksızın tüm şirketlerin ve bireylerin doğrudan veya dolaylı olarak siber risklere maruz kaldığına dikkat çekiyor. Siber risklerin arttığı bu ortamda sigortalara olan talepte önemli

99HAF TA LIK EKO NO Mİ DER Gİ Sİ 3 - 9 ARALIK 2017 PA RA

Son yıllarda siber saldırıların kurumların yanı sıra bireyleri de hedef alması Anadolu Sigorta’yı da harekete geçirdi. Bireylere özel siber saldırı sigortasını hayata geçiren kurum, hem zararların karşılanması hem de kullanıcıların güvenlik duvarlarının yükseltilmesini sağlıyor. Bireylere yönelik siber saldırılar yüzünden kayıpların her geçen gün arttığını söyleyen Anadolu Sigorta Genel Müdür Yardımcısı Levent Sönmez, raflarına yeni koydukları, “Bireysel Siber Güvenlik Poliçesi” hakkında şu bilgiyi verdi:“Bu poliçe ile sigortalılarımızla sadece zarar gerçekleştikten sonra irtibat kurmuyor, aynı zamanda zararın ve kaybın gerçekleşmesini engellemeye yönelik siber taramaları ve periyodik otomatik raporlama hizmetlerini de veriyoruz. Bireysel Siber Güvenlik Sigortası poliçemiz, kişisel bilgi hırsızlığı ve siber saldırılara karşı sigortalılarımızın kendini korumasına yardımcı olan derin internet taramaları ile birlikte, siber risklerden kaynaklanabilecek mağduriyetin giderilmesi ile ilgili uzman danışmanlığı ve hukuki koruma teminatını da kapsıyor.” Anadolu Sigorta, Bireysel Siber Güvenlik Sigortası kapsamında,

kimlik hırsızlığı, online saygınlığa zarar verilmesi (e-repütasyon), e-alışveriş, ödeme araçlarının çalınması risklerine karşı uzman desteği/danışmanlığı ve hukuksal koruma teminatları sağlıyor. Kurum ayrıca, müşterilerinin kişisel bilgilerinin güvenli olmayan ve yasa dışı web sitelerinde izinsiz kullanımını 7/24 tarayan, eğer bir bulguya rastlarsa e-posta ve SMS yolu ile otomatik olarak haber veren, tespit edilen riskli verilere göre aksiyon planları sunan, geçmişe yönelik güvenlik taraması ve raporlama hizmeti içeren Anadolu Siber Tarama Hizmeti’ni de sunuyor. Bireysel Siber Güvenlik Poliçesi’nin bu hizmet ve korumaya karşın yıllık prim tutarının tüm poliçeler için 150 TL olduğunu söyleyen Sönmez, “Sigortalılarımız bu tutarı, kredi kartı ile tek çekim ya da üç taksit seçeneklerinden birini tercih ederek ödeyebilir” diyor. Sönmez, ürünün satışına kasım ayında başlanmasına karşın oldukça yoğun ilgi gördüğü bilgisini de veriyor.

Levent SÖNMEZ / Anadolu Sigorta Genel Müdür Yardımcısı

150 TL’ye siber koruma

Emre Buğday

FINANS.indd 99FINANS.indd 99 01/12/17 18:2701/12/17 18:27

100 PARA HAFTALIK EKONOMİ DERGİSİ 3 - 9 ARALIK 2017

artışlar yaşandığını söyleyen Ertürk’ün verdiği bilgiye göre, siber risk sigortaları ülkemizde daha limitli ölçülerde bireysel müşterilere ve ayrıca kurumsal ve ticari müşterilere çözüm sunuyor. Teminat kapsamının genel olarak üç esastan oluştuğunu belirten Ertürk, siber bir saldırı/tehdit vb. durumlarda ortaya çıkacak riskleri şöyle özetliyor:

“Birincisi, şirketlerin kendi zararları (birincil şahıs zararı), iş durması/kar kaybı, halka ilişkiler giderleri, network kesintisi, erişim engelleme, siber tehdit ve şantajlar, dijital medya giderleri, mahkeme ve savunma masrafları, müşterilerin bilgilendirilmesi ve süreç yönetimi

hizmetleri, yasal ödemeler, soruşturmalar, idari para cezaları, reputasyon kaybı, yazılım, veri, ticari sırlar ve fikri mülkiyet hakları, çalışanların bilgisayarlarını ofis dışında unutması nedeniyle uğranılabilecek siber zararlardır.İkincisi, müşterilerin (üçüncü şahıs

sorumluluk) finansal kayıplarına karşın tazminat ödemeleri, üçüncüsünü ise bilişim teknolojisi hizmet sağlayıcıları (IT forensic), yasal temsilci ve hukuki destek birimleri ile asistans hizmetleri olarak özetleyebiliriz. Bunlara kapsama önleme, telefonla hack’leme, elektronik suç (computer crime) gibi pek

çok genişletme de dahil edilebilir. Bu nedenle kişi ve kurumların ihtiyaçlarına en uygun teminatın sunulması önemli.”

Howden ayrıca, henüz teklif aşamasında tespit edilen açık noktalar/önlem alınması gereken hususlar konusunda müşterilerine danışmanlık hizmeti de sunuyor. Bunun yanı sıra şirketlerin ihtiyaç ve talepleri doğrultusunda kendilerine ve personellerine iletebilmeleri adına phishing (avlama) başta olmak üzere; olası risk türleri ve nasıl korunabileceğine ilişkin eğitim materyalleri de temin ediliyor.

“TÜM DÜNYADA TALEP ARTIYOR”Finans kuruluşu, teknoloji firmaları, hastaneler, oteller ve diğer

ticari/kurumsal şirketlere müşterilerin alanlarına, finansallarına, seçilen teminat limitine ve risklerine göre farklı fiyat talep ettiklerini de açıklayan Ertürk, siber saldırı türlerini ve etkilerini şöyle özetliyor:

“Saldırı türleri hizmet engelleme, kritik altyapı kaybı, veri/bilgi hırsızlığı, dolandırıcılık, veri yolsuzluğu, içeriden istismar, politik, veri (bilgi) savaşı, siber terörizm, siber suçlar, kötü niyetli hacker (bilgisayar korsanlığı), vandalizm, şantaj ve fidye, deneysel veya eğlence amaçlı yapılabiliyor. Bazıları direkt hedefli bazıları ise tesadüfi olabiliyor. Sızıntılar doğrudan sizden kaynaklanmasa dahi iş ilişkisinde olduğunuz veya çalışanınıza gelen bir mail’den dahi tüm sisteminizi çökertip tüm müşterilerinize zarar verebilecek boyutlarda olabilir.”

“Riskin ağırlıklı olarak finansal kurumlarda olduğu düşünülse de; teknolojinin artık evlerimizde olduğu unutulmamalı” diyen Ertürk, bu konuda şu örneği de veriyor:

“Pek çok kişisel verinin kaydedildiği otellerden, pek çok sistemle entegre olan teknoloji firmalarına, bir kişinin sağlık kayıtlarına sızıp çok gizli bilgileri almakla kalmayıp, tedavi detaylarını değiştirerek ölümüne dahi yol açabilecek risk açısından hastanelere, faaliyetlerinin sekteye uğraması, kendilerinin ve müşterilerinin zararlarına hatta tesislerini havaya uçurma risklerine istinaden tüm kurumsal ve ticari

işletmelere ve dahi muhasebe, veri kaydı gibi ihtiyaç duydukları bilgileri bloklama şantajlarına karşı mikro ölçekli yapılara kadar herkesin mümkün olduğunca güvenceye sahip olması çok önemli.”

HİZMET PAKETİ DE VARIBS Sigorta ve Reasürans Brokerliği’nin

(UIB Türkiye), “Siber Sorumluluk ve Veri Koruma Sigortası” olarak adlandırdığı poliçeleri

içerisinde iki ana teminat var. Bunlardan ilk,i bir siber güvenlik ihlali veya sigortalının IT operasyonu esnasında oluşan hatalar sebebi ile doğacak veri kaybını takiben sigortalının kendi zararları (buna kesinti sebebi ile oluşacak iş durması ve kar kaybı, kişisel verilerin korunması kapsamındaki soruşturmalar ve idari para cezaları ile kişilere bildirim masrafları, siber tehdit kaynaklı fidye ödemeleri vb. kalemler de dahil), diğeri ise sigortalının network ve veri

sorumluluğu sebebi ile karşı karşıya kalabileceği üçüncü şahıs zararları.

Bu ürünlerin esasen yalnızca bir sigorta korumasından ibaret olmadığını, içerisinde olası bir siber güvenlik olayını takiben sigortalıların 7/24 faydalanabileceği bir hizmet paketinin de yer aldığını söyleyen IBS Genel Müdürü Murat Çiftçi, “Bu paket içerisinde IT araştırma masrafları, hukuki danışmanlık ücretleri ve olası bir reputasyon kaybının önüne geçmek üzere yapılan

halka ilişkiler danışmanlık ücretleri var” diyor. Siber riske ilişkin hem sigortacılara

riskin iyi anlatılması hem de risklerin minimize edilmesine olanak sağlayan bağımsız bir siber risk

danışmanlığı hizmeti sunduklarını ifade eden Çiftçi, sözlerini şöyle sürdürüyor:

“Siber saldırıya uğrayan bir müşteri için ilk aşamada olayın araştırılması ve tespiti amacı ile IT araştırma masrafları ödeniyor ve süreç bu şekilde başlıyor, akabinde hasarın türüne göre ilgili teminat kalemlerinin devreye girmesi ile hasar ödemesi gerçekleştiriliyor.”

“TÜM SEKTÖRLERİ İLGİLENDİRİYOR”Çiftçi’nin verdiği bilgiye göre, özellikle 2016 ve sonrasında siber

sigortalara olan talep oldukça yükseldi. Geçmiş yıllarda yalnızca finans, bilişim vb. belli başlı sektörler tarafından ilgi gören bu ürünün artık tüm sektörlerin ilgisini çekmeye başladığını ifade eden Çiftçi, “2017 yılına baktığımızda hacker’ların özellikle endüstriyel kontrol sistemlerine yönelik saldırılar yaptığını görüyoruz. Dolayısıyla ilerleyen dönemde bu poliçelerin her sektörde daha da yaygın hale geleceğini tahmin ediyoruz” diyor.

Türkiye’de siber saldırıya uğrayan kişi ve kurumların BTK’ya bildirimde bulunması gerekiyor. Ancak Türkiye’de bu başvuruların çoğunlukla yapılmaması yüzünden sağlıklı bir kayıt sistemi bulunmuyor. Ancak hem Türkiye’de, hem dünyada yaşanan son olayların çok ciddi boyutlarda zararlara yol açtığına dikkat çeken

Çiftçi, konuşmasını şu örnekle sonlandırıyor:“Türkiye’de yakın zamanda finans sektörü

ciddi saldırılara maruz kalmıştı. Yurtdışında yaşanan en yakın örnek ise Mayıs 2017’de gerçekleşen Wannacry saldırılarıydı. Bu fidye saldırılarında 150 ülkede 200 binden fazla bilgisayarın etkilendiğini, başta finans, sağlık, enerji, otomotiv ve telekomünikasyon sektörlerinde ciddi zararlar yaşandığını biliyoruz. “

PARA I FİNANS

Murat Çiftçi

Sevil Ertürk

FINANS.indd 100FINANS.indd 100 01/12/17 18:2801/12/17 18:28