Siber Sigorta Yaptırsak Mı?

“Wannacry, Wannacry, ‘I wanna cry’ [ağlamak istiyorum]” diye espri yaptı siber risk sigortası satan plaza ablası.

WannaCry’ı dünya genelinde ilk fark edip analiz edenlerden olan ve Türkiye’de ilk duyuran kişi olan ben, bir köşede dehşet içerisinde dinliyordum. İyi kötü bilgi birikimimle, siber sigortanın ne kadar “şahane”, ne kadar “muhteşem”, ne kadar “her derde deva” olduğunu dinlerken, duyduklarımı aklım almıyordu. Siber güvenlik konusunda uğraştığımız her sorunun, her derdin, her meselenin mucizevi bir çözümüydü adeta siber sigorta.

Aradan birkaç yıl geçti ve kuruluşlara verdiğimiz siber sigorta danışmanlığı hizmeti vasıtasıyla iyice emin oldum ki; siber sigortanın satış toplantılarında anlatılanlar ile çok da ilgisi yok.

Unutmuyorum, büyük holdinglerden birisinin yöneticisi bana “İstedikleri prim tutarıyla ben yılda 5-6 tane olay yaşasam bile bu sigortadan daha ucuza geliyor” demişti.

Geçtiğimiz aylarda Kanada’da iki farklı belediyenin ciddi fidye yazılımı olayları yaşadıktan sonra yaptıkları açıklamaların ortak noktalarından birisi “Ya aslında siber sigortamız da vardı ama parayı neden ödemediklerini tam anlayamadık” idi.

Ülkemizde yeni gelişmekte olan siber sigorta konusunda karşı karşıya olduğumuz en önemli risk belki de bu; sigortadan para alamamak. Kasko veya yangın poliçelerinde de bazı “gri” veya muallak maddeler bulunabiliyor. Sorun şu ki; arabanızı çarptığınız ve farınız kırıldığında bu açıkça tespit edilebilen bir hasardır ve bu durumda sigorta poliçesinin ilgili maddesi devreye girer. Bu halde dahi kusur oranlarından, kaza tutanağının nasıl doldurulduğuna kadar pek çok faktör sigortadan para alıp alamayacağınızı etkiler. Yani arabayı çarpmış da olabilirsiniz, sarhoş bir sürücü de size çarpmış olabilir. Sağ farınız da kırılmış olabilir, arabanız pert olmuş da olabilir. Haliyle her durumun sigorta açısından bambaşka sonuçları olacaktır.

Şimdi bunun bir de siber ortam versiyonunu düşünelim: Özel yatırımlar ve süreçler gerektirmesi nedeniyle, olayların geç tespit edilebildiği ve olay boyutunun hemen anlaşılmasının pek az durumda mümkün olabildiği siber güvenlik ihlallerinde, “gri” maddeler daha da etkili oluyor. Yani muallakta kalan konuların diğer sigorta çeşitlerine göre fazla olması muhtemel.

Şimdi buna bir de poliçe dili sorununu ekleyin. Siber risk konusunda bir sigorta yaptırmak istediğinizde karşınıza ya İngilizce, ya da sigorta firmasının çalıştığı tercüme bürosu tarafından tercüme edilmiş bir poliçe metni çıkacaktır (Bir Türk sigorta şirketinin verdiği poliçeleri bunun dışında tutuyorum.). Bu durumda, poliçenin İngilizcesini siz mi tercüme ettireceksiniz? Tercüme doğru olacak mı? Tercüme yapılırken Türkiye’de kanun maddesi veya yönetmelikte karşılığı olmayan (bizdeki Kişisel Verilerin Korunması Kanununa göre farklar içeren GDPR gibi) konularda ne yapılacak? Avukatlarınızın İngilizce seviyesi orijinal metni anlamaya yetecek mi? ve benzeri sorular karşımıza çıkıyor.

Bir süredir A.B.D.’de devam eden bir dava, bu konudaki sorunların bize özgü olmadığını ve yukarıda saydığım bütün riskleri bertaraf etseniz bile neyle karşılaşabileceğinizi gözler önüne seriyor. Wannacry’dan sonra karşılaştığımız küresel zararlı yazılım salgını olan NotPetya dünya genelinde dev kuruluşları etkilemişti. Bu kuruluşlar arasında, Tobleron ve Oreo gibi lezzetin vücut bulmuş hali olan pek çok markanın sahibi, Mondelez de vardı. Mondelez bünyesinde NotPetya dolayısıyla oluşan zararın 100,000,000 A.B.D. Dolarının üzerinde olduğu düşünülüyor. Modelez’in tam da bu durumu düşünerek satın aldığı bir siber risk sigortası varmış. Sigorta poliçesinin bir maddesini paylaşmak istiyorum: “physical loss or damage to electronic data, programs, or software, including loss or damage caused by the malicious introduction of a machine code or instruction.” Özetle; “zararlı yazılımların, yazılım, program veya elektronik verilerin kaybı veya hasarına neden olması”.

Çok güzel, tam olarak firmanın yaşadığı durumu özetleyen bir madde.

İşlerin ilginç hale geldiği yer burası; sigorta şirketi parayı ödemeyi reddetmiş!

Gerekçe olarak poliçede yer alan başka bir madde sunulmuş.

Poliçede yer alan bu madde, aşağıdaki durumlarda ödeme yapılmayacağını belirten, genelde “bunlar zaten standart” şeklinde lanse edilen istisnai durumlardan birine ilişkin. “Barış veya savaş halinde saldırgan veya ‘savaş benzeri’ eylemler, başka bir devlet desteği ile veya birimi tarafından gerçekleştirilen” olarak tanımlanan olaylar poliçe kapsamında değilmiş. Kısaca sigorta şirketi NotPetya zararlısının “savaş benzeri” ve/veya “başka bir devlet” tarafından yapılmış bir saldırı olduğunu iddia etmiş ve ödeme yapmayı reddetmiş. Modelez bunun üzerine sigorta şirketini mahkemeye vermiş.

Şimdi geldiğimiz noktada, sigorta şirketi bunun “savaş benzeri” veya “başka bir devlet tarafından” gerçekleştirilen bir eylem olduğunu kanıtlamak zorunda. Sorun bununla da bitmiyor aslında; mahkemenin de delillere bakarak bu konuda bir karar vermesi gerekecek.

Kısaca sektör olarak yapmakta zorlandığımızı, bir sigorta şirketi ve bir hâkim yapmak zorunda kalacak.

Peki, Siber risk sigortası alırken nelere dikkat edilmeli?

Tecrübelerimiz sonucunda ortaya çıkarttığımız 46 maddeden oluşan bir “Poliçe Kontrol Listesi” var. Kuruluşunuz siber risk sigortası almayı düşünüyorsa, bana yazmanız yeterli memnuniyetle yardımcı olmak isterim.

Bunun dışında dikkat edilmesi gereken önemli bazı konular ise şunlar;

  1. Geçmişe dönük kapsam: Siber güvenlik olaylarını tespit etmek zaman alabiliyor. Bu durumda poliçenizin ne kadar süre önce yaşanmış olayları kapsadığı önemli.
  2. Olay müdahale konusunda seçenekleriniz: Bazı poliçeler olay müdahalesi ve incelemesi konusunda sizi kendi seçtiği bir firmayla çalışmak zorunda bırakabilir. Bu durumda yıllardır çalıştığınız ve güvendiğiniz siber güvenlik firması yerine ilk defa gördüğünüz, sizi ve ülkemizi hiç tanımayan kişilerle çalışmak zorunda kalabilirsiniz. Olay sonrası yaşanan stresli ortamda bu tercih etmeyeceğiniz bir şey olabilir.
  3. Cihaz ve ağ kapsamı: 2018 rakamlarına göre, fidye yazılım olaylarının %38’i mobil cihazları etkiliyor. Poliçeniz sadece sunucular ve masaüstü bilgisayarları kapsıyorsa envanterinizin önemli bir kısmı için yapabileceğiniz hiçbir şey olamayabilir.
  4. Prim ve muafiyet miktarlarına bakın: Muafiyet kısaca sigorta şirketinin “bana bu rakamın üstündeki olaylarla gel” dediği meblağ. Örneğin, bütün siber güvenlik risk ve etkisi 100.000 TL olan bir kuruluşun 50.000 TL muafiyetli bir poliçe alması çok mantıklı olmayacaktır. Bu rakam çok yüksek ve yaşanması muhtemel olayların çok önemli bir bölümü bu rakamın altında kalacaktır. Dolayısıyla sigortadan para alamayacağız. Muafiyet ve diğer rakamların kuruluşunuza uygun olduğundan emin olun.
  5. Satın alma ekibi oluşturun: Diğer sigortalar gibi bu konuda kararı tek başına Finans veya Satın alma birimi vermemeli. Aksi halde teknik açıdan işe yaramayacak ve “bu parayı neden ödemediklerini anlayamadık” diyebileceğiniz durumlarla karşılaşma ihtimaliniz oldukça yüksek. En az Teknik, Hukuk ve Finans birimlerinden kişilerden oluşan bir ekip olarak karar verilmesi doğru olacaktır.

 

2 yorum

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*