Görünmez siber hasarlar primleri fırlatabilir

Siber teminat vermeyen sigortacılar da siber hasarları ödemek zorunda kalabiliyor. Bir aracın navigasyonunun ele geçirilmesi, aracın kaza yapmasına neden olabiliyor ve trafik poliçesine hasar olarak yansıyor. “Sessiz siber” denilen bu gibi riskler çoğu branşta hasarların görünmez bir şekilde artmasına neden olabilir. 

Siber risklere teminat veren poliçelerin sigorta pazarındaki yeri hızla büyüyor. Siber risklere karşı kurumlar ve bireyler sigorta önlemi almaya başlamış durumda. Ancak, sigortacılar siber risklerin kapsamı konusunda endişeli. Dolaylı olarak siber risklerle alakalı olan, ancak düzenlenirken siber riskler düşünülmemiş sigorta poliçelerinin “sessiz teminat”ları sigortacıların korkulu rüyası olabilir.

Willis Re tarafından yapılan “Sessiz Siber Risk Görünümü” araştırması, hakkında çok az verinin olduğu bir alanı inceliyor. Siber riskler konusunda kesin bir hüküm bulunmayan sigorta poliçeleriyle ilgili araştırma, siber nedenli hasarların olasılığını ve potansiyel etkilerini ortaya koyuyor. “Sessiz siber” denilen, dolaylı siber hasarların ortaya çıkmasına neden olabilecek senaryolardan bazı örnekler vermek gerekirse:

* Endüstriyel bir fabrikanın kontrol sistemlerine zarar vererek, patlamaya ve ortaya çıkan yangın sonucunda işletmede çok yüksek hasara neden olan bir saldırı,

* Transit sistemi bozarak bir yolcu treninin rayından çıkmasına neden olan, bedeni hasar ve ölümle sonuçlanan siber saldırı,

* Asansörün düzgün çalışmasını engelleyen ve çok sayıda ölüme neden olan bir zararlı yazılım,

* GPS navigasyon sistemine girip, sürücüyü yanlış yönlendirerek trafik kazasına neden olan bir virüs.

SİBERDEN DOĞAN HASARLAR TÜM POLİÇELERİ ETKİLEYECEK

Siber risklerden doğan dolaylı hasarların ödenmesinde en büyük faktör poliçelerdeki maddeler ve olayların meydana geliş şekli olacak. Hasarların hepsi ödenmeyecek olsa da, varsayıma dayalı tahminler bile sessiz siber olayların, siber risklere güvence vermek için dizayn edilmemiş poliçelerin bile prim/hasar rasyolarını değiştirebileceğini ortaya koyuyor.

“SESSİZ SİBER RİSK GÖRÜNÜMÜ”

Willis Re son araştırmasında 70 sigorta şirketi ve grubundan 750 katılımcıya danışarak, bahsettiğimiz risklerin sektör için maliyetini saptamaya çalışıyor. Araştırma konuya 4 farklı branştan yaklaşıyor. Bu branşlar arasında konut sigortası, trafik sigortası, üçüncü şahıs mali sorumluluk sigortası ve iş kazası sigortası olarak ayrılıyor.

SESSİZ DİJİTAL RİSK KÂRI ALIP SÜPÜREBİLİR

Araştırmaya verilen geniş skaladaki ve birbiriyle zıt cevaplar, aslında konu hakkında kamuda ne kadar az veri olduğunu gösteriyor. Örnek olarak, Tablo 1’e göre, katılımcılardan %50’sinden fazlası yangın sigortalarında sessiz siber risk faktörünün 1.01’den az olduğunu düşünüyor.

Ancak, katılımcıların az bir kısmı da sessiz siber risklerin çok daha yüksek hasara neden olacağını söylüyor. Bu da konu hakkındaki belirsizliği ortaya koyuyor. Riskin büyüklüğü hakkındaki tahminlere bakıldığında branşlar arasında da büyük farklılıklar görülebiliyor. Trafik ve iş kazası sigortası branşlarında katılımcıların %75’inden fazlası risk faktörünü 1.01’in altında görüyor.

Trafik sigortalarında siber kaynaklı risk beklentisinin bu denli düşük olmasının nedeni, teknolojik zafiyetlerden oluşabilecek hasarların da ürün sorumluluk poliçelerine gireceğinin düşünülmesi olabilir. İş kazaları sigortalarında ise beklentinin bu kadar düşük olmasının açıklaması daha zor.

Farklı yöndeki cevapların dağılımı göz önüne alındığında, çoğunluğun sorumluluk ve konut sigortası branşlarında risk faktörü olarak 1.01 verdiği görülüyor. Ancak, cevap olarak verilen tüm sessiz siber risk faktörlerinin ortalaması alındığında ise bu oran çok daha yükseklere çıkıyor. Risk faktörü sorumlulukta 1.07’ye, konut sigortalarında ise 1.074 seviyesine çıkıyor. Peki, bu ne anlama geliyor? Siber bağlantılı hasarları hariç tuttuğumuzda konut sigortalarındaki prim/hasar oranının %60 olduğunu düşünelim. Siber kaynaklı hasarların da diğer hasarlarla aynı vahamette gerçekleştiğini hesaba alırsak, 1.01’lik risk faktörü, prim/hasar oranını %60.6’ya çıkarıyor. Ancak, diğer, yani görüşlerin ortalaması alınan 1.07 civarındaki risk faktörü dikkate alınırsa bu oran %64.4 seviyesine çıkabiliyor. Bu %4’lük değişim de kârlı bir branşta kâr değil, zarar edilmesi anlamına dahi gelebilir.

MÜŞTERİ BİLGİSİ TOPLAYAN SEKTÖRLER RİSK ALTINDA

Araştırma, katılımcılardan farklı sektörlerdeki siber riskleri kategorilendirmelerini de istiyor. Trafik sigortası ve iş kazası sigortası branşlarında sektörler arasında sessiz siber risk kayıpları beklentisi son derece düşük. Bunun nedeni, bu branşlardaki genel düşük siber risk beklentisi. Diğer taraftan, konut ve sorumluluk branşlarında, ilk tabloya tezat olarak sektörler arasında büyük farklar gözlemleniyor (Tablo 2).

Özellikle İnşaat/Mühendislik ve Endüstriyel/Üretim/Doğal Kaynaklar gruplarındaki düşük risk faktörü, bu sektörlerde kişisel bilgilerin diğerleri kadar saklanmadığını ve veri hırsızlığının o kadar etkili olmayacağını gösteriyor. Araştırmaya göre genel görüş, sessiz siber risklerin veri ihlali riskleriyle direkt bağlantılı olduğu yönünde. Müşteri bilgisini saklayan Hastane/Tıp Kurumları, BT/Telekom ve Finansal Servisler gibi gruplar yüksek riskli olarak görülenler arasında. Geçtiğimiz yıllardaki büyük ölçekli siber saldırılara karşı, Perakende/Hizmet endüstri grubu yine düşük risk grupları arasında yer aldı.

BT, TELEKOM VE FİNANSAL HİZMETLER İLK SIRADA

İlginç olan ise; bilinen en büyük sessiz siber hasarların endüstriyel ortamlarda meydana gelmesine rağmen, katılımcılar Endüstriyel/Üretim/Doğal Kaynaklar grubunu yüksek risk arasında saymadı. Bunun yerine BT/Telekom ve Finansal Hizmetler yüksek risk grupları arasında yer aldı. Bu da altyapıya gelebilecek zararların katılımcılar tarafından önemsendiğini gösteriyor.

RİSK ALGISININ DEĞİŞİMİ GÖZLEMLENECEK

Ortaya çıkan son derece ilginç sonuçlar, araştırmanın tekrarlanması için adeta ortamı hazırlıyor. Gelecek yıllarda anket çalışmalarına başlayacak olan Willis Re’nin yeni araştırmasında, geçen süreçte siber risk algısının da nasıl değiştiği gözlemlenebilir. Şirketin açıklamalarına göre 2018 yılının başlarında araştırmanın tekrarlanması bekleniyor. Diğer önemli bir nokta ise araştırmanın WannaCry ve Petya saldırılarından önce yapılmış olması. Yeni dönemde katılımcıların görüşlerinin ne yönde değiştiğini görmek hayli ilginç olacak.

NUMARALARIN ANLAMI

Willis Re araştırmasında katılımcılara gelecek 12 ay içinde siber kaynaklı hasarların teminat verilen hasarları ne oranda artıracağı soruluyor. %100 üzerinden gelen cevaplar (%0 “siber nedenli ekstra hasar olmaz”, %100 ise “Gerçekleşen hasar kadar siber kaynaklı hasar da gerçekleşir” anlamına geliyor) daha sonra siber risk faktörüne dönüştürülüyor. 1.01 100 siber kaynaklı olmayan hasar için bir siber kaynaklı hasar anlamına gelirken, 1.5 şeklindeki kullanım her 100 hasar için 50 de siber kaynaklı hasar meydana gelmesi anlamına geliyor.

KATILIMCI DEMOGRAFİSİ

Siber risklerin gelişme hızını dikkate alan Willis Re, araştırmayı özellikle çeşitli tecrübe gruplarından katılımcılar kullanarak gerçekleştirdi. Kıdemli çalışanlar hasar senaryoları ve poliçe konusunda daha derin ve geniş bir uzmanlık sağlarken, daha yeni çalışanlar yeni teknolojiler ve bunların nasıl kullanılabileceği (doğru ya da yanlış yönde) hakkında bilgi verdiler.


Umut Deniz Elçi
*
umut@sigortacigazetesi.com.tr

 

26 Ekim 2017

İlgili Haberler

AvivaSA’dan Türkiye’nin 10 yılı araştırması: %67, çocuklarının geleceğine garanti istiyor

AvivaSA, 10. yıl iletişim çalışmaları kapsamında “Türkiye’nin 10 Yılı” araştırması ile geçmiş ve gelecek 10 yıla ışık tuttu. Araştırmaya katılanların %67'si gelecek 10 yıl içinde “çocuklarının geleceklerini garanti altına almanın” ilk tercihleri olduğunu belirtti. Geçmiş 10 yıla ilişkin “Ah Keşke!” denen şey ise, en yüksek oranda (%34) “Keşke boş zamanlarımı daha dolu dolu geçirseydim” oldu. Araştırmada ayrıca, son 10 yıl içinde, Türkçe pop şarkısı ve şarkıcısı, Türk filmi, Türk dizisi, Türk sinema ve tiyatro oyuncusu ve Türk sporcusu gibi alanlarda, Türk insanının en başarılı bulduğu isimlere de yer verildi. Tarkan, Kenan İmirzalıoğlu, Arda Turan, Ali Sunal isimleri ve Recep İvedik filmi ile Diriliş Ertuğrul dizileri ilk sırada yer aldı.

“Dünyanın yarısının kullandığı işletim sistemindeki güvenlik açıklarına dair rapor trende unutulur ve…”

Lloyd’s ve Cyence tarafından yayımlanan siber risk raporunda siber saldırıların mevcut sonuçlarını daha iyi anlamak için iki senaryo üzerinden ilerleniyor. İki senaryo da, siber saldırılara karşı alınan önlemleri sağlamlaştırabilmek için analistlerin hayal güçlerinin bir ürünü. Oldukça ilginç olan bir senaryoya göre, bir siber güvenlik analisti, içinde küresel piyasanın yarısı tarafından kullanılan bir işletim sisteminin güvenlik açıklarına dair raporu trende unutuyor. Bu rapor “derin web” üzerinden satışa çıkarılıyor. Birisi de sistemdeki açıkları kullanarak maddi kazanç sağlamak amacıyla raporu satın alınıyor.

Yazarlar