Chubb Turkiye Hakkında
İş Olanakları
Yatırımcı İlişkiler
Bize Ulaşın
Poliçe – Hasar
header: country flag Turkey - Türkiye
Siber

Sistemik siber olayları tanımlayıp güvence altına almanın daha iyi bir yolu

cyber

Raporu indir
GİRİŞ

Katastrofik bir siber saldırının çok büyük bir bedelle oldukça geniş çaplı bir hasara neden olma potansiyeli kapsamlı şekilde konuşulsa da henüz tam olarak anlaşılmış değil.

Sonuç olarak birçok şirket siber saldırılara karşı önlem artırmaya çalışırken sigorta sektörü de bu riskleri yönetmek adına çözümler geliştiriyor.

Tüm bu çabalara rağmen kurumlar ve tüketicilerin artan teknoloji bağımlılığının yanı sıra teknolojiler ile ortakların birbirine bağlı olması siber risklerin katlanarak genişlediği bir ortama zemin hazırladı. Tıpkı pandemiler gibi siber-CAT olaylarının da coğrafi sınırları veya geçici kısıtlamaları yoktur.

Risk altındaki kuruluşlar, hükümetler ve sigorta düzenleyiciler, brokerler ve siber güvenlik sektörü de dahil olmak üzere tüm paydaşların, kuruluşlara ve bireylere ihtiyaç duydukları sigorta korumasını sağlamaya devam ederken genel ekonomik istikrarı ve toplumsal dayanıklılığı sürdürecek çözümler geliştirmek ve uygulamak için birlikte çalışması gerekir.

Sigorta sektöründe uzun vadeli sürdürülebilirliğin önündeki engellerden biri sistemik siber olaylara ilişkin tutarlı ve net bir tanımın olmamasıdır. Müşterilerin sigorta kapsamını bilmesi ve sigortacıların, üstlendikleri müşteri risklerinin yükümlülüklerini yerine getirebilmesi adına risk yöneticileri, brokerler ve sigortacılar poliçe hüküm ve koşullarına dair ortak bir anlayışa nasıl varabilirler?

Aşağıdaki Soru-Cevap bölümünde, Chubb Group ve Bölüm Başkanı, Global Siber Risk Başkan yardımcısı Michael Kessler, genel yanlış anlaşılmalar ve çözümler de dahil olmak üzere yaygın siber risklere yönelik olarak gelişmekte olan sigorta piyasasından bahsediyor.

Michael Kessler ile Soru-Cevap

Siber sigorta piyasasında, “sistemik risk” kavramına dair net bir tanım bulunmuyor. Chubb olarak, siber güvenlik bağlamında “sistemik” olayı şöyle tanımlıyoruz: Genellikle kötüye kullanılan tek bir hata noktası olmak üzere, ortak unsurlar veya müştereklikler sebebiyle çok sayıda müşteriye geniş çaplı zarar verebilecek olan bir olay.” Daha basit bir şekilde ifade etmek gerekirse, tek bir olayla birden fazla kuruluşu etkileyen siber vaka olarak tanımlayabiliriz. Binlerce işletme tarafından kullanılan bir dosya aktarım yazılımdaki güvenlik açıklığından faydalanılarak kötü amaçlı yazılım yerleştirilmesi, verilerin çalınması veya işletmede aksaklığa sebep olunması, sistemik olaylara örnek olarak verilebilir. Bu şekilde tek bir istismar sebebiyle çok fazla müşterinin kayıp yaşaması, felaket düzeyinde kayıplara sebep olabilir.

Tek bir olayla birden fazla kuruluşu etkileyen siber vaka.

Genel anlamda piyasa, fidye yazılım olaylarının şiddeti ve sıklığı sebebiyle meydana gelen kayıp maliyetlerindeki değişime ayak uydurmak adına, risk ortamındaki değişiklikleri takip ediyor. Sistemik riske verilen yanıtlar artık daha üstü kapalı.

Chubb olarak, sektörün sistemik siber riski ele alma şekline ilişkin üç adet sorun tanımlamış bulunuyoruz: 1) Sigortalılara yönelik kapsamda netlik olmaması; 2) Riskin yetersiz şekilde fiyatlandırılması; 3) Riskin izlenmesine yeterli düzeyde odaklanılmaması.

Birinci sorunu çözmek adına, yaygın siber olay kavramını net bir şekilde tanımlamak istedik. Bu bağlamda sistemik olay, tek bir eylemden ortaya çıkan ve bu tek eylemin, siber riske özgü geniş etki potansiyelini açığa çıkaran bir durumdur. Poliçe açıklaması net ve kesin olduğunda, yüksek maliyetli davalar hafifletilebilir ve sigortacılar, daha fazla kapasite ve tutarlılık sunabilir.

İkinci olarak; poliçemizi, sigortalıların sistemik kapsamların fiyatlandırmasını şeffaf bir şekilde görebileceği ve risk toleransları doğrultusunda, satın alınacak limit ve konservasyon konusunda aktif karar verebileceği şekilde tasarladık. Bu, sigorta ürünleri açısından bilindik bir konsept olup; deprem kapsamının, mülkiyet poliçesindeki diğer tüm risklerden ayrı şekilde alınması buna örnek verilebilir.

Üçüncü olarak, modelleme firmalarıyla iş birliği yaparak olay senaryolarını poliçe tanımlarıyla uyumlu hale getirdik; böylelikle, bu riske ilişkin daha tutarlı ve odaklı bir bakış açısı sunmuş olduk.

  1. Sigortalılara yönelik kapsam netliğinin olmaması
  2. Riskin yetersiz şekilde fiyatlandırılması
  3. Riskin izlenmesine yeterince odaklanılmaması

Savaş veya altyapı bozulmasını içerenler hariç olmak üzere yaygın olaylar kapsam dahilinde olup, sigortalı tarafından satın alınan limit ve konservasyona tabidir. Bu kapsamın dışında kalan başka bir şey yoktur. Yaygın bir olay meydana gelirse ve savaş ilanı ya da altyapı kaynaklı bir sebep yoksa işletmeler, sigorta kapsamında olduklarını bilerek rahat edebilirler. Savaş veya altyapı bozulmasından kaynaklanan siber olaylar kapsam dışıdır. Ayrıca, savaş ve altyapı kavramları poliçede net ve objektif bir biçimde tanımlanmıştır; böylece sigortalıya, herhangi bir olay meydana gelmeden önce sözleşmede netlik sağlanır. Kapsam, saldırının failinin (örneğin ‘devlet destekli’ veya ‘devlet tarafından teşvik edilen’ saldırganlar) sonraki değerlendirmesine bağlı olmadığı için belirsizlik yoktur.

Reasürans, uzun yıllardır olduğu gibi günümüzde de büyük ölçüde bir kotpar piyasası durumunda. Yüzeyden bakıldığında bunun anlamı, sigortacıların, primin bir kısmını ve kayıplardan da eşit bir kısmı reasürörlere devretmesidir. Ancak, birçok sözleşmede, reasörürlerin kayıplarına ilişkin bir üst sınır bulunuyor; bu da söz konusu hak taleplerini ödeyecek bir prim olmaksızın, sigortalanan sigortacıyla, sigorta süresi bittikten sonraki hak taleplerine maruz kalmak anlamına geliyor. Sermayenin daha etkin bir kullanımında ise reasürörler, kayıp bazını aşan bir olayda siberi güvence kapsamına alır. Bu, mülkiyet için kayıp reasüransını aşan felaketlerle çalışan modele benzerdir. Söz konusu model, tek bir CAT olayı sebebiyle zararların birikmesine karşı sigortacıları korur. Bu yaklaşım sayesinde reasürörler, orantılı olarak daha az sermaye kullanımıyla sigorta süresi dışı volatilite konusunda daha büyük marjlar elde edebiliyor. Reasürörlerin özsermaye kârlılığı (ROE) artıyor ve siber sigorta piyasasının geneli daha verimli hale geliyor. Reasürans piyasası, gelişmek için sistemik siber olaya dair net bir tanım sunmalı ve modelleme sıklığına ve bu olayların şiddetine dair daha tutarlı bir yaklaşım sergilemelidir. Hem Chubb poliçesi, hem de dünyadaki en büyük siber sigortacılarının oluşturduğu bir sektör konsorsiyumu olan CyberAcuView tarafından yayımlanan bir poliçe, sistemik olaylara dair net bir tanım sunmaktadır. Ayrıca modelleme firmaları, geçtiğimiz 12 ayda modellerinin kalitesini ve tutarlılığını büyük ölçüde artırmıştır.

Modellerin kalitesi ve tutarlılığı geçtiğimiz 12 ay içinde ciddi anlamda iyileşme göstermiştir.

Chubb’ın bu modeli tanıtmasının üzerinden neredeyse iki yıl geçti. Birçok müşteri Chubb’ın yaptığı şeyi anlıyor ve kesinlikle destekliyor. Kendilerinin risk yönetimi konusunda daha bilinçli kararlar almasına yardımcı olunmasında net olmanın değerini görüyorlar. Örneğin büyük bir işletme, poliçe onayında sadece felaket kapsamlarını satın alıp daha az ilgili mali risklerde dahili sigorta yaptırmayı tercih edebilir. Büyük bir şirket, fidye yazılım saldırısından kaynaklanan düşük maliyetli kayıpları bilançosuna koyup, kontrol edemediği riskler için sigorta yaptırmaya karar verebilir.

Chubb, dünyada siber sigorta alanında en büyük hizmet sağlayıcılardan birisi. Poliçe sahipleri için yirmi yıldan uzun süredir siber riskler konusunda çalışıyoruz. Tüm engelleri aşmak için lider olmaya odaklanmış durumdayız. Bu deneyimlerimizi, verilerimizi ve içgörülerimizi kullanarak, bu büyüyen riski karşılamak adına çözümler geliştirmeye devam edeceğiz. Modelimizin müşterilerimize anlamlı koruma sunacağından ve başka sigortacılara da örnek teşkil edeceğinden eminiz. Daha homojen kapsamların sunulması ve sigorta sözleşmelerine potansiyel olarak farklı limit, kesinti ve fiyatlandırmaların dahil edilmesi, alıcılar ve reasürörler için anlamlı faydalar sağlar.

Daha homojen kapsamların sunulması ve sigorta sözleşmelerine potansiyel olarak farklı limit, kesinti ve fiyatlandırmaların dahil edilmesi, alıcılar ve reasürörler için anlamlı faydalar sağlar.
İÇGÖRÜ

Katostrofik riskler çoğalıyor

Sistemik bir siber olayın felaket boyutunda bir kayba neden olma potansiyeli korkutucu düzeyde olup giderek büyümektedir. 2022 yılında, dünya genelinde kötü amaçlı yazılım saldırılarının sayısı, 2021’deki toplam hacimden neredeyse beşte iki daha fazla olmuştur. Bu oran 2022’nin dördüncü çeyreğinde en yüksek noktaya ulaşmış; işletme başına haftada 1.168 saldırı rapor edilmiştir.1

2022 yılında yazılımlarda 25.000’den fazla güvenlik açıklığı tespit edilmiş olup, bu değer bugüne kadar rapor edilen en yüksek yıllık rakamdır.2 Güvenlik açığı, yazılımda bulunan ve kötü amaçlı yazılımlar tarafından istismar edilebilen bir kusur veya zayıflıktır. Nisan, Mayıs ve Haziran 2023’te, Ulusal Standartlar ve Teknoloji Enstitüsü yazılımlarda toplam 6.991 güvenlik açığı tespit etmiş, bunların 1.027 tanesi “kritik” olarak sınıflandırılmıştır.3

Felaket boyutunda kayıplara neden olan sistemik bir olaya ilişkin tahminler, global sigorta piyasasının toplam kapasitesini aşmaktadır.4 Hükümet Mali Sorumluluk Birimi (GAO) tarafından yayımlanan bir raporda bu olaylar, “ilk hedeften ekonomik olarak bağlantılı firmalara kayarak hasarı büyüten” siber olaylar olarak tanımlanmaktadır. GAO raporunda, tek bir sistemik siber olaydan kaynaklanan potansiyel zararın 2,8 milyon ile 1 trilyon dolar arasında olduğu tahmin edilmiştir.5

YAKLAŞIMIMIZ

Chubb’ın Siber İşletme Risk Yönetimine Yaklaşımı

Yaygın Olaylar da dahil olmak üzere çok çeşitli siber olayların ele alınmasına yönelik sürdürülebilir bir yaklaşım

 

Chubb’ın Siber ERM’sinin üç kolu:  

  • Kayıp Azaltma Hizmetleri – herhangi bir olay meydana gelmeden önce siber güvenlik risklerine ilişkin önemli alanları ele almaya ve belirlemeye yönelik araçlar ve kaynaklara erişim.
  • Olay Müdahalesi Hizmetleri – bir olay meydana geldiğinde kayıp risklerinin sınırlandırılmasına yardımcı olacak; hukuk, adli bilişim, bildirim, çağrı merkezi, halkla ilişkiler, dolandırıcılık danışmanlığı, kredi izleme ve kimlik telafi hizmeti gibi alanlarda uzmanlık sahibi kişilerden oluşan geniş çaplı bir ekip.
  • Risk devri – Chubb’ın finansal gücüyle desteklenen kapsamlı ve sürdürülebilir sigorta teminatı.

 

Rekabet avantajları  

  • 1998’de ilk ürünü piyasaya sürüldüğünden beri siber risk çözümleri alanında lider sağlayıcı.
  • Ölçek, sektör veya risk türü fark etmeksizin müşterilerin özel ihtiyaçlarını karşılamaya yönelik yenilikçi ve yüksek düzeyde özelleştirilebilir risk çözümleri.
  • Asgari prim ödemesi olmaması. Teminat ve limitler kapsamına göre tüm risk boyutları için primler ölçeği.
  • Poliçeye yapılacak bir ilaveyle ya da Chubb’ın sektör lideri Sadakat Suç ürünleri yoluyla ayrı poliçeler kapsamında sunulan siber suç teminatı.
  • Asgari düzenleyici gerekliliklerinden daha sağlam nitelikteki geniş kapsamlı tüketiciye dayalı çözümler içeren Siber Olay Müdahalesi Masrafları.
  • Uygun nitelikteki küçük riskler için çevrim içi fiyat teklifi ve gerçek zamanlı poliçe tanzimi. Bahsedilen riskler için Chubb sigortacınız hızlı geri dönüşler sağlayacaktır.
  • Değişen mevzuat, hukuk ve siber güvenlik standartlarını kapsayacak ve ileriye dönük değişiklikleri de göz önünde bulunduracak şekilde tasarlanmış yenilikçi teminat
  • Süreç boyunca karar vermeye yardımcı olmak için tipik siber olay akışlarıyla uyumlu hale getirilen kolay okunur formlar.
  • Barındırma ve veri depolamanın devamlı değişen yapısına yönelik dünya genelinde uygulanabilir Teminat Bölgesi

 

Yaygın olay zeyilnamesi  

  • Yaygın Olay Zeyilnamesi, Sigortalı ile hiçbir ilişkisi olmayan tarafları etkileyen ve yaygın bir etkiye sahip olan olayları kapsar. Sel ve deprem risklerinin mal sigortaları dahilinde ele alınmasına benzer şekilde teminat, limitler, konservasyonlar ve koasürans tüm Yaygın Olaylar için veya özel riskler itibarıyla özelleştirilebilir:
    • Yaygın ve Ciddi Nitelikteki Güvenlik Açıkları
    • Yaygın ve Ciddi Sıfır Gün Güvenlik Açıkları
    • Yaygın Yazılım Tedarik Zinciri Güvenlik Açıkları
    • Diğer tüm Yaygın Olaylar
  • Fidye Yazılımı Olayları Zeyilnamesi tüm siber teminatlarda aynı şekilde uygulanacak özelleştirilmiş bir teminat, limit, konservasyon ve koasüransa olanak tanıyarak giderek artan fidye yazılımı riskini ele alır.
  • İhmal Edilen Yazılım Güvenlik Açığı Zeyilnamesi, 45 gün boyunca tam kapsamlı bir teminat sağlayarak iyi bir yazılım yamalama korumasını takdir eder ve ödüllendirir ancak 45 gün sonrasında halen yamalanmamış yazılımlarda ise Sigortalı ile Sigortacı arasındaki risk paylaşımını zaman geçtikçe kademeli olarak yeniden değerlendirir.
DİP NOTLAR

1 Check Point. Küresel Siber Saldırılar 2022’de %38 Artış Gösterdi. 9 Ocak 2023.

2 Tenable Research. Boşluklara Dikkat: 2022’de Açıklanan Güvenlik Açıklarına Yakından Bir Bakış.

3 NIST Ulusal Güvenlik Açığı Veri Tabanı. Wall Street Journal haberi, 20 Haziran 2023

4 Marsh. Siber Sigorta Pazarına Genel Bakış, 2021 Dördüncü Çeyrek.

5 ABD Devlet Hesap Verebilirlik Ofisi. Yıkıcı Siber Olaylara Yönelik Potansiyel Federal Sigorta İşlemleri. 29 Eylül 2022

Raporu indir