Siber sorumluluk sigortası nedir?
Siber Sorumluluk Sigortası, siber olaylardan kaynaklanan finansal kayıpları kapsar: veri ihlalleri, fidye yazılım saldırıları, sistem kesintileri, düzenleyici cezalar, iş kesintisi ve itibar zararı. Siber sigorta 2000’lerde niş ürün olarak ortaya çıktı ve 2017 sonrası (WannaCry, NotPetya) yönetim kurulu seviyesinde ana akım gereksinim haline geldi. Kapsam birinci-taraf (kendi kayıpları) ve üçüncü-taraf (başkalarına karşı sorumluluk) içerir, bu da onu genel sorumluluk ve E&O’dan maddi olarak farklı kılar.
Siber poliçe kapsam bileşenleri
- Birinci-taraf kapsamı: veri kurtarma, iş kesintisi, siber gasp (fidye yazılım), olay yanıt maliyetleri (adli bilişim, hukuki, bildirim, kredi izleme), itibar zararı.
- Üçüncü-taraf kapsamı: etkilenen bireylere veri ihlali sorumluluğu, düzenleyici savunma ve cezalar (sigortalanabilir olduğunda), medya/gizlilik sorumluluğu.
- Eklemeler: sosyal mühendislik dolandırıcılığı, sistem arızası (kötü niyetli olmayan), itibar zararı kapsamı.
Yaygın istisnalar
- Savaş eylemleri: ulus-devlet ataması savaş istisnasını tetikleyebilir (NotPetya/Merck davası, 2024 kararı).
- İçeriden/çalışan hırsızlığı: ayrı emniyet kapsamı uygulanabilir.
- Kontrolleri sürdürememe: asgari güvenlik temel çizgileri gereklidir (MFA, yama yönetimi, yedekler).
- Önceki bilinen olaylar: geriye-dönük tarih uygulanır.
- Hukuken icrası mümkün olmayan cezalar: düzenleyici ceza sigortalanabilirliği yargı bölgesine göre değişir.
Underwriting ve asgari kontroller (2023+ sıkılaştırma)
- Çok-faktörlü kimlik doğrulama (MFA): tüm uzak erişim, ayrıcalıklı hesaplar.
- Uç Nokta Tespit ve Yanıt (EDR): yalnızca eski antivirüs değil.
- Yedek stratejisi: hava-boşluklu, değişmez, test edilmiş geri yükleme.
- Ayrıcalıklı erişim yönetimi: tam zamanında, denetim günlüğü.
- Zafiyet yönetimi: düzenli yama SLA, tarama.
- Olay yanıt planı: test edilmiş tabletop egzersizler.
Türk şirketleri için siber sigorta
Türk siber sigorta pazarı (Anadolu Sigorta, Allianz, Zurich Türkiye, AXA Türkiye, Aksigorta) son 5 yılda hızlı büyüdü; KVKK ihlal cezalarının artması ve büyük Türk şirketlerin (BİM, A101 gibi perakende; Yapı Kredi, Garanti gibi finansal) siber olay maruziyeti pazara talep yarattı. KVKK Madde 12 ihlali cezaları (1.000.000 TL+) siber poliçeler tarafından genellikle kapsanır ancak idari ceza kapsamı poliçeye göre değişir. Türk bankalar BDDK Bilgi Sistemleri Yönetimi Tebliği kapsamında siber sigorta tutmaya yönelik düzenleyici teşvik altındadır.
Yapın: poliçeyi bağlamadan önce asgari kontrol temel çizgisini (MFA, EDR, yedekler) uygulayın; yıllık tabletop egzersizlerle olay yanıtını test edin; sigortacı için KVKK uyum duruşunu belgeleyin.
Yapmayın: yalnızca poliçeye güvenmeyin — yetersiz kontroller için kapsam istisnaları giderek daha fazla uygulanmaktadır; sigorta ikinci savunma hattıdır, ilki değil.