Cengiz Özemli
Akademisyen
- Konu Yazar
- #1
## Siber Sigortada Yeni Dönem: Sektörler Artan Risklerle Sigorta Kurallarına Uyum Sağlamalı
Siber sigorta piyasası son beş yılda büyük bir değişim geçirdi. Eskiden düşük maliyetle ve detaylı inceleme olmadan poliçe düzenleyen sigortacılar, günümüzde artan fidye yazılımı saldırıları nedeniyle daha seçici davranıyor.
Üretim sektörü, 2025'in ilk çeyreğinde yaşanan siber saldırıların %68'ini oluşturuyor ve bu durum sigortacıların kimleri nasıl teminat altına alacağını yeniden gözden geçirmesine neden oldu. Sigorta firmaları ve aracıları, poliçe teklif etmeden önce şirketlerin siber güvenlik duruşlarını çok daha ayrıntılı şekilde inceliyor.
### Siber Sigortada Kritik Altyapı ve Risk Değerlendirmesi
Kritik altyapı sektöründeki şirketler, ekonomik ve toplumsal önemleri nedeniyle sigortacılar için yüksek risk grubunda. IT sağlayıcılarından veya büyük işletmelerden farklı olarak, kritik altyapı için siber savunmaların ölçümünde henüz net bir standart oluşmamış durumda. Ancak mevcut sigorta uygulamaları gelecekteki kriterlerin nasıl şekilleneceğine dair ipuçları veriyor.
### Teknolojik Altyapının Güçlendirilmesi
- Güçlü siber savunmalar sigortalanabilirliği artırır.
- Temel önlemler arasında firewall yapısı, izleme ve müdahale sistemleri bulunur.
- Bazı sigortacılar, gelişmiş güvenlik önlemleri alan müşterilere otomobil sigortasındaki güvenli sürücü indirimine benzer teşvikler sunuyor.
- İleri seviye izleme, doğru ağ segmentasyonu, veri diyotları ve tek yönlü veri transferi sağlayan donanımlar örnek teşkil ediyor.
- Bu teknolojiler, IT ve OT sistemlerinin ayrımını zorunlu kılan nükleer sektörde yaygın şekilde kullanılıyor.
### OT Güvenliğinin IT Güvenlik Stratejilerine Dahil Edilmesi
- Nükleer sektör dışındaki kritik altyapılar, OT ve IT sistemlerinin fiziksel ayrımı konusunda henüz düzenlemeden yoksun.
- OT cihazlarından buluta veri aktarımı, uzaktan teşhis, tedarik zinciri yönetimi ve tahminsel bakım gibi avantajlar sağlarken riskleri de artırıyor.
- Ağ segmentasyonu gibi gelişmiş güvenlik önlemleri OT sistemlerine saldırıları engelleyerek sigortacılar tarafından olumlu karşılanıyor.
### Belgelenmiş Siber Politikaların Zorunlu Hale Gelmesi
- Sigortacılar, siber savunma altyapısının doğrulanması için belgelendirilmiş politikalar talep ediyor.
- ABD Savunma Bakanlığı'nın Siber Olgunluk Modeli sertifikası gibi resmi mekanizmalar, savunma tedarikçilerinin siber standartlara uyumunu zorunlu kılıyor.
- Özel sektörde ise erişim kontrolleri, son olay müdahale egzersizi, siber denetim sonuçları gibi kanıtlar aranıyor.
### Risk Profilinin Yönetilmesi
- Kritik altyapı firmaları, siber güvenlik yatırımlarını risk profillerine uygun şekilde yapmalı, risk iştahını belirlemeli ve gerekli durumlarda bazı riskleri transfer etmeyi değerlendirmeli.
- Bazı sigortacılar, endüstri verilerine dayalı benchmark ve kayıp ortalamasından öte, kontrol ortamı ağırlığı ile şirketlerin toplam kalıcı riskini dolar bazında hesaplayabiliyor.
- Bu noktada ekstra güvenlik önlemleri, riskin azalmasına ve primlerin düşmesine katkı sağlıyor.
### Uyumluluk Çerçevelerine Bağlı Risk Azaltma
- Sigortacılar, National Institute of Standards and Technology'nin (NIST) 800-82 siber regülasyonu, ISA/IEC 62443 standardı ve CISA'nın sektörler arası siber performans hedeflerine uyumu takip ediyor.
- Donanım temelli güvenlik çözümleri, şirketlerin bu standartlara uyumunu destekleyerek sigorta profillerini iyileştirmekte ve genellikle finansman ile sözleşme eligibilitesi için şart.
### Sigorta Kapsamının ve Sorumlulukların Anlaşılması
- Araştırmalar, şirketlerin %91'inin siber sigorta poliçesi taşımasına rağmen, dörtte birinden fazlasının kapsam ve sorumlulukları tam anlamıyla bilmediğini gösteriyor.
- Siber sigortanın korunma sağlamasının yanı sıra veri güvenliği asıl amaçtır ve ekstra savunmalar veri ihlallerini önlemekte kritik rol oynar.
- Sigortacıların risk analiz yöntemleri geliştikçe, veri korumasına dair kanıtları olan şirketler daha uygun primlerle sigorta bulmakta ve daha güvenli olmaktadır.
