Posted on

ABD’deki Delaware Chancery Mahkemesi’nin ‘Siber Güvenlik Riski’ne Yönelik Yönetim Kurullarının ‘Caremark’ (Özen Borcu) Kapsamındaki Sorumluluklarına İlişkin Kararı* **

1. Giriş

Amerika Birleşik Devletleri’nin (ABD) Delaware Chancery Mahkemesi (6 Eylül 2022), İnşaat Sektörü İşçileri Emeklilik Fonu – Bingle (SolarWinds) davasında, şirketin siber güvenlik riskini denetlemedikleri iddiasıyla SolarWinds Corporation’ın yöneticilerine karşı Caremark’ın [(yönetim kurulunun) ‘özen’ borcu/yükümlülüğü/sorumluluğu] iddialarını öne süren bir türev davasını reddetmiştir. İşletmelerin bilgi teknolojisi altyapılarını yönetmelerine yardımcı olacak yazılımlar geliştiren SolarWinds, siber bilgisayar korsanları tarafından saldırıya uğramış ve müşterilerinin kişisel bilgileri büyük ölçüde sızdırılmıştı. Saldırı (“Sunburst” olarak da bilinir) açıklandığında, SolarWinds’in hisse fiyatı %40 oranında düştü. Hissedarlar dava açtılar ve yönetim kurulunun dava açma talebinin boşuna olduğunu, çünkü yöneticilerin çoğunluğunun şirketin siber güvenlik riskini denetlemede başarısız oldukları için sadakat yükümlülüğünü ihlal ettikleri için Caremark kapsamında kişisel sorumlulukla karşı karşıya kalma olasılığının olduğunu savundular. Dava savunma aşamasında reddedildi.

2. Davadaki anahtar noktalar

  • Bu, bir yönetim kurulunun siber güvenlik riskine ilişkin olarak Caremark kapsamındaki gözetim görevlerini ele alan geçen yıl Delaware Mahkemesi’nin aldığı ikinci karardır. Her iki durumda da (diğeri, Marriott’un otel rezervasyon sisteminin hacklenmesi ile ilgili olan Sorenson’dur), Caremark iddiaları, müşterilerin kişisel bilgilerini kamuya açıklayan üçüncü taraf bilgisayar korsanları tarafından yapılan bir siber güvenlik saldırısının ardından ileri sürüldü. Her iki davada da mahkeme, Caremark iddialarını reddetmiş ve kurumsal travmaların ardından Caremark iddialarında son zamanlarda yaşanan artışa rağmen, bir davacının Caremark’ta başarılı olmasının çok zor olduğunu yeniden teyit etmiştir. Mahkeme, her iki davada da, yönetim kurulunun çoğunluğunun “kötü niyetten” (bad faith) kaynaklanmadığı sürece, bir yönetim kurulunun kurumsal travmayı önlemedeki başarısızlığının Caremark kapsamındaki sorumluluk için yeterli olmadığını vurgulamıştır.
  • Mahkeme, yönetim kurulunun siber güvenlik konularına ve siber güvenlik riskini raporlamak ve izlemek için “ortalamanın altında” sisteme dikkatsizliğinin, daha fazlası olmadan “kötü niyet” anlamına gelmediğine karar verdi. İddiaya göre, yönetim kurulu: siber güvenlikten sorumlu komitelerden ilgili bilgileri almadı; Sunburst saldırısına giden iki yılda bir bile siber güvenliği tartışmadı ve siber güvenlik eksiklikleri ile ilgili uyarıları görmezden geldi. Bununla birlikte, yönetim kurulu: “şirketin kendisinin yasaları ihlal etmesine izin vermediği” için mahkeme kötü niyet iması bulmadı; “şirketin siber güvenlik de dahil olmak üzere kurumsal risk hakkında en azından asgari bir raporlama sistemine sahip olmasını sağladı” ve “bilinen bir görevin bilinçli bir şekilde göz ardı edildiğini ima eden, bilim adamının göstergesi olan siber tehditlere ilişkin yeterli ‘kırmızı bayrakları’ (red flags) göz ardı etmedi.
  • Davanın reddine rağmen, mahkemenin görüşü, yönetim kurullarının siber güvenlik riskini izlemek ve ele almak için uygun sistemleri uygulamaya koyması gerektiğinin altını çiziyor. Mahkeme, siber güvenlik tehditlerinin oluşturduğu artan ve sonuç olarak ortaya çıkan riskleri kabul etti. Gerçekten de mahkeme, müşterilerin kişisel bilgilerine erişimi kendileriyle paylaşmasına güvendikleri için siber güvenliği çevrimiçi sağlayıcılar için “görev açısından kritik” (mission-critical) bir risk olarak nitelendirdi.
  • Tarihsel geçmiş: Ekim 2018’de halka açık bir şirket haline gelen SolarWinds, bilgi teknolojileri altyapı yönetim yazılımları satma işindeydi. Çok sayıda müşterisi arasında birçok Fortune 500 şirketi, büyük teknoloji şirketleri (Microsoft gibi) ve devlet kurumları [FBI, Gizli Servis ve Ulusal Güvenlik Ajansı (Secret Service and National Security Agency) gibi] vardı. 2020 yılında Rus bilgisayar korsanları, SolarWinds’in yazılımına kötü amaçlı kod gizledi ve böylece SolarWinds müşterilerinin sistemlerine giriş sağladı. Bilgisayar korsanları, SolarWinds’in 18 bine kadar özel ve kamu sektörü müşterisinden e-postalara, fikri mülkiyete ve kapsamlı diğer özel bilgilere erişti ve bunları çaldı. Şirketin saldırıyı duyurmasının ardından hisse senedi fiyatı %40 düştü (ve davanın açıldığı sırada hala %30’luk bir düşüşü yansıtıyordu). Davacılar (saldırı sırasında SolarWinds’in hissedarları), şirketin yöneticilerini, “kriminal saldırının siber güvenlik riskini yeterince denetleyemedikleri” için Caremark kapsamında kişisel olarak sorumlu tutmak için dava açtılar. Şansölye Yardımcısı Sam Glasscock III, şikayetin, müdürlerin çoğunluğunun davacının Caremark iddiasının esasına ilişkin sorumlulukla karşı karşıya kalma olasılığının önemli olduğunu göstermediğini tespit ederek, talebin beyhude olduğunu ileri sürmediği için davayı reddetmiştir.

3. Tartışma

3.1. Caremark: “Caremark iddiaları”, yöneticilerin bir şirketin operasyonel uygulanabilirliği, yasal ve düzenleyici uyumluluğu ve finansal performansı ve raporlaması ile ilgili kritik risklerini denetleme ve izleme görevleriyle ilgilidir. Caremark kapsamında, yöneticiler kötü niyetlerini bildiklerini içeren koşullar altında kurumsal zararı önleyemedikleri için kişisel sorumluluğa sahip olabilirler. Başarılı bir Caremark iddiası, davacının makul bir çıkarımı destekleyen gerçekleri yeterince iddia etmesini gerektirir: (i) yöneticiler, şirketin karşı karşıya olduğu kritik riskler hakkında bilgi elde etmek ve bunları izlemek için yönetim kurulu düzeyinde bir sistemi devreye sokma konusunda “bilinçli olarak başarısız oldular” (consciously failed) veya (ii) böyle bir sistemi yürürlüğe koyduktan sonra, örneğin bu tür riskler ile ilgili potansiyel kurumsal travma olasılığını fark etmelerine neden olan “kırmızı bayrakları” kasten göz ardı ettiler (böylece dikkatlerini gerektiren riskler veya problemler hakkında bilgilendirilmekten kendilerini alıkoyarlar.

3.2. Caremark vakalarındaki son artışlar: Şansölye Yardımcısı Glasscock, SolarWinds’te “Caremark iddialarına göre, bir zamanlar görece ender görülenler, son yıllarda ılık bir bahar yağmurundan sonra karahindiba gibi çiçek açtılar…” dedi. Bu artış, Delaware Yüksek Mahkemesinin 2019 Marchard – Barnhill kararının ardından başladı ve Yüksek Mahkeme, Chancery Mahkemesinin kararını bozarak davalı yöneticilerin Caremark kapsamında potansiyel olarak sorumlu olduğuna karar verdi. Marchand, Caremark iddialarında daha önce olduğundan farklı bir başarı standardı belirlememekle birlikte, Caremark’ın neredeyse her zaman reddedilmesine yönelik tarihsel eğilimden ayrıldı. Bundan sonra, birkaç Caremark davasında (Amerisource-Bergen, Hu ve Boeing), Şansölye Mahkemesi savunma aşamasında davacıların lehine karar verdi. Bununla birlikte, son zamanlarda, Şansölye Mahkemesi, Caremark iddialarının, bir davacının ret talebine dayanmayı umabileceği en zor iddialar arasında olduğunu bir kez daha vurguladı ve birkaç davada (Sorenson, NiSource ve şimdi de SolarWinds) mahkeme yönetim kurulunun şirketin karşı karşıya olduğu kilit riskler için etkili bir izleme sistemi uygulamadığı görüşüne rağmen Caremark’ı reddetmiştir.

3.3. Mahkeme, SolarWinds davasında, henüz hiçbir Delaware kararının, yöneticileri “pozitif yasaya uymama” bağlamı dışında “iş riskini izleyememe” nedeniyle Caremark kapsamında potansiyel olarak sorumlu bulmadığını vurgulamıştır. Mahkeme, “yasal veya düzenleyici yükümlülüklerin bulunmaması, üçüncü şahısların şirket çıkarlarına aykırı suç faaliyetlerini önlemek için ne kadar çaba harcanması gerektiğinin, yönetim kurulunun temel işlevi olan iş riskinin değerlendirilmesini gerektirdiğini” vurgulamıştır. Mahkeme, bugüne kadar, “[ortaya çıkan] kurumsal travma ile yönetim kurulunun eylemleri veya eylemsizlikleri arasında yeterli bir bağlantı”yı ancak bir yönetim kurulunun şirketin “pozitif hukuk düzenlemesine” (positive-law regulation) uygunluğunu denetlemede başarısız olması durumunda, bulduğunu belirtmiştir. Caremark’ın olup olmadığının “açık bir soru olmaya devam etmesi”, bir yönetim kurulunun iş riskini denetlemedeki başarısızlığı (yasaya uygunlukla ilgili olmayan siber güvenlik riski gibi) için sorumluluk getirilebilir. Mahkeme, her halükarda, davacıların şikayetinin, herhangi bir Caremark teorisi kapsamında bir sorumluluk tespiti için gerekli olacak olan, yönetim kurulunun “kötü niyetli” olduğunu gösteren belirli olguları ileri sürmediğini tespit ettiğinden, sorunu çözmeyi reddetti (verilen her zamanki gibi, şirket esas sözleşmesi müdürleri özen yükümlülüğü ihlallerinden sorumlu tutmadı).

3.4. Davacılar, davalı yöneticilerin sadakat yükümlülüğünü ihlal edecek şekilde kötü niyetli hareket ettiklerine dair makul bir çıkarıma yol açan gerçekleri iddia etmemiştir. Özellikle, iddialara dayanarak:

  • Yöneticiler “pozitif hukuka” aykırı hareket etmediler. Davacı, SEC (Securities and Exchange Commission/Menkul Kıymetler ve Borsa Komisyonu) tarafından 2018’de yayınlanan ve şirketlerin “siber güvenlikle ilgili olanlar da dahil olmak üzere uygun ve etkili kamuyu aydınlatma kontrolleri ve prosedürleri oluşturması ve sürdürmesi gerektiği” ifadesini içeren kılavuza (guide) işaret etti. Mahkeme, bu kılavuzu “halka açık şirket kamuyu aydınlatma açıklamalarına ilişkin yükümlülüklerin kesinlikle bir göstergesi” olarak değerlendirdi, ancak “gerekli siber güvenlik prosedürlerine veya siber güvenlik risklerinin nasıl yönetileceğine ilişkin pozitif yasa hükmü” olarak değerlendirmedi. Davacı ayrıca New York Menkul Kıymetler Borsası’nın siber güvenlik “rehberine” de işaret etti. Mahkeme, bağlayıcı olmadığı için kılavuzu pozitif hukuk hükmü olarak görmedi. Mahkeme, davacıların “siber güvenlik ile ilgili yasal ve düzenleyici çerçevelerin SolarWinds’in kurumsal yönetişim uygulamalarının takip etmesi gerektiği şekilde geliştiğini iddia etmediklerine” işaret etti.
  • Yöneticiler “kırmızı bayrakları” görmezden gelmediler.
  1. Bir yönetim kurulu komitesi tarafından alınan brifing: Davacı, bir yönetim kurulu komitesinin siber güvenlik endişeleri hakkında aldığı brifingin kırmızı bayrak olduğunu iddia etti. Aksine mahkeme, bu raporun “aslında bir gözetim örneği” olduğunu belirtti. Ayrıca, rapor “yaklaşan bir kurumsal travmanın göstergesi değil” ancak “Şirketin bir siber saldırıya (cyberattack) maruz kalabileceğini” yansıtıyordu; komitenin raporu görmezden geldiği iddiası “kesin” idi ve raporun “yönetim kurulu tarafından işlem yapılmasını gerekli kıldığı” taahhüt edilmedi.
  2. Bir şirket yöneticisinin siber güvenlik açıklarına ilişkin uyarıları: Mahkeme, bu uyarıların şirket halka açılmadan önce yapıldığı için yönetim kurulu tarafından bilinmediğini, bu nedenle yönetim kurulunun yanıtının (veya eksikliğinin) kötü niyetli olamayacağını belirtti.
  3. Şifredeki yetersizlik (insufficient password): Davacı, şirketin “Şirketin güvenliğini tehlikeye atabilecek önemsiz, hatta gülünç bir parola (“solarwinds123”) kullandığına işaret etti. Buna ek olarak, iddiaya göre, bağlantısı olmayan bir üçüncü taraf, şirketin bilgi teknolojisi ekibine bu güvenlik açığını bildiren bir e-posta gönderdi. Mahkeme, yönetim kurulunun kullanılan şifre veya üçüncü şahıs e-postası hakkında bilgisi olduğuna dair herhangi bir iddia bulunmadığını belirtti ve “[böyle bir bilgi olmadan], yönetim kurulu yine bu olayla ilgili olarak kötü niyetli hareket etmiş olamaz.”
  4. Kötü siber güvenlik uygulamaları ve sektör uyarıları: Mahkeme (bir dipnotta) davacının, şirketin siber güvenlik uygulamalarındaki “ağır eksikliklerin” ve bu tür uygulamalarla ilgili endüstri uyarılarının, yönetim kurulunun görmezden geldiği kırmızı bayraklar olduğu yönündeki iddiasını da not etti. Mahkeme kararında şunlar yazıldı: “Bu kararlar, kırmızı bayraklara yol açan belirli olaylardan ziyade ticari kararlardır…. [Ve] [endüstri uyarılarını dikkate almamak]…kötü bir uygulamadır, ancak yönetim kurulunun güvene dayalı görevi olduğu gibi, özellikle SolarWinds’i denetlemek için kötü niyetli başarısızlığı savunmak için yetersizdir.”
  • Yöneticiler, siber güvenlik riski için bir gözetim mekanizması oluşturma konusunda “tamamen başarısız” olmadılar. Davacı, iddiaya göre, yönetim kurulu, Sunburst saldırısına giden iki yıl içinde “Şirketin görev açısından kritik siber güvenlik riskleri hakkında tek bir toplantı düzenlemedi veya tek bir tartışma yapmadı.” Mahkeme, bu süre zarfında yönetim kurulunun iki yönetim kurulu komitesini siber güvenlik risklerinin gözetiminden sorumlu tuttuğunu belirtti. Mahkeme, “belirli bir yıldaki belirli bir riskin” gözetim sorumluluğunu “sahte olmayan, işleyen bir Komiteye” (non-sham, functioning Committee) devretmenin, yönetim kurulunun gözetim sorumluluklarını kötü niyetle kasıtlı olarak göz ardı ettiği anlamına gelmediğine işaret etti. Komitelerin yönetim kuruluna rapor vermemesi, müdürleri ilgilendirmesi gereken bir “ortalamanın altında raporlama sistemi”ne işaret etse de, bu bir raporlama sisteminin var olduğuna dair “güvence sağlamaya yönelik tam bir başarısızlık” anlamına gelmez ve dolayısıyla “bir gözetimin kasıtlı olarak ‘sürekli veya sistematik başarısızlığı’ konusunda, özellikle söz konusu yöneticilerin iyi niyetle hareket ettiği varsayılır.”
  • Siber güvenlik riski konusunda yönetim kuruluna rapor vermeyen komite üyeleri de sorumlu değildi. Mahkeme, bir komitenin tüm yönetim kuruluna getirdiği kararın, şirketin muaf tutan esas sözleşme hükümleri ile korunan bir ticari muhakeme uygulaması olduğunu belirtti. Ayrıca mahkeme, komite üyelerinin [şirketin] halka açık bir şirket olarak hayata geçmesiyle ve yeni koronavirüs pandemisiyle mücadele ederken “belirli bir ticari riski 26 aylık bir süre boyunca tüm yönetim kuruluyla tartışmadıkları” için sorumlu tutulmalarının “tek kelimeyle yersiz” (simply unwarranted) olduğunu belirtti.
  • Sorenson (Marriott) kararı Caremark’ın siber güvenlik riskinin gözetimiyle ilgili iddialarını içeren yeni diğer bir davadır. Sorenson’da (5 Ekim 2021), Marriott International Inc., 2018’de 500 milyona kadar otel misafirinin kişisel bilgilerini açığa çıkaran bir veri güvenliği ihlalini keşfetti. Bir soruşturma, siber saldırının (Marriott’un iki yıl önce satın aldığı) Starwood Hotels’in rezervasyon veri tabanı aracılığıyla gerçekleştiğini ve 2014’te başladığını ortaya çıkardı. Marriott olayı kamuoyuna duyurduktan sonra, davacı, yöneticilerin ve bazı kilit yöneticilerin, satın alma öncesi ve satın alma sonrasında, siber güvenliği denetlemedeki başarısızlıkları ve Starwood’un kusurlu sistemlerini kullanmayı bırakmaları Starwood’un siber güvenlik teknolojisine ilişkin yeterli durum tespiti yapmamalarına karşı dava açtı. Mahkeme, ilk iddiayı zamanaşımına uğrattı ve Caremark kapsamında hiçbir sorumluluk olasılığı bulunmadı. Mahkeme, “siber güvenliğin, sektörler arası şirketlerde yönetim kurulu düzeyinde izlemeyi hak eden giderek daha merkezi bir uyum riski haline geldiğini” kabul etti, ancak davacının iddialarının “kötü niyet iddialarıyla desteklenmediğini” de tespit etti. Mahkeme, iddiaların yöneticilerin “gözetim sorumluluklarını yerine getirmede tamamen başarısız olduklarını, bilinen uyum ihlallerini görmezden geldiklerini veya siber güvenlik hatalarını bilinçli olarak düzeltmediklerini” göstermediğine işaret etti.

4. Alıştırma noktaları

4.1. Yönetim kurulları (yönetim, denetim komitesi, şirketin bağımsız dış denetçileri ve hukuk müşavirleri tarafından desteklenir), siber güvenlik riski de dahil olmak üzere işin merkezinde yer alan sorun ve risklere odaklanmalı ve bunlarla ilgili önemli gelişmelerden haberdar olmalıdır. Caremark kapsamında, yönetim kurullarının mevzuata uygunluğu veya kurumsal zarardan kaçınılmasını sağlaması gerekmez, ancak iyi niyetle makul bir gözetim sistemi oluşturmaya çalışmalı ve ardından bunu, özellikle şirketin “görev açısından kritik” riskleri ile ilgili olarak makul şekilde izlemelidirler. Görev açısından kritik risklerin belirlenmesi devam eden bir süreçtir. İnsan sağlığı ve güvenliği ile ilgili risklere ve yasal ve düzenleyici koşullara uyuma özel dikkat gösterilmelidir. Müşteri bilgilerinin korunmasına ilişkin siber güvenlik riski, görev açısından kritik kabul edilebilir. Yönetim kurulları, son zamanlarda çevre, sosyal ve yönetişim konularına, iklim değişikliğine, sürdürülebilirliğe, beşeri sermayeye ve diğer gelişmekte olan risk alanlarına artan odaklanmayı da akılda tutmalı ve gelecekte gelişebilecek kilit risk alanlarını tahmin etmeye çalışmalıdır.

4.2. Yönetim kurulları, şirketin siber güvenlik de dahil olmak üzere temel risklerle ilgili yürürlükteki yasa ve yönetmeliklere uygunluğunu sağlamaya özellikle dikkat etmelidir. “Pozitif yasa hükümlerinin” ihlali, Caremark sorumluluğu riskini açıkça artırır (SolarWinds, bir şirketin siber güvenlik uygulamalarını yöneten yasa veya yönetmeliklere tabi olması durumunda, siber güvenlik gözetimiyle ilgili Caremark iddialarının mahkeme tarafından yalnızca bir “iş riski” (business risk) olarak değil, önemli bir “uygunsuzluk riski” (noncompliance risk) bağlamında değerlendirilebileceğinin de altını çizer.”). Aynı zamanda, yakın tarihli bir dizi vakada [NiSource; Fisher – Sanborn (LendingClub) ve Richardson v. Clark (MoneyGram)] mahkemeler, Caremark’ın şirketin mevzuata uyumsuzluk geçmişi olduğunu tespit eden hükümet soruşturmalarına dayanan iddialarını savunma aşamasında reddetmiştir. Bu davalarda (yöneticilerin kötü niyetli olmadığını destekleyen) başarılı savunmalar şunları içeriyordu: yönetim kurulunun mevzuata uygunsuzluktan haberdar olmaması; uyumsuzluk meydana gelen kurumsal travma ile yeterince ilgili değildi; uygunsuzluğun şirketin farklı bir yan kuruluşunda meydana gelmesi ve/veya yönetim kurulu uyumsuzluğu gidermek için adımlar atmıştır.

4.3. Son Caremark kararlarına dayanarak aşağıdaki hususlar tavsiye edilmektedir:

  • Şirketin karşı karşıya olduğu “görev açısından kritik” risklerin belirlenmesi ve bu risklerin gözetim sorumluluğunu belirli yönetim kurulu komitelerine devredilmesi;
  • Önemli risklerin etkin yönetimini kurumsal bir öncelik olarak tesis etmede aktif olunması;
  • Yönetimden kilit risklere ilişkin raporlama için düzenli bir program belirlenmesi ve uygun olduğunda ek raporların aranmasında proaktif olunması;
  • Şirketin üst düzey yetkililerine kritik risklerin yönetimini devretmekle kalmayıp, bu risklerin nasıl yönetildiği hakkında bilgi sahibi olunması ve bunları değerlendirilmesi;
  • Önemli risklerle ilgili “tehlike işaretleri”nin (veya “sarı bayrakları/yellow flags”) görmezden gelinmemesi (bunun yerine proaktif olarak ele alınması);
  • Risk izleme ve gözetim çabalarının bir kaydının (yönetim kurulu tutanakları gibi) oluşturulması ve
  • Yeni yöneticileri işe alırken, kurulun düzenleyici ve diğer önemli riskleri (siber güvenlik gibi) ele alma konusundaki uzmanlığının dikkate alınması.

4.4. Yönetimlere (en son Caremark kararlarına dayanarak) de şunlar tavsiye ediliyor:

  • Yönetimin yönetim kurulunu temel mevzuat uyumluluğu ve diğer uygulamalar, riskler veya raporlar hakkında bilgilendirmesini gerektiren düzenli süreçler ve protokoller oluşturmak;
  • Kilit riskler hakkında “tehlike işaretleri” (veya “sarı bayraklar”) öğrenildiğinde (örneğin, düzenleyicilerden veya muhbirlerden gelen şikayetler veya raporlar dahil) yönetim kurulunu bilgilendirmek;
  • Yönetim kurulunu, şirketin ihbar sürecine dahil etmek;
  • Risk yönetimi stratejilerini şirketin özel koşullarına ve risk profiline göre uyarlamak;
  • Görev açısından kritik risklerin gözetimi ile ilgili olarak kendi sektöründeki diğer şirketlerin veya emsal şirketlerin uygulamaları hakkında yönetim kurulunu bilgilendirmek ve
  • Risk yönetimi hususlarını şirketin kurumsal stratejilerine ve genel olarak karar alma sürecine entegre etmek.

4.5. Yönetim kurulları, SEC’in siber güvenlik riskleri için kamuyu aydınlatma yükümlülüklerini geliştirmek ve standart hale getirmek için önerilen yeni kuralına aşina olmalı ve bir siber güvenlik olayı durumunda sunabileceği pratik sorunların farkında olmalıdır. Önerilen kural, diğer şeylerin yanı sıra, halka açık bir şirketin tüm “maddi” (material) siber güvenlik olaylarını, olayın önemliliğini belirledikten sonraki dört iş günü içinde bildirmesini gerektirir. Özellikle, kolluk kuvveti soruşturmaları, ulusal güvenlik kurumlarıyla koordinasyon, ifşayı kısıtlayan mahkeme kararlarına uyum veya benzerleri nedeniyle ifşanın gecikmesi konusunda bir istisna yoktur. Bir siber güvenlik olayının zamanından önce ifşa edilmesi, bir şirketin söz konusu siber güvenlik açığını “yama” (patch) yapmasına engel olacaksa, bekleyen bir kolluk soruşturmasına müdahale edecekse veya ulusal güvenlik veya diğer devlet kurumlarıyla gerekli koordinasyona ihtiyaç duyacaksa veya devam eden bir siber güvenlik saldırısına maruz kalabilecek veya savunmasız olabilecek diğer şirketlere zarar verebilirse, bir yönetim kurulu çok zor sorunlarla karşı karşıya kalabilir.

* Bu derlemede yer alan görüşler Harvard Law School Forum on Corporate Governance Yazarlarına ait olup derleyenin çalıştığı kurumu bağlamaz, derleyenin çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Derlemedeki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler derleyene aittir. Derleme konusu Forum yazısının künyesi şöyledir: Gail Weinstein, Philip Richter, Steven Epstein, Fried, Frank, Harris, Shriver & Jacobson LLP, Chancery Court Addresses Board Responsibility Under Caremark for Cybersecurity Risk, November 17, 2022, < https://corpgov.law.harvard.edu/2022/11/17/chancery-court-addresses-board-responsibility-under-caremark-for-cybersecurity-risk/ > erişim tarihi 18 Kasım 2022 [Harvard Hukuk Fakültesi Kurumsal Yönetim Forumu, Harvard Hukuk Fakültesi Kurumsal Yönetim Programı, Kurumsal Yatırımcılar Programı ve Hukuk ve Finans Programı tarafından ortaklaşa desteklenmektedir. Bu Forumda ifade edilen tüm görüşler, yalnızca bunları ifade eden kişilere atfedilmelidir; Programlar, farklı görüşlerin ifade edilmesi için bir forum sağlamayı amaçlar ve herhangi bir kurumsal yönetim konusunda pozisyon almaz. Forum, kurumsal yönetişim konusundaki söylemler için en iyi çevrimiçi kaynaktır. 2006 yılında Profesör Lucian Bebchuk tarafından kurulan Forum, 5 binden fazla katılımcı tarafından 6.400’den fazla gönderiye yer verdi ve gönderileri, 800’den fazla hukuk inceleme makalesinde ve düzenleyici materyalde geniş çapta alıntılanmıştır.]

** Gail Weinstein, Philip Richter ve Steven Epstein Derleyen: Yavuz Akbulak-SPK Başuzmanı

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.