Korsan yazılım saldırıları (ransomware attacks), sigorta primlerinin hızla artan kayıpları karşılamak için hızla yükseldiği siber sigorta sektörü de dahil olmak üzere bir dizi sektörde tahribat yaratmıştır. Bu saldırıların bazılarındaki güvenlik başarısızlıklarına bakıldığında, sigorta şirketlerinin yüklenim uygulamalarında çok gevşek olup olmadığı sorusu gündeme geliyor: Firmalar en temel siber hijyen standartlarını bile karşılamadan nasıl sigorta yaptırabilir? Aslında, bazı eleştirmenler, mevcut siber suç patlamasının temel nedeni olarak müsamahakar sigorta yüklenimini ve sektörün korsan yazılım çözüm protokolünü görüyorlar.
“Yönetişim aracı olarak sigorta” (insurance as governance) uzmanları için bu güvenlik yönetişimi eksikliği bir bilmecedir. Ekonomistler, sosyologlar ve hukuk uzmanları uzun süredir sigorta şirketlerinin, cömert sigorta ödemelerinden yararlanmak için sigortalıları özellikle hedef alabilecek müşterileri, dolandırıcılar ve suçlular arasındaki ahlaki tehlikeyi yönetmede güçlü çıkarları olduğuna dikkat çekmişlerdir. Sigorta sektöründe katı güvenlik kurallarının sigorta elde etmenin bir ön koşulu olduğunu gösteren birçok vaka çalışması vardır. Ayrıca sigortacılar, sigortalının davranışını izleyebilir ve/veya sözleşme süresi boyunca uyumluluğu sağlamak için katı hasar düzeltme süreçleri oluşturabilir. Bu, neden siber sigortada olmadı? Ya da şöyle soralım: Sigortacılar direksiyon başında uyuyor muydu?
Yeni bir yazıda, bu soruları yanıtlamak için siber ve korsan yazılım sigortasının tarihçesi inceleniyor. Artık dikkatimizin odağını güvenlik yönetişiminden diğer kayıp yönetimi biçimlerine kaydırmamız gerektiğini çabucak anladık. Tam olarak “yönetişim aracı olarak sigorta” bilim adamlarının bekleyeceği türden akıllı kurum inşasını görebiliriz; ancak normlar, protokoller ve hizmetler, suçun kendisini önlemeye veya yönetmeye değil, siber suçtan kaynaklanan yükümlülükleri sınırlamaya odaklanmıştır.
Siber sigorta, mevcut korsan yazılım patlamasından çok önce geldiği için bu mantıklıdır. Siber sigorta, çoğunlukla gizlilik ihlallerinden kaynaklanan üçüncü şahıs sorumluluklarını yönetmekle ilgiliydi. Emekleme döneminde, siber şantaj, ödeme almanın karmaşıklığı nedeniyle engelleniyordu: Kurbanların posta siparişi göndermesi, hediye çeki göndermesi veya birincil (Premium) telefon hatlarını araması her zaman kolluk kuvvetleri tarafından yakalanma riski oluşturuyordu. Bölgede birkaç yüz dolarlık korsan talebinde bulunmak, siber şantajı polisin ve aynı zamanda sigorta şirketlerinin radarı altında tutmuştur.
Çok daha problemli olan şey, bir bilgisayar korsanı saldırısından sonra sigortalıyı tekrar çevrimiçi hale getirmek ve müşterileri, hastaları, öğrencileri veya tedarikçileri hakkında hassas kişisel bilgileri elinde bulunduran bir şirketin tüm yükümlülüklerini yerine getirmekti. Bilgisayar sistemlerini kim yeniden çalışır duruma getirebilir? Hangi verilerin güvenliği ihlal edilmişti? Kimin uyarılması gerekiyordu, kimin finansal durumunun izlenmesi gerekiyordu? Utanç verici bir güvenlik hatasından sonra markayı korumak için halkla ilişkiler tavsiyesini kim verdi? Sigortacılar, müşterilerinin çoğunun, olay müdahalelerini düzenlemenin karmaşıklığı karşısında şaşkına döndüğünü ve -çileden çıkaracak şekilde- birçoğunun, sigortalı hasarları, bazı yönlerini bozarak istemeden çoğalttığını gördüler.
Bu nedenle, sigorta şirketlerinin müşterilerini yetenekli uzmanlara bağlaması mantıklıydı. Zamanla, aksama süresini, potansiyel yükümlülükleri, kamunun buna maruz kalmasını ve sonraki dava riskini en aza indiren karmaşık ve etkili bir kurumsal kriz çözümü mimarisi ortaya çıktı. Veri koruma kurallarının sigorta için kayıp oluşturmadaki merkezi önemi göz önüne alındığında, yanıt gizlilik avukatları tarafından koordine edildi ve böylece müvekkil-vekil (avukat) ayrıcalığı altında meraklı gözlerden korundu. Böylece siber sigortacılar, birincil endişeleri kötü amaçlı yazılım olayları öncesinde, sırasında ve sonrasında para kazanma işine devam etmek olan müşterileri için son derece çekici bir ürün yarattı. Firmalar siber sigortanın kendileri için neler yapabileceğini öğrendikçe, pazar her zamankinden daha büyük ve daha rekabetçi hale geldi. Sigortacılar müşterilerinin güvenlik duruşundan endişe ediyorsa, pazar payını kaybetmeden bu konuda yapabilecekleri çok az şey vardı. Yüksek kaliteli güvenlik ve yedeklemeler pahalıdır, ancak her zaman etkili değildir, bu nedenle sigortacılar daha iyi güvenliği müşteri için karlı hale getirmek için yeterli prim indirimi sunamazlar.
Bu nedenle, kripto para birimleri, izlenmesi zor bir ödeme sistemi sağlayarak korsan yazılım işinde devrim yaptığında, bilgisayar korsanları zorla para almak için oldukça verimli bir zemin buldu. Mahremiyet avukatları (doğru bir şekilde) çözüm tasarısındaki önemli kalemleri kontrol altına almaya odaklandılar (milyonlarca dolarlık yükümlülüklerden kaçınmak ve işlerdeki aksama süresini en aza indirmek anlamına geliyorsa, zar zor kaydedilen binlerce, onbinlerce ve hatta yüzbinlerce dolarlık bir korsan yazılım). Bilgisayar korsanları, sigorta şirketlerinin Bilişim Teknolojisi uzmanları için şifrelemelerini kırılması çok zor hale getirebildikleri ve güvenilir şifre çözme anahtarları sağlayabildikleri sürece, iş başındaydılar ve kurbanlar ödeme yapmakta gecikmediler. Korsan yazılım sigortası için adam kaçırmanın ayırt edici özellikleri olan hasta takası ve kolluk kuvvetleriyle koordinasyon, hızlı hareket eden korsan yazılım ekosisteminde yer bulamadı. Aynı derecede endişe verici olan sorumluluk yönetimi protokolü, yetkililer tarafından bilgi paylaşımını ve istihbarat toplamayı engelliyor.
Bununla birlikte, bireysel olarak rasyonel olan daha geniş bir sosyal sorun haline geldi. Korsan yazılım ödemelerine karşı anlamlı bir direniş olmadan, saldırılar tırmandı ve korsan yazılım talepleri arttı. Sigortacılar primlerini artırıp karşılık olarak daha düşük limitler getirdiklerinde, şirketler nihayet güvenlik ve yedekleme çözümlerini güçlendirdiler. Ancak bilgisayar korsanları da sırayla yenilik yaptılar. Olay müdahalesinin merkezinde yer alan mahremiyet mevzuatını silah haline getiriyorlar: verileri dışarı sızdırarak ve ödeme reddedilirse onları serbest bırakmakla tehdit ederek.
Bu nedenle anılan makale, “yönetişim aracı olarak sigorta”nın aslında işe yaradığını, ancak bilim insanlarının beklediği şekilde olmadığını ortaya koyuyor. Siber sigorta, sakatlayıcı güvenliği teminat için bir koşul haline getirmeden işletmeleri işlerinde destekler: Hem sigortacılar hem de işletme yöneticileri, güvenliği bir amaç olarak değil, bir araç olarak görürler. Sigortacılar, olay sayısını azaltmaya odaklanmak yerine, başarılı siber saldırıların maliyetini kontrol altına almak için normlar, protokoller ve hizmetlerden oluşan karmaşık bir ekosistem oluşturdu. Bu sistem, tasarlandığı amaç için iyi çalıştı, ancak korsan yazılım iş modelindeki hızlı ilerlemeler tarafından gafil avlandı.
Hem siber sigorta hem de siber suç alanında daha birçok yenilik turu güvenle bekleniyor. Hükümetlerin giderek artan bir şekilde siber güvenlik standartlarını düzenlemeye, bilgi toplamaya ve paylaşmaya ve kanun yaptırımına daha fazla dahil olmaya çağrılacağından şüpheleniliyor. Ve bunun başarısız olduğu ölçüde, hükümetler tıpkı terörizm için yaptıkları gibi siber suçların bazı kuyruk risklerini sigortalamak zorunda kalabilirler.
Ancak siber sigortayı anlamlı bir suç yönetimine dahil etmek için hükümetlerin mahremiyet düzenlemelerinin cezalandırıcı doğasında reform yapması gerekecektir. Mağdurlar ve sigortacıları öncelikle para cezalarından ve davalardan kaçınmaya ve izlerini dikkatlice korumaya odaklanırsa, suçluların kar elde etmesini zorlaştıran türden kurumlar yaratmayacaklardır. Ödemeyi reddeden firmalar için korsan yazılım ve yasal sığınakların zorunlu olarak bildirilmesi olumlu bir adım olacaktır. Şirketleri, müşterilerinin verileri konusunda daha dikkatli hale getirmek için gizlilik yasaları oluşturuldu. Ancak mevcut siber suç tsunamisinde, bir zamanlar pervasızları cezalandırmak için tasarlanan kurallar artık çoğunlukla şanssızları tehdit ediyor ve onları gaspçılarla işbirliği yapmaya teşvik ediyor.
Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.