Posted on

Şirketler Siber Saldırılara Karşı Korunmak İçin Neler Yapabilir?

Önemli Noktalar

  • Şirketler, üçüncü tarafların güvenlik açıkları da dâhil olmak üzere gelişen tehditlere karşı siber güvenlik savunmalarının gücünü eleştirel bir şekilde değerlendirmelidir.
  • Siber güvenliğe ilişkin düzenleyici beklentilerdeki son değişiklikler, bu potansiyel riskin yönetim kurulu tarafından gözetiminin zorunluluğunu vurgulamıştır.
  • Pek çok yönetim kurulu, siber güvenlik denetiminin bir yönetim kurulu komitesine verilip verilmeyeceğini ve nasıl verileceğini yeniden değerlendirmektedir.
  • Siber güvenlik risklerini yönetmek için iyi tasarlanmış bir yönetişim çerçevesi, şirketlerin ve yöneticilerin bir saldırıdan sonra karşılaşacağı yasal riskleri en aza indirmeye yardımcı olabilir. Siber güvenlik sorunlarına ilişkin yönetim kurulunun gözetimini hızla bildirmek/raporlamak, artırmak ve kapsamlı bir şekilde belgelemek için politikalar ve prosedürler uygulayan şirketler, saldırı sonrası davalara karşı savunmada iyi bir konumda olacaktır.

Dijitalleşmenin artması, bulut bilişimin yaygınlaşması, gelişmiş bağlantı ve yapay zekâ (YZ) gibi faktörlerin etkisiyle siber tehditler artmaya devam etmekte ve bu durum tüm sektörlerdeki yönetim kurullarının siber riskleri denetlemeye daha fazla odaklanmasını gerektirmektedir.

Aynı zamanda, Amerika Birleşik Devletleri (ABD) Menkul Kıymetler ve Borsa Komisyonu (SEC) artık halka açık şirketlerin siber güvenlik risk yönetiminin yönetim kurulu tarafından denetlenmesi hakkında daha fazla bilgi açıklamasını ve bu denetimden sorumlu yönetim kurulu komitesini veya alt komitesini belirlemesini zorunlu kılmaktadır.[1]

Bu gelişmeler bir arada, birçok yönetim kurulunu şirketlerinin siber güvenlik süreçlerini ve gözetim mekanizmalarını yeniden gözden geçirmeye yöneltmektedir. ‘CrowdStrike’ın Temmuz 2024’teki bilgisayar kesintisinin ardından açılan son menkul kıymetler ve türev davaları, hissedar davalarının giderek artan bir şekilde siber olayları nasıl takip ettiğini göstermektedir.

Genel olarak, siber güvenlik risklerini yönetmek için iyi tasarlanmış bir yönetişim çerçevesi, bir saldırının kurbanı olması durumunda bir şirket için yasal riskleri en aza indirecektir. Yönetim kurulunun siber güvenlikteki resmi gözetim rolünün belgelenmesi, yönetim kurulunun siber güvenlik kontrollerini uygulama ve izlemedeki rolüne ilişkin sağlam kayıtlarla birlikte, yönetim kurulunun görevlerini yerine getirmediği iddialarına karşı bir savunma sağlayabilir.

Aşağıda, birçok şirketin siber güvenlik ile ilgili yönetişimde yaptığı değişikliklerden ve son mahkeme kararlarından çıkarılan bazı dersler yer almaktadır.

  1. Kurumsal Yönetişimin Yeniden Gözden Geçirilmesi ve İyileştirilmesi

Kurumsal risk ve düzenleyici çerçeveler evrimleştikçe, kurumsal yönetişim de evrimleşmelidir. Hem evrimleşen riskler hem de SEC kuralları ile teşvik edilen birçok yönetim kurulunun siber güvenlik gözetimine yaklaşımını gözden geçirdiğini gördük. Bazıları, siber güvenlik sorunları için gözetimi belirli bir komiteye özel olarak atamak veya belirtilmişse yeniden atamak için yönetim kurulu komite tüzüklerini revize etmekte, bu potansiyel riskin artan önemini yansıtmaktadır.

Böyle bir incelemenin SEC kuralları marifetiyle açıkça zorunlu tutulmamasına rağmen, siber güvenlik yönetişim uygulamalarının kamuya açıklanması zorunluluğu, birçok yönetim kurulunu bu risk alanını yönetmeye yönelik dokümantasyonlarını ve yaklaşımlarını yeniden düşünmeye yöneltmiştir.

Herkese uyan tek bir yaklaşım yoktur. Önemli olan, bu sorunları sürekli olarak değerlendirmek için hangi kurumun zaman ayırabileceği ve bu zorluğa ilgili uzmanlığı getirebileceği konusunda dikkatli olmaktır. Sorumluluk denetim komitesine verilebilir, çünkü bu kurum genellikle çeşitli türdeki kontrolleri ve yasal ve düzenleyici koşullara genel uyumu denetler.

Ancak, siber güvenlik sorunlarının işletmenin merkezinde olduğu durumlarda, bazı şirketler denetim komitesine ek iş yüklemek yerine bir teknoloji komitesi kurmuştur, çünkü genellikle zaten çok fazla işi vardır. Böyle bir teknoloji komitesi genellikle şirketin tüm teknolojilerinin stratejisini, performansını ve uyumunu denetlemeye adanmıştır, bu komiteyi siber güvenlik yönetişimi kararları almak ve yapay zekâ dağıtımı gibi diğer teknoloji sorunlarıyla ilişkili yeni ortaya çıkan zorlukları ele almak için iyi bir konuma getirir.

Diğer şirketlerin, siber güvenlik riskleri de dâhil olmak üzere şirket genelindeki riskleri belirlemeye, değerlendirmeye ve azaltmaya adanmış bir risk komitesi mevcuttur. Kısacası, bir yönetim kurulunun siber güvenlik denetimini nasıl yapılandırabileceğine dair birçok yaklaşım vardır, ancak nihayetinde hangi yapının veya organın şirkete en iyi şekilde hizmet edeceğini belirlemek yönetim kurulunun sorumluluğundadır.

Siber güvenlik sorunlarının iş için merkezi olduğu durumlarda, bazı şirketler denetim komitesine ek iş yüklemek yerine bir teknoloji komitesi oluşturmuştur. Diğer şirketlerin bir risk komitesi vardır.

  1. Gözetim Görevi Üzerine Bilgi Tazeleme

Delaware yasası, yöneticilerin iş riskleri için denetim süreçlerini uygulamasını ve izlemesini gerektirir. Bu, günlük yönetişim sorumluluklarını gerektirmez, ancak beklenti, yöneticilerin yerleşik süreçler aracılığıyla yönetimi denetlemesi ve çalışanlar ve danışmanlar tarafından sağlanan bilgilere iyi niyetle güvenmesidir.

Uygulamada, her şirketin gözetim görevini yerine getirme yaklaşımı farklı olacaktır, ancak birkaç temel siber güvenlik risk alanını kapsamalıdır.

Öncelikle, genişleyen tedarik zinciri riskleri ve “gölge Bilgi Teknolojisi (BT)” dünyasında, yönetim kurulları teknoloji varlıklarını izlemek ve ilişkili tehditleri anlamak için şirket süreçlerini denetlemelidir. Bu, örneğin, kuruluşun çeşitli BT cihazları ve ağları arasındaki konumu ve bağlantıları değerlendirerek BT sistemlerinin neye bağlı olduğunu ve neyin en kritik olduğunu anladığı bir BT varlık haritalama egzersizi yoluyla sağlanabilir. Yönetim kurulu, yönetişimin yönetilmeyen BT varlıkları gibi herhangi bir teknoloji kör noktasından ve şirketin olası kör noktaları nasıl ele aldığından haberdar olmasını isteyecektir.

İkinci olarak, düzenleyici otoriteler giderek şirketlerin siber güvenlik ve BT yönetişimi için net roller ve sorumluluklar benimsemesini beklemektedir. Komuta ve yetki zinciri net olmalı ve nihayetinde yönetim kuruluna yönlendirilmelidir.

Üçüncüsü, yönetim kurullarının kuruluşlarının Bilgi Teknolojisinin diğer şirketlere veya belirli teknoloji parçalarına ne ölçüde bağlı olduğunu anlamaları gerekir. Son zamanlardaki birkaç vaka, yazılım tedarik zincirine yapılan saldırıların ilk saldırının çok ötesinde domino etkileri olabileceğini vurgulamıştır. Finansal hizmetler gibi bazı sektörlerde düzenleyici otoriteler, yönetim kurullarının kritik sistemleri veya üçüncü taraf hizmet sağlayıcılarını belirlemeye yardımcı olan BT bağımlılığına ilişkin özetler veya tam raporlar almasını beklemektedir.

Bu üç boyut bir şirketin yönetim prosedürlerinde dikkate alınmazsa, yöneticiler ve müdürler siber güvenlik gözetimlerinin kalitesi ve yeterliliği konusunda zorlayıcı sorularla karşı karşıya kalabilirler.

Gözetim bağlamında, görev ihlali yalnızca yöneticilerin “kötü niyetle” hareket etmesi durumunda meydana gelir; bunun nedeni aşağıdakilerden biri olabilir:

  • Bir yönetim kurulu “herhangi bir raporlama veya bilgi sistemi veya kontrolü uygulamada tamamen başarısız olmuştur” (“ilk aşama”) veya
  • “Böyle bir sistem veya kontrolleri uyguladıktan sonra, (…) [] şirket bilinçli olarak operasyonlarını izleme veya denetleme konusunda başarısız olmuş, böylece dikkatlerini gerektiren riskler veya sorunlar hakkında bilgilendirilmekten kendilerini mahrum bırakmışlardır” (“ikinci aşama”).

Yalnızca bir siber saldırıya uğramak kötü niyet göstergesi olmayabilir. Delaware mahkemeleri, “yöneticilerin iyi niyetli gözetim uygulamalarının, çalışanların ceza yasalarını ihlal etmesini veya şirketin önemli bir finansal sorumluluk altına girmesine neden olmasını veya her ikisini birden engelleyemeyebileceğini” kabul etmiştir. Bunun yerine, hukuki soru “yönetim kurulunun makul bir yönetim kurulu düzeyinde sistem kurmak için iyi niyetli bir çaba gösterip göstermediğidir.”

Hissedar davacıların açtığı bazı davalar, bir yönetim kurulunun kötü niyetle hareket ettiğini ve yönetim kurulu düzeyinde bir şirket için “görev açısından kritik” riskler de dâhil olmak üzere belirli riskleri izlemek için bir komite veya başka bir sistem kurmayarak gözetim görevini ihlal ettiğini ayrıntılı bir şekilde iddia ettikleri davaların reddedilmesi yönündeki talepleri atlatmış ve böylece ihlal testinin ilk ayağını ihlal etmiştir. Bu ilke, işleri özellikle bilgisayar korsanlığına veya diğer siber saldırılara maruz kalabilecek sistemlere bağımlı olan bazı şirketler için geçerli olabilir.

Bir yönetim kurulunun harekete geçmesini sağlaması gerektiği iddia edilen “kırmızıçizgiler” olsa bile, bir davacı yönetim kurulunun “bunları bilinçli olarak göz ardı ettiğini veya ele almadığını” göstermelidir. Ve potansiyel bir soruna dair her belirti, yönetim kurulu düzeyinde bir tepkiye layık bir “kırmızıçizgi” değildir.

  1. Gözetim, Siber Güvenlik ve Türev Davaları

Bir yönetim kurulunun siber güvenlik gözetiminin sorgulandığı davalarda yasal çerçeve nasıl uygulanır?

Şimdiye kadar hiçbir siber güvenlik gözetim iddiası Delaware’de bir reddetme talebinden sağ çıkamamıştır. Ve son iki türev davada, büyük siber güvenlik ihlalleri sonrasında yöneticilere karşı açılan iddialar keşiften önce, dilekçe aşamasında reddedilmiştir.

Bu kararlar, yönetim kurullarına saldırı riskini en aza indirmek için süreçleri nasıl denetleyecekleri ve dava edilmeleri durumunda güçlü savunmalara sahip olmalarını nasıl sağlayacakları konusunda dersler sunmaktadır.

Bir dava otel işletmecisi ‘Marriott International’ı, diğeri ise bir yazılım şirketi olan ‘SolarWinds’i içeriyordu. Kararlar “siber güvenliğin artan önemi”ni kabul ediyordu. Ancak her iki davada da, yöneticiler kısmen yönetim kurullarının siber güvenlik risklerini izlemek için iyi niyetli çabalar sarf etmesi ve bunu kanıtlamak için kayıtlar tutması nedeniyle reddetme taleplerini kazandılar. Kararlar, iyi belgelenmiş gözetim faaliyetinin, bir mahkemenin SolarWinds davasında yaptığı gibi, bu riski izlemedeki yönetim kurulunun performansını eleştirebilmesi durumunda bile, keşif başlamadan önce bir savunmada yardımcı olabileceğini göstermektedir.

  1. Siber Güvenlik Gözetim Sorunları

Bu vakalara ve siber güvenlik gözetimi sorumluluğunun dağıtımına ilişkin gördüğümüz yönetim kurulu müzakerelerine dayanarak, siber güvenlik savunma ve gözetim mekanizmalarını yeniden gözden geçiren yönetim kurulları için bazı rehberlikler şunlardır:

  • Siber güvenlik ve veri gizliliği gözetimini bir yönetim kurulu komitesine devretme ve bu komitenin tüzüğünü inceleyerek siber güvenliğe ilişkin özel ifadeleri dikkate alma düşünülmelidir.
  • Siber güvenlik sorunları için izleme ve uyum sistemleri kurmak için adımlar atılmalı ve bunlara sürekli dikkat edilmelidir. Bu, risklerin nerede ortaya çıkabileceğini ve bunların en iyi nasıl izleneceğini belirlemek için hukuk müşavirlerine ve diğer uzmanlara danışmayı içerebilir.
  • Yöneticiler, şirket için uygun olan aralıklarla iç ve dış siber güvenlik olayları ile ilgili olarak yönetimden rapor almalıdır.
  • Yeni siber güvenlik kamuyu aydınlatma kuralları ve düzenlemelerine uyum konusunda yönetim ve danışmanlarla koordinasyon sağlanmalıdır.
  • Hissedarların, davaların ön hazırlığı olarak şirket defterlerini ve kayıtlarını inceleme taleplerinin giderek daha sık hale gelmesi göz önüne alındığında, yönetim kurulları, risk ve uyum sistemlerini anlama ve denetlemeye ve ortaya çıkan siber güvenlik sorunlarına yanıt verme konusundaki dikkatlerini göstermek için çabalarını ve süreçlerini yeterli ayrıntıda belgelemelidir.

[1] SEC kurallarının tartışılması için Kış-2024 makalemize bakın: “Ortaya Çıkan Beklentiler: Siber Güvenlik Risklerinin Gözetiminde Yönetim Kurulunun Rolü” (Emerging Expectations: The Board’s Role in Oversight of Cybersecurity Risks), <https://www.skadden.com/insights/publications/2024/02/the-informed-board/emerging-expectations>.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.