İtibar kaybı endişesi siber saldırı bildirimini engelliyor

2016 yılından bu yana çalışmalarını sürdüren Kişisel Verileri Koruma Kurulu, 24 Ocak’ta aldığı karar ile siber saldırıya uğrayan şirketlere 72 saat içerisinde Kişisel Verileri Koruma Kurumu’na (KVKK) bildirim yapma zorunluğu getirdi. Ancak şirketler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini amaçlayan kanun, ne yazık ki, şirketlerin bunu bir gurur meselesi yapması ve itibar kaybı endişesi yaşaması nedeniyle sağlıklı işlemiyor.

Hackerlar buzdolabı ve klimayı bile kullanıyorlar 

Konuya ilişkin değerlendirmelerde bulunan IBS Sigorta ve Reasürans Brokerliği A.Ş. Genel Müdürü Murat Çiftçi, “Siber saldırı, siber suçlar kapsamına giriyor. Eğer siz bir saldırıya uğradıysanız, kanun açık ve net bir şekilde, bu durumu bildirmenizi zorunlu kılıyor. Bildirimi yapmanız şart. Çünkü o an itibariyle artık ortada bir suç var. Kaldı ki; siz bir siber saldırıya uğradığınızda bunun sonuçlarını o an itibariyle bilemezsiniz” dedi. Artık teknolojinin çok farklı bir noktaya geldiğini belirten Murat Çiftçi, “Siber saldırılara o kadar açık bir hale geldi ki; hackerlar her biri akıllı birer cihaz haline dönüşen buzdolabı, çamaşır makinası, televizyonlar ve klimaları bile kullanmaya başladılar. Bu cihazların hepsi wifi’a bağlı çalışıyor ve cep telefonunuzdan istediğiniz yerden kontrol edebiliyorsunuz. Artık şirketlerin ‘siber saldırı riskim yok’ deme lüksü kalmadı” dedi.

‘Ben yapmadım’ deseniz de açıklayamazsınız

Kanunun Ocak ayında yürürlüğe girmesine rağmen yeteri kadar etkili olamadığına dikkat çeken Murat Çiftçi, “Şirketler maalesef siber saldırı bildirimini bir gurur meselesi olarak görüyorlar. KVKK’ya ‘siber saldırıya uğradım’ bildirimi yapmakla itibarlarının zedeleneceğini düşünüyorlar” dedi. Siber saldırı bildiriminin yapılmaması durumunda, saldırının türü ve kimler tarafından yapıldığı gibi bilgilerin öğrenilememesine neden olunduğunu ifade eden Murat Çiftçi, “Eğer şirket bildirim yapmadığından dolayı hacklenme kaynaklı bir suça dâhil olursa, bu sefer siber güvenlik birimlerine durumu kendileri anlatmak zorunda kalırlar. Her ne kadar siz, o an ‘ben yapmadım’ deseniz de, bunu açıklamanız neredeyse imkânsız hale gelecektir” dedi.

Siber sigortanın önemi anlaşılmaya başlandı

Siber saldırıların tüm dünyada siber sigortayı da gündeme taşıdığına dikkat çeken Murat Çiftçi, bir saldırı sırasında siber sigortanın da ayrı bir güvence oluşturduğunu vurguladı. Şirketin KVKK’ya siber saldırıya ilişkin bildirimde bulunduğu anda kamu hizmeti olarak bir soruşturma başlatıldığını bildiren Murat Çiftçi, “Kamu bir yandan soruşturmasını sürdürürken, şirket olarak siz de özel tarafta ‘zararlarım hemen karşılansın’ diye siber sigorta yaptırırsınız. Poliçe içerisinde bu tip siber saldırılara uğradığınızda neler yapmanız gerektiğinden, sisteminizin temizlenmesine kadar birçok içerik mevcut” dedi.

“Sisteminizi gözden geçirin, eksikleri giderin”

Siber sigortanın diğer geleneksel ürünlere göre nispeten yeni bir ürün olduğunu, Türkiye’de ise ürüne birkaç yıldır özellikle büyük kurumsal firmaların ilgi gösterdiğine dikkat çeken Murat Çiftçi, “Risk danışmanlığı sürecinin son halkasını siber sigorta oluşturuyor. Biz şirketlere ‘önce sisteminizi gözden geçirin’, ‘her şey düzgün ise devam edin’, ‘eksikleriniz var ise giderin’, ‘en sonunda da bir siber sigorta yaptırın’ diyoruz. Her şey güzel devam ederken hala bir siber saldırı ya da veri kaybı yaşar ve kurumunuz zarar görürse, o an işte almış olduğunuz siber sigortadan yararlanabilirsiniz. Tek başına siber sigorta yaptırmak risk yönetim sürecinin sadece bir parçasını oluşturuyor” şeklinde konuştu.