Aksigorta Genel Müdürü Uğur Gülen, Linkedln hesabından yaptığı açıklamada siber saldırı kaynaklı iş kayıplarına ve bunun şirketlere olan maliyetlerine dikkat çekti.
2020 yılında COVID-19 pandemisiyle birlikte çevrim içi hizmet ve etkinlikler artarken gerçekleşen siber saldırı sayısı da ikiye katlandı. Bu saldırıların 2021’de dünya ekonomisine etkisinin 6 trilyon dolar olacağı tahmin ediliyor.
Siber saldırılar ülkeler, şirketler ve bireyler için ciddi bir maddi kaybın yanında iş kesintisi de yaratıyor. Sigorta sektörü açısından konuya yaklaşıp siber iş kesintisiyle geleneksel iş kesintilerini kıyasladığımızda siber kaynaklı kesintilerin faturasının her açıdan daha ağır olduğu dikkat çekiyor.
Bu konuda, New York’ta Procor Solutions and Consulting Şirketi’nde Adli Muhasebe Müdürü olan Chris Morifoglio’nun Risk ve Sigorta Yönetimi Topluluğu konferansında yaptığı “Siber İş Kesintisi Geleneksel İş Kesintisine Karşı” başlıklı konuşmasıyla ilgili bir makaleye rastladım.[1]
Siber iş kesinti riskini tahmin etmenin ve yönetmenin zor olduğunu belirten Morifoglio, geleneksel iş kesintileriyle siber iş kesintilerini ölçüm periyodu, restorasyon dönemi, işe dahil olması gereken personel, coğrafi kısıtlamalar ve itibar riski olmak üzere beş alanda kıyaslıyor.
Ölçüm periyodu açısından baktığında şu değerlendirmeyi yapıyor: “Bir siber iş kesintisini doğru değerlendirip ölçmek için bazı durumlarda sadece aylık kâr bilgisinin yeterli olduğu geleneksel iş yapısı kaybının aksine çok daha ayrıntılı verilere hatta saatlik gelir verilerine bile ihtiyaç duyulur.”
Sigortada restorasyon dönemi, hasar tarihi ile sigortalının durum tespiti ve onarımın tamamlandığı tarihi kapsıyor. Ancak bu dönemin ne zaman başlayıp ne zaman biteceğini belirlemek her zaman kolay değil.
Geleneksel bir hasar durumunda yani bir yangın, deprem ya da kasırganın bir kuruluşu etkilemesi halinde bu fiziki hasarın ne zaman meydana geldiğini tanımlamanın zor olmadığını ifade eden Morifoglio, “Ancak bir siber olayın ne zaman başladığı ve sona erdiği konusu çok kesin olmayabilir.
Bu süre zarfında etkilenen operasyonun belli bir bölümü müydü yoksa tamamı mıydı tüm bunları belirlemek çok detaylı çalışma ve zaman gerektirir” diyor.
Siber iş kesintisi analizi daha çok veri gerektirmesinin yanında ilgili kuruşun geleneksel iş kesintisine kıyasla çok daha fazla sayıda çalışanının sürece dâhil olmasını da gerektiriyor. Morifoglio, değerlendirmeye katkıda bulunmak için risk yöneticisi ve hukuk müşavirinden finans, teknoloji ve operasyon görevlilerine kadar çok sayıda birimden personele ihtiyaç olduğunu belirtiyor.
Coğrafi kısıtlamalar da siber ve geleneksel iş kesintisinde farkın en fazla öne çıktığı bir diğer alan. Geleneksel bir senaryoda maddi hasar, yaygın bir felaketten etkilenen tek bir yere veya bölgeye yönelik olarak gerçekleşiyor.
Bir siber kayıp söz konusu olduğunda bu coğrafi kısıtlamalar ortadan kalkıyor, tüm bir organizasyon aynı anda ve dünya çapında etkilenebiliyor. Morifoglio, “Küresel bir varlığa sahip bir kuruluşsanız ve dünya genelindeki tüm fiziksel konumlarınızı birbirine bağlayan sistemleriniz varsa o zaman siber olay tüm dünyada sizi etkileyebilir” ifadesini kullanıyor.
Son olarak siber iş kesintisi, geleneksel iş kesintilerinin taşımadığı bir itibar riski de taşıyor. Bir fabrikada yangın gibi geleneksel bir iş kesintisi kaybı olduğunda, çoğu zaman kamuoyunun yangından haberi bile olmuyor. Ancak bir şirket siber saldırıya uğraması durumunda itibarı önemli ölçüde zarar görebiliyor.
Bir veri ihlali durumunda sistem onarılmış ve ihlal hızlı bir şekilde giderilmiş olsa bile, müşteriler ‘bir daha olmayacağına dair mutlak bir güvene sahip olana kadar’ kuruluşla iş yapmakta tereddüt edebilir. Bu güvensizliğin ne kadar süreceğini tahmin etmek de zor. Herkese siber saldırısız günler diliyorum
