Siber Sigorta Poliçeniz Var ama Saldırı Günü Tazminat Reddedilebilir
Bir KOBİ fidye yazılımı (ransomware) saldırısına uğradı. Üretim durdu, dosyalar şifrelendi, sigortacıya talep dosyası açıldı. Sonuç: tazminat reddedildi. Sebep bir teknik kusur değildi. Başvuru formunda "tüm uzaktan erişimlerde çok faktörlü kimlik doğrulama (MFA) vardır" kutusu işaretlenmişti. Saldırı, MFA olmayan bir VPN hesabından geldi. Sigortacının avukatı buna tek kelimeyle "yanlış beyan" (misrepresentation) dedi ve poliçeyi geçersiz saydı.
Bu hikayeyi sahada bir değil, defalarca gördük. Siber sigorta poliçesi imzalamak sizi korumaz. Poliçenin arkasındaki beyanları her gün gerçekten yerine getiriyor olmak korur. DSET olarak işimiz tam burada başlıyor: biz sigortacı değiliz, sizi SİGORTALANABİLİR hale getiren ve bir gün talep açmanız gerektiğinde dosyanızı ayakta tutan teknik ekibiz.
Sigortacının Başvuru Formunda Gerçekten Ne Soruyor
Siber sigorta başvurusu (underwriting questionnaire) artık bir formalite değil. 2021 sonrası fidye dalgasıyla birlikte sigortacılar teminat vermeden önce somut teknik kontrolleri şart koşmaya başladı. Bu kontroller yoksa ya poliçe çıkmıyor, ya prim katlanıyor, ya da en tehlikelisi: kontrol "var" diye işaretleniyor ama gerçekte yok.
İşte başvuru formlarında en sık karşılaştığımız ve denetlenen kontroller:
| Kontrol | Sigortacı Ne Bekliyor | En Sık Yapılan Hata |
|---|---|---|
| MFA | Tüm uzaktan erişim, e-posta, ayrıcalıklı hesaplar için zorunlu | Sadece VPN'de açık, e-postada veya admin hesaplarında yok |
| EDR / XDR | Tüm uç noktalarda davranışsal tespit ve müdahale | Klasik antivirüs var, EDR yok ama "var" işaretlenmiş |
| Çevrimdışı / değiştirilemez yedek | Offline veya immutable, ağdan izole, test edilmiş geri yükleme | Yedek var ama aynı ağda, fidye yedeği de şifreliyor |
| Olay müdahale planı | Yazılı, rol-tanımlı, tatbikatı yapılmış IR planı | PDF olarak var ama kimse okumamış, telefon listesi eski |
| E-posta filtreleme | Gelişmiş kimlik avı ve BEC koruması, DMARC | Yalnızca temel spam filtresi |
| Yama yönetimi | Kritik açıklarda tanımlı SLA, internete açık varlıklarda öncelik | "Otomatik güncelleme açık" sanılıyor, sunucular hariç |
| Ayrıcalıklı hesap yönetimi (PAM) | Admin hesaplarında ayrım, kasa, oturum kaydı | Herkes "Domain Admin", paylaşılan parolalar |
Bu tablodaki her satır, bir talep dosyasında sigortacının avukatının tek tek soracağı sorulardır.
Yanlış Beyanın Bedeli: Ölümcül Detay
Burası çoğu yöneticinin atladığı yer. Siber sigortada poliçe, sizin başvuruda verdiğiniz beyanlar üzerine kurulur. Hukuki dilde buna "ihbar yükümlülüğü" ve "beyan esası" denir. Eğer formda bir kontrolü "var" diye beyan ettiyseniz ve saldırı anında o kontrol fiilen yoksa, sigortacı poliçeyi baştan geçersiz sayabilir. Tazminat ödenmez, ödenen primler bile tartışmalı hale gelir.
Bunu kötü niyetle yapmak gerekmiyor. Çoğu zaman BT ekibi formdaki "MFA var mı" sorusuna iyi niyetle "evet" diyor, çünkü bir kısım sistemde MFA gerçekten açık. Ama saldırı, MFA'sız kalan tek istisnadan geliyor. İşte o tek istisna, tüm poliçeyi çöpe atabilir.
DSET'in burada ürettiği değer net: başvuru formunu doldurmadan önce kontrollerin gerçek durumunu kanıtlanabilir biçimde ortaya koyarız. "Var" dediğiniz her maddenin arkasında ekran görüntüsü, yapılandırma çıktısı, log kaydı ve kapsam raporu durur. Böylece beyanınız dürüst ve eksiksiz olur, talep gününde de ayakta kalır.
Poliçenin İnce Yazıları: Neyin Ödenmediğini Bilmek
Teminat aldınız diye her zarar karşılanmaz. Poliçenin gövdesindeki istisnalar ve alt limitler, gerçek koruma alanınızı belirler. Sahada en sık karşılaştığımız üç tuzak:
Fidye ödemesi çoğu poliçede ya alt limitlidir ya da tamamen hariçtir. "1 milyon teminatım var" diyen bir şirketin fidye için ayrılmış alt limiti 100 bin olabilir. Üstelik bazı poliçeler, yaptırım listesindeki gruplara fidye ödemesini hukuken kapsam dışı bırakır.
Sosyal mühendislik ve BEC (iş e-postası ele geçirme) genellikle ayrı bir teminat ister. Muhasebenin sahte talimatla yanlış hesaba para göndermesi, standart siber teminata değil, ayrıca alınması gereken "fonların aldatılması" teminatına girer. Çoğu poliçede bu kutu işaretlenmemiştir.
İş durması (business interruption) kaybı için çoğu poliçede bir bekleme süresi (waiting period) vardır. İlk 8 ila 12 saatlik durma genelde ödenmez. Saldırının ilk saatleri en pahalı saatlerdir ve sıklıkla cepten karşılanır.
Bu üç noktayı bilmeden poliçe imzalamak, hangi riskin sizde kaldığını bilmeden imzalamak demektir. DSET, poliçe öncesi teknik risk değerlendirmesinde bu boşlukları sizin için işaretler.
Türkiye Bağlamı: KVKK, KOBİ ve Sigortalanabilirlik
Türkiye'de siber poliçe pazarı hızla büyüyor ama beraberinde sigortalanabilirlik (insurability) sorununu getiriyor. Temel kontrolleri olmayan KOBİ'ler ya hiç teklif alamıyor ya da karşılanamaz primlerle karşılaşıyor. Sigortacı artık "parayı al, riske bakma" demiyor; teknik olgunluğu olmayan şirkete poliçe vermiyor.
KVKK boyutu ayrı bir katman ekliyor. Bir veri ihlalinde 72 saatlik bildirim yükümlülüğü, idari para cezası riski ve veri sahiplerine karşı tazminat sorumluluğu doğar. İyi yapılandırılmış bir siber poliçe bu üçüncü taraf sorumluluğunu da kapsayabilir, ancak yine başvuruda doğru beyan ve KVKK uyumunun teknik kanıtı şarttır. Veri ihlali bildirim sürecinin işleyişini KVKK veri ihlali bildirimi 72 saat formu yazımızda ayrıntılı ele aldık.
DSET'in Siber Sigorta Hazırlık ve Uyum Hizmeti
Biz sigorta satmıyoruz. Sizi sigortacının gözünde düşük riskli ve talep gününde korunaklı hale getiriyoruz. Hizmetimiz üç fazda işler:
Faz 1, başvuru öncesi olgunluk denetimi. Sigortacının başvuru formundaki her kontrolü tek tek sahada doğrularız. MFA kapsamı, EDR/XDR yaygınlığı, çevrimdışı yedeklerin gerçekten izole olup olmadığı, yama SLA'sı ve ayrıcalıklı hesap düzeni. Çıktı: hangi maddeyi dürüstçe "var" diye işaretleyebileceğinizi gösteren kanıtlı kapsam raporu.
Faz 2, eksik kontrolleri kurma. Boşluk çıkan yerleri kapatırız. EDR/XDR kurulumu için EDR/XDR uç nokta güvenliği çözümümüzü, fidye dayanıklı yedek mimarisi için fidye yazılımı koruma ve kurtarma çözümümüzü devreye alırız. Hedef, "evet" diyebileceğiniz her kutuyu gerçekten "evet" yapmak.
Faz 3, ihlal anında talep desteği. Bir gün saldırı olursa adli bilişim (forensics) ve olay müdahale (IR) ekibimiz devreye girer. Saldırının kök nedenini, kapsamını ve zaman çizelgesini sigortacının kabul edeceği teknik titizlikle belgeleriz. Olay müdahalenin nasıl işlediğini siber olay müdahale IR playbook yazımızda anlattık. Bu belge, tazminat dosyanızın bel kemiğidir; dağınık bir müdahale, en haklı talebi bile zayıflatır.
Sık Sorulan Sorular (SSS)
Siber sigorta poliçem zaten var, yine de bu hizmete ihtiyacım olur mu? Çoğu zaman evet, hatta daha çok. Poliçesi olup başvuruda beyan ettiği kontrolleri fiilen kuramamış şirketler en yüksek ret riskini taşır. Mevcut poliçenizdeki beyanları gerçek durumla karşılaştırıp boşlukları kapatmak, poliçenizin saldırı günü işe yaramasını sağlar.
Sigortacı tazminatı hangi durumda reddeder? En sık sebep yanlış veya eksik beyandır: başvuruda "var" denilen bir kontrolün saldırı anında fiilen bulunmaması. İkincisi, istisna kapsamına giren bir zarardır (alt limitli fidye, ayrı teminat isteyen BEC gibi). Üçüncüsü, ihlali geç bildirme veya bildirim yükümlülüğüne uymama.
Fidye ödemesi poliçemden karşılanır mı? Karşılanabilir ama dikkatli okuyun. Fidye çoğu poliçede alt limitlidir veya tamamen hariçtir, ayrıca yaptırım listesindeki gruplara ödeme hukuken kapsam dışıdır. Teminat tablonuzdaki fidye alt limitini imzadan önce mutlaka teyit edin.
KVKK veri ihlali sorumluluğunu siber poliçe kapsar mı? İyi yapılandırılmış poliçeler üçüncü taraf sorumluluğunu ve bazı idari yaptırım savunma masraflarını kapsayabilir. Ancak bu, başvuruda doğru beyan ve KVKK uyumunun teknik kanıtına bağlıdır. 72 saatlik bildirim sürecini ihmal etmek hem ceza hem teminat kaybı doğurabilir.
DSET sigorta acentesi mi? Hayır. Sigorta satmıyoruz, acente değiliz. Biz teknik tarafı kurarız: kontrolleri sahada uygularız, başvuru formunu dürüst doldurmanız için kanıt üretiriz, ihlal anında adli bilişim ve olay müdahaleyle tazminat dosyanızı destekleriz. Tarafsızlığımız tam da bundan gelir.
Kaynaklar
- ENISA, Threat Landscape raporları: https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends
- NIST SP 800-61, Computer Security Incident Handling Guide: https://csrc.nist.gov/pubs/sp/800/61/r3/final
- KVKK, Veri İhlali Bildirimi: https://www.kvkk.gov.tr/veri-ihlali-bildirimi
- FBI IC3, Internet Crime Report: https://www.ic3.gov/AnnualReport/Reports
- Marsh, Cyber Insurance Market reports: https://www.marsh.com/en/services/cyber-risk.html
- Hiscox Cyber Readiness Report: https://www.hiscoxgroup.com/cyber-readiness
Sigortalanabilir misiniz? Bunu Tahmin Etmeyin, Kanıtlayın
Bir sonraki poliçe yenilemenizden veya ilk başvurunuzdan önce, kontrollerinizin sigortacının gözünde nasıl göründüğünü bilin. DSET'in başvuru öncesi olgunluk denetimini talep edin; hangi kutuyu dürüstçe işaretleyebileceğinizi kanıtla görün, boşlukları saldırı gelmeden kapatın.
DSET, 2003'ten beri Ankara Hacettepe Teknokent Beytepe'de siber güvenlik, adli bilişim ve veri kurtarma alanında hizmet veriyor. Telefon: +90 536 662 38 09