Siber Sigorta: Ransomware, Data Breach ve Incident Response
First/third party teminat, NIST IR çerçevesi, KVKK 72 saat bildirim, Lloyd's cyber war exclusion, MFA zorunluluğu.
- ✓Siber sigorta (cyber insurance), dijital saldırı ve veri ihlali sonucu oluşan zararları karşılayan özel branştır. Dünyada en hızlı büyüyen sigorta alanı.
- ✓2 ana bileşen: (1) First-party (sigortalının kendi zararları — veri kurtarma, iş durması, fidye), (2) Third-party (üçüncü şahıs zararları — KVKK/GDPR cezaları, davalar).
- ✓Tipik teminat: ransomware fidyesi, data breach notification, forensic investigation, iş durması, extortion, cyber business interruption.
- ✓Underwriting koşulları: MFA (multi-factor auth), EDR (endpoint detection), düzenli backup, incident response planı, çalışan eğitimi. Bunlar yoksa teminat reddedilir.
- ✓Eksper dosyasında: saldırı zaman çizelgesi, log analizi (SIEM), forensic imaging, NIST IR çerçevesi, KVKK bildirim süreleri — hepsi delil zincirinde.
2017 NotPetya saldırısı — tek bir yazılım virüsü dünyada 10 milyar dolar hasar, Maersk şirketini 10 gün çalıştıramaz hale getirdi. 2021 Colonial Pipeline ransomware — ABD\'nin büyük petrol boru hattı 6 gün durdu, 4.4 milyon dolar fidye ödendi. Siber riskler fiziksel risklerin önüne geçti. Bu yazıda siber sigorta ürünlerini ve eksperin bu yeni disiplindeki rolünü ele alıyoruz.
Siber Sigorta Kapsamı
First-Party (Sigortalının Kendi Zararları)
| Teminat | Kapsam |
|---|---|
| Data Recovery | Silinmiş/şifrelenmiş verinin geri kurtarma maliyeti |
| Business Interruption | Sistem kesintisi sonucu gelir kaybı |
| Cyber Extortion / Ransomware | Fidye ödemesi ve müzakere masrafları |
| Forensic Investigation | IR firması ücreti, adli analiz |
| Notification Costs | Veri sahiplerini bildirme (KVKK, GDPR) |
| PR / Crisis Management | Kamuoyu iletişimi, marka hasarı yönetimi |
| Credit Monitoring | Müşteri kredi takibi hizmeti (kişisel veri ihlalinde) |
Third-Party (Üçüncü Şahıs Sorumluluğu)
- Privacy Liability: KVKK, GDPR cezaları ve veri sahibi davaları
- Network Security Liability: Siber saldırının yayıldığı üçüncü tarafların zararları
- Media Liability: İnternet içerik kaynaklı (defamation, telif)
- Regulatory Defense: KVK Kurulu veya DPA soruşturma savunması
Sık Görülen Siber Saldırı Tipleri
Ransomware
En yaygın. Kötü niyetli yazılım sistemleri şifreler; çözüm anahtarı için fidye ister. 2024 istatistiği: saldırı başı ortalama fidye 500.000-2 milyon USD. Ödenen fidyelerin %30\'unda veri geri gelmiyor.
Business Email Compromise (BEC)
CEO veya CFO\'nun email hesabı ele geçirilir, tedarikçiye yanlış banka hesabına ödeme yaptırır. FBI IC3 verilerine göre 2023 kaybı 2.7 milyar USD.
Data Breach
Kişisel veya ticari verinin çalınması. KVKK ve GDPR kapsamında bildirim zorunluluğu, yüksek ceza.
DDoS (Distributed Denial of Service)
Web sitesine/sunucuya aşırı trafik gönderilerek erişilmez hale getirme. Ticari kayıp önemli.
Supply Chain Attack
Tedarikçi yazılım veya hizmetten giriş. 2020 SolarWinds saldırısı 18.000 firma.
Underwriting Şartları — Minimum Güvenlik Standardı
Siber sigortacılar 2022 sonrası sıkılaştı. Asgari güvenlik önlemleri olmayan firmalara poliçe satılmıyor:
✓ MFA (Multi-Factor Authentication) — tüm kritik erişimler
✓ EDR (Endpoint Detection & Response) — CrowdStrike, SentinelOne, Defender
✓ Düzenli yedekleme (3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 offline)
✓ Patch management — kritik güvenlik güncellemeleri 30 gün içinde
✓ Incident Response planı yazılı
✓ Çalışan phishing eğitimi (yıllık en az)
Güçlü önerilen:
✓ Zero Trust mimarisi
✓ SIEM (Security Information and Event Management)
✓ 24/7 SOC (Security Operations Center) — iç veya dış
✓ Penetration testing yıllık
✓ DLP (Data Loss Prevention) sistemleri
✓ Supplier risk assessment
NIST IR Çerçevesi — 4 Aşama
NIST SP 800-61 "Computer Security Incident Handling Guide" incident response çerçevesi:
- Preparation: Hazırlık — politika, araç, eğitim
- Detection & Analysis: Tespit ve analiz — SIEM alarmları, triage
- Containment, Eradication & Recovery: İzolasyon, temizleme, geri yükleme
- Post-Incident Activity: Ders çıkarma, rapor, iyileştirme
KVKK Bildirim Yükümlülüğü
KVKK m.12/5 ve Kurul kararı 2019/10: Kişisel veri ihlalinde:
- KVK Kurumu\'na bildirim: En geç 72 saat içinde
- Veri sahiplerine bildirim: Makul süre içinde (yüksek risk durumunda)
- İçerik: İhlal tipi, etkilenen veri kategorileri, etkilenen kişi sayısı, alınan önlemler
İdari para cezaları: 150.000 - 7 milyon TL arasında (2024 tebliği). GDPR daha ağır: 20 milyon EUR veya global cironun %4\'ü (yüksek olan).
Tipik İstisnalar
- Savaş ve terör (cyber war): 2022 sonrası özellikle tartışmalı — Merck vs Ace American davası
- Pre-existing vulnerabilities: Biliniyordu ama düzeltilmedi
- Patch management eksikliği: Güvenlik güncellemeleri uygulanmadı
- Insider attack: Sigortalının kasıtlı çalışanı tarafından
- Sistem modernizasyonu: Planlı güncelleme kaynaklı kesintiler
Eksperin Siber Hasar Dosyasındaki Rolü
Siber eksperlik özel uzmanlık gerektirir — geleneksel sigorta eksperi tek başına yeterli değildir. Genelde sigortacı ile birlikte çalışır:
- Incident Response firması: Mandiant, CrowdStrike, Kroll — teknik analiz
- Siber eksper: Zarar miktarı, BI hesabı
- Hukuki danışman: KVKK/GDPR süreç yönetimi
- Forensic accounting: BEC davalarında para izleme
Eksperin kontrol noktaları:
- Saldırı zaman çizelgesi (attack timeline) — log kayıtları
- Underwriting sırasında beyan edilen güvenlik önlemleri gerçekte var mıydı?
- Patch level ve güncelleme durumu olay öncesi
- Backup durumu ve geri yükleme başarısı
- BI süresini etkileyen faktörler
- Ransomware ödeme yapılmışsa — kimin onayı ile?
- KVKK bildirimi yapıldı mı, zamanında mı?
- Forensic rapor ve root cause analysis
Türkiye Siber Sigorta Pazarı
- Pazar 2020 sonrası hızla büyüyor — yıllık %60-100
- Aktif oyuncular: Axa, Allianz, Türkiye Sigorta, Sompo, HDI
- Reasürans yoğun — Lloyd\'s, Munich Re, Swiss Re Türk sigortacıya kapasite sağlıyor
- Tipik orta ölçek firma poliçe: 50.000-500.000 USD limit, 10.000-30.000 USD prim
- KVKK sonrası talep patlaması — 2024 poliçe sayısı %200 arttı
Kaynaklar
- NIST SP 800-61 Rev.2 — Computer Security Incident Handling Guide
- NIST Cybersecurity Framework 2.0 (2024)
- ISO 27001 — Information Security Management Systems
- 6698 Sayılı KVKK — Veri İhlali Bildirim Yönetmeliği
- GDPR (EU 2016/679) — Article 33 (breach notification)
- UK NCSC — Cyber Incident Response Guidelines
- Lloyd\'s Cyber War Exclusion (LMA5400 series, 2023)
İlgili yazılar: İş durması (BI) sigortası, Poliçe okuma rehberi.
Sık Sorulan Sorular
Ransomware fidyesini ödemek yasal mı?+
Sigortasız firma KVKK cezasını sigortalayabilir mi?+
Bulut hizmetleri (AWS, Azure) kesintisinde sigorta devreye girer mi?+
Çalışan phishing'e tıklarsa teminat var mı?+
Maersk NotPetya'dan tazminat aldı mı?+
Mevzuat değişiklikleri, yeni hesaplama araçları ve hasar dosyalarından pratik notlar — haftada bir, sadece değerli olduğunda.
İstediğiniz zaman tek tıkla abonelikten çıkabilirsiniz. E-posta adresiniz üçüncü taraflarla paylaşılmaz.
İlgili Yazılar
Tüm Blog →Hayvan Hayatı Sigortası: TARSİM ve Veteriner Nekropsi Protokolü
TARSİM Tarım Sigortası Rehberi: Havuz, Destek, Hasar Süreci
Özel Sağlık Sigortası Tazminat Rehberi: Provizyon, Indemnity, Red
Bilgiyi pratiğe dönüştürün
Bu yazıdaki hesaplamaları ve mevzuat bilgisini tek platformda — belgeleri yükleyin, AI raporunuzu 5 dakikada hazırlasın.