AVUKAT MAHMUT BARLAS
Durukan Hukuk Bürosu
Avukat Mahmut Barlas, Fintechtime için kaleme aldı, “Türk Hukukunda Siber Sigorta”.
Dijital dönüşüm, şirketlere inovasyon, verimlilik ve karlılık arttırıcı sayısız olanak tanımakta. Ancak gelişmekte olan teknolojiler, veri hilali ve siber saldırı gibi güvenlik risklerini beraberinde getiriyor.
IBM Veri Güvenliği Raporu 2020[1]’ye göre ortalama veri ihlalini tam olarak tespit edip kontrol altına almak olarak 280 gün sürmektedir. Ortalama bir veri ihlalinin maliyeti ise 3.860.000 Amerikan Doları tutmaktadır.
Bu gelişmekte olan siber tehditlere karşı birçok şirketin maalesef efektif koruması bulunmuyor. Ancak siber sigorta bir çözüm olabilir.
Bu makalemizde siber sigortanın Türk hukukundaki tanımını ve bazı önemli hukuki sorunları inceleyeceğiz.
Siber Sigorta Nedir?
Siber sigorta, siber saldırılar ve siber güvenlik riski nedeniyle oluşacak veri koruma hasarları, bilişim sistemleri hasarları, iş durmasından kaynaklanan zararlar, fidye masrafları, veri ihlalinden doğan tazminat sorumlulukları, siber saldırı nedeniyle oluşan itibar zararları ve sair başa teminatları içinde barındıran bir sigorta ürünüdür.
Türk Hukukunda Siber Sigortanın Yeri
Türk hukukunda sigorta sözleşmeleri temel olarak Türk Ticaret Kanunu’nda (“TTK”) düzenlenmiştir. Buna göre zarar sigortaları, zarar gören tarafın sigorta ettiren veya üçüncü kişi olması ayrımına dayanarak (i) mal sigortaları ve (ii) sorumluluk sigortaları olmak üzere ikiye ayrılmıştır.
TTK’ya ek olarak belirli sigorta türleri için özel düzenlemeler, genellikle tebliğler ile yapılmaktadır. Şu var ki, bugün itibariyle doğrudan siber sigorta ile ilgili herhangi bir mevzuat yoktur. Dolayısıyla siber sigorta poliçeleri, sigortacı ve sigorta ettiren arasında sözleşme serbestisine dayanan bir sigorta sözleşmesi olarak tanımlanmalıdır.
Siber sigorta, poliçenin içeriğine bağlı olarak hem sigorta ettirenin malvarlığını hem de üçüncü kişilerin uğradığı zararları kapsayabilir. Dolayısıyla hangi zarar için hangi mevzuatın uygulanacağı, her bir hasar özelinde değerlendirilmelidir.
Bugün itibariyle siber sigorta için hususi bir düzenleme bulunmaması uygulamada çeşitli belirsizlikler yaratmaktadır. Siber sigorta konusunda Türk hukukundaki çeşitli görüş ayrılığı yaratan konular aşağıdakilerdir:
KVKK Cezalarına Yönelik Sigorta Teminatı Geçerli Midir?
Kimi yabancı sigorta piyasalarında, düzenleyici otoritelerin, mahremiyet ihlali sebebi vereceği idari para cezaları sigortalanabilmektedir. Buna benzer olarak Türkiye’de de veri ihlallerini koruyan sigortalar, çeşitli sigorta aracıları tarafından sunulmaktadır. Ancak Türkiye’de bu sigortanın geçerliliği, birçok açıdan değerlendirilmelidir.
TTK’nın 1404. maddesi uyarınca sigorta ettirenin veya sigortalının kişilik haklarına aykırı bir fiilinden doğabilecek bir zararını teminat altına almak amacıyla veya (i) kanunun emredici hükümlerine, (ii) ahlaka ve (iii) kamu düzenine aykırı yapılan sigortalar geçersizdir.
Öte yandan idari para cezaları sadece kamu düzenini korumak için verilir. Keza korunan menfaat, kamu menfaatidir. Bu yüzden idari para cezalarının caydırıcı bir amacı olmak zorundadır.
Hal böyle olmakla birlikte idari para cezasının sigortalanması, ihlal için cesaret verici bir araç olarak değerlendirilebilir. Farz-ı misal, siber sigorta almak isteyen bir tacirin, yüksek maliyetli birçok siber güvenlik tedbirlerine (şifreleme, şifre avcılığına karşı önlemler, veri segmentasyonu, sistemik veri silme vb.) uymak yerine, idari para cezası sigortası satın aldığını varsayalım. Söz konusu tacir, bu sigortanın varlığına güvenerek ve satışları maksimize etmek amacı ile veri koruma mevzuatını çok defa ihlal edebilir. Bu durumda muhtemel bir hasar anında, sigorta sözleşmesinin geçersiz addedilebileceğini ve bu nedenle istenen koruma ile sonuçlanmama ihtimali değerlendirilmelidir.
Öte yandan sigorta ettiren, gerekli bütün önemleri almasına rağmen hala siber saldırı ile karşılaşabilir. Bunun en açık örneği, 100.000 Amerikan Doları yakın fidye talebi neticelenen, Barrack Obama, Elon Musk, Bill Gates ve Jeff Bezos’un twitter hesaplarının 17 yaşındaki bir hacker tarafından ele geçirilmesidir[2].
Yukarıda anlatılanlar ışığında, mahremiyet ihlallerinden kaynaklı verilen idari para cezası sigortasının geçerli olup olmadığı birçok unsurun değerlendirilmesi sonrasında cevaplanabilir bir sorudur. Bu değerlenmeye esas teşkil edebileceğini düşündüğümüz başlıca unsurlar (i) personellerin yeterli bir şekilde eğitilmesi, (ii) sigorta ettirenin veri koruma mevzuatına uyumluluğu, (iii) mevcut alınmış siber güvenlik önlemlerinin varlığı, (iv) sigortacıya beyan yükümlülüğün doğru yapılması olup benzeri birçok unsurun bir arada ele alınması gerekmektedir.
Sessiz Siber Teminatı
Siber sigorta, 2000’lerin başından beri Lloyd’s reasürörleri tarafından üretilen, son dönemde çok daha ilgi duyulan ve nispeten yeni sayılabilecek bir sigorta ürünüdür.
Geçmişi daha eski tarihlere dayanan ve bu yüzden daha geleneksel olarak nitelendirilebilecek kimi sigortalar, siber saldırıdan kaynaklanabilecek zararlara karşı halihazırda sigorta sunmaktalardır. Örnek olarak, işyeri sigorta poliçesi ile işyerindeki bilgisayarlar, sair teknik donanımları ve yazılımlar sigortalanmaktadır. Eğer siber saldırılar poliçede muaf tutulmamış ise, çok büyük ihtimalle bu geleneksel sigorta poliçeleri ile herhangi ek bir prim tahsilatı yapılmadan bu zararları karşılayacaktır. Bu yüzden sigortacıların kimi poliçelerin gelişmekte olan teknolojiler ışığında gözden geçirmesi ve siber zararlar ile ilgili muafiyetleri içerecek şekilde revize edilmesi düşünülebilir.
Sigorta ettiren tarafında ise bu tür geleneksel sigortalar, siber saldırılara karşı etkin koruma sağlayamamaktadır. Keza siber saldırıya karşı tek teminat, genellikle donanım ve/veya yazılım kayıpları ile sınırlı olacaktır. Ancak gelişen riskler, çok daha kapsamlıdır.
Bu husus, sigorta piyasalarında “sessiz siber teminatı” olarak tanımlanmaktadır ve hem sigortacıların hem de sigorta ettirenlerin dikkat etmesi gereken bir meseledir.
Siber Terörizm Muafiyeti
Siber terörizm kaynaklı zararlar, siber sigorta poliçesinde muafiyete konu olabilir.
NY Times’da yer alan habere göre, bazı Amerikalı reasürörler, Ukrayna’da 2017’de meydana gelen siber gelişmeleri, siber saldırı olarak değil; siber terörizm faaliyeti olarak nitelendirerek 700 milyon Amerikan dolarından yüksek hasar taleplerini reddettiler[3]. Başka bir deyişle, tek bir kelimenin farklı yorumlanması 700 milyon Amerikan dolarından fazla kayıpla sonuçlandı.
Siber terörizm, Türk mevzuatında tanımlanan bir ifade değildir. Bu nedenle siber terörizm konusunda bir teminat muafiyeti, son derece önemli bir gri alan yaratabilir. Bu gibi bir durumda, doğrudan siber terörizm yerine, başka mevzuatlar değerlendirilerek yorum yoluyla hukuki sonuca varılmalıdır. Örnek olarak terörizmi çok geniş bir ifade ile tanımlayan Terörle Mücadele Yasası önemli bir referans kaynağı olacaktır.
Her halükarda siber kaynaklı bir hasar durumunda, iş durması, üçüncü kişi tazminat talepleri, KVKK cezaları, ekipman bozulmaları yaşayan sigorta ettirenlerin, siber saldırı ile siber terörizm arasında bir yorum tartışmasının bir parçası olmaktan mutluluk duymayacağını varsayabiliriz. Bu nedenle, gelecekteki komplikasyonları önlemek için siber sigorta poliçelerini çok dikkatli bir şekilde hazırlanmasını şiddetle tavsiye ederiz.
Siber Saldırı Halinde Müterafik Kusur
Borçlar Kanunu’nun 52. maddesi uyarınca sorumluluk sigortalarında sigorta ettirenin zararın doğmasında ya da artmasında etkili olması yahut tazminat yükümlüsünün durumunu ağırlaştırması durumu var ise, bu durumda sigorta ettirenin kusuru oranında tazminatta indirim yapılır.
Dolayısıyla siber sigortanın varlığı, muhtemel siber saldırı esnasında sigorta ettirene doğrudan koruma sağlamayabilir. Keza sigorta ettiren, siber saldırı riskinin farkında ise, bu riske karşı gerekli önlemleri almalıdır; sadece bu riske karşı sigorta değil. Bu önlemler, gerek veri koruma mevzuatında yer alan bir takım (i) yetki matrisi ve ağ güvenliği oluşturulması, (ii) erişim logları yaratılması, (iii) erişim politikaları yapılması, (iv) bilgi güvenliği sağlanması, (v) depolama ve yok etme, (vi) güvenlik duvarları ve anti-virüs programları kullanılması, (vii) sızma testleri yapılması gibi birçok önlem olabilir.
Yukarıda yazılanlar ışığında gerek sigorta ettirenler, gerek bu riskleri sigortalayan sigortacılar, teknolojik gelişmeleri yakinen takip ederek ve siber sigortaya ek olarak birçok koruma yöntemlerine açık olmalılardır.
Türkiye’de Bilinen Siber Saldırılar
Yakın zamanda, ABD, İngiltere ve Kanadalı güvenlik yetkilileri, koronavirüs aşısının geliştirilmesinde yer alan kuruluşlara karşı bir Rus hacker grubu tarafından siber saldırı gerçekleştirildiğine dair bir uyarı yayınlamıştı[4]. Bunun gibi birçok örnek var ve olmaya da devam edecektir.
Ülkemizde de 2020’nin yaz ayları siber saldırılar açısından hareketli geçti. Son zamanlarda Türkiye’de bilinen bazı siber saldırılar aşağıdaki gibidir:
- Penti Saldırısı: Türkiye’de iç giyim sektörünün devlerinden olan Penti siber saldırı yaşadı.[5]. Şirket, saldırı sonrasında bir basın açıklaması yayınladı ve KVKK’ya veri ihlali bildirimde bulundu fakat bu saldırı sebebi ile uğradıkları zararın maliyeti bilinmiyor.
- e-bebek Saldırısı: Türkiye’nin en büyük annelik, doğum ürünleri satan platformu e-bebek, kamuya mal olan haberlere göre 5 Temmuz 2020’de siber saldırıya uğradı. Web sitelerine girişleri ve ağ erişimleri 9[6] gün boyunca engellendi. Servislerine erişimin engellenmesi fiziksel mağazalarına da erişimin engellenmesine sebep oldu[7].
- net Saldırısı: Türkiye’nin en büyük iş arama platformlarından birisi olan kariyer.net de siber saldırıya uğradı. Şirket, 50.000 kişinin kişisel verilerinin çalındığını beyan etti. Olaydan hemen sonra KVKK, duyurusu yayınladı. Konu ile ilgili KVKK’nın vereceği karar, kamuoyunca merakla beklenmektedir[8].
Sonuç
Gelişmekte olan teknolojiler, yaşamlarımızı ve iş süreçlerimizi kolaylaştırmakta. Bu teknolojiler etkili ve verimli olduğu sürece bu gelişmelerden herkes memnun olmakta. Bununla birlikte ortaya çıkan riskler de göz ardı edilmemeli.
Siber saldırıların sonuçlarını hafifletmek adına siber sigorta, bir çözüm olabilir. Ancak uyuşmazlıklar ve yasal işlemlerle ilgili masraflı riskleri sınırlamak için etkili bir sigorta satın almak çok önemlidir.
Bir diğer taraftan, sigortacılar, sürdürülebilir çözümler üretmek ve siber sigortanın bütün potansiyelini hayata geçirebilmek için siber güvenlik ve veri koruma mevzuatlarına ek olarak birçok unsuru göz önünde bulundurmalıdırlar.
Kaynakça;
- https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pdf
- https://www.businessinsider.com/elon-musk-bill-gates-twitter-hacked-bitcoin-crypto-giveaway-scam-2020-7
- https://www.nytimes.com/2019/04/15/technology/cyberinsurance-notpetya-attack.html
- https://edition.cnn.com/2020/07/16/politics/russia-cyberattack-covid-vaccine-research/index.html
- https://www.haberturk.com/son-dakika-penti-ye-siber-saldiri-2764664-teknoloji
- https://www.milliyet.com.tr/ekonomi/e-bebek-geri-dondu-6257798
- https://www.hurriyet.com.tr/teknoloji/e-bebek-hack-olayini-dogruladi-iste-ilk-aciklamalar-41559382
- https://www.superhaber.tv/son-dakika-haber-kariyernet-hacklendi-haber-293810