SİBER GÜVENLİK SİGORTALARINDA RANSOMWARE SALDIRILARINA İLİŞKİN FİDYE ÖDEMELERİ TEMİNAT ALTINA ALINABİLİR Mİ?

Siber güvenlik araştırma şirketleri tarafından yapılan araştırma ve istatistikler Türkiye’ nin her yıl ciddi oranlarda ransomware saldırılarına maruz kaldığını göstermektedir. Fidye zararlı yazılım saldırıları ceza hukuku boyutu itibariyle çok ayrı bir konu olmakla beraber bu yazıda“ Hacker'ların Fidye Zararlı Yazılımları Kullanarak İşleyebileceği Suçlar” isimli kitabımda vurguladığım ve son zamanlarda karşıma sıklıkla çıkan bir konudan bahsedeceğim. Siber güvenlik şirketi Sophos tarafından 21 yılı Ocak- Şubat araştırma raporuna göre Türkiye’de ankete katılanların %48’i son 1 yılda fidye yazılımı saldırısına uğramış ve şirketlerin fidye yazılımının verdiği zararı düzeltmenin bedeli 582 bin 500 dolar olarak kayıtlara geçmiştir.  Sophos’un 2022 araştırmasına göre ise Türkiye’den ankete katılan şirketlerin %60’ı geçtiğimiz yıl fidye yazılımı saldırılarıyla karşılaşmış, saldırı sonucu verisi şifrelenenlerin %47’si işlerini kesintiye uğratmamak için fidyeyi ödeme yoluna gitmiştir.  Türkiye’de yaşanan siber saldırı vakalarında hala bu kritik rakamlarla karşılaşılması oldukça korkutucu olmakla birlikte siber güvenlik sigortalarının poliçelerinde fidye saldırılarına ilişkin teminat verilmesi de bir hayli düşündürücü. Zira fidye yazılımı saldırılarında Türkiye’nin dünya sıralamasındaki yerine bakıldığında saldırganları cezbedecek bir durum ortaya çıkabilecektir.  Siber Risk, bir diğer ismiyle siber güvenlik sigortalarında fidye yazılımı saldırılarına ilişkin fidye ödemelerinin poliçelerde sağlanan bir teminat olarak sunulması hala birçok ülke açısından da büyük bir tartışma konusudur. Nitekim ABD’ de OFAC tarafından belirlenen terörist gruplarına yapılan fidye ödemeleri bazı durumlarda federal yasanın 18. bölümün 2339B kapsamında maddi destek olarak kabul edilmekte olup yasaya aykırılık teşkil etmektedir. ABD Hazine Bakanlığı 1 Ekim 2020 tarihinde “Fidye Ödemelerini Kolaylaştırmaya Yönelik Olası Yaptırım Riskleri Hakkında Tavsiye” yayınlayarak  fidye yazılım saldırısına maruz kalan ve yaptırımlar listesinde yer alan kişilere, kuruluşlara, rejimlere ve bazı durumlarda fidye ödeyen kişi veya kurumlara yaptırım uygulanabileceğini hüküm altına almış ve 23 Ekim 2020 tarihinde OFAC, “triton” isimli kötülümcül yazılım geliştirerek ABD’nin siber güvenliğini hedef alan Rus hükümetine bağlı bir kuruma Düşmanlarına Yaptırım Yoluyla Mücadele Yasasının (CAATSA) 224 bölümü uyarınca yaptırım kararı aldığını açıklamıştır[1]. 7 Mayıs 2021 tarihinde DarkSide isimli hacker grubu ABD’nin en büyük boru hattına fidye yazılımı saldırısı gerçekleştirerek akaryakıt transferlerinin aksamasına sebep olmuş ve şirket yetkilileri daha fazla risk almamak adına 4.4 milyon dolar tutarında fidye ödediklerini ve bu ödemenin bir kısmının siber sigorta tarafından karşılandığını açıklamışlardır. ABD, petrol şirketi Colonial Pipeline Company’e yapılan saldırı sonrasında fidye yazılımı saldırılarını gerçekleştiren hacker’ları terörist olarak kabul etme kararı alarak saldırı sonrası ülke genelinde savcılıklara gönderilen kılavuzda fidye yazılımına ilişkin soruşturmanın terörizm ile aynı önceliğe sahip olacağı ifadesi yer almıştı.

Türkiye’de ise ilk kez 2017 yılında Bireysel Siber Güvenlik  Sigortası poliçesiyle hizmet vermeye başlayan Anadolu Sigorta ile birlikte   Hazine ve Maliye Bakanlığının hayat dışı sigorta branşında faaliyet gösteren ruhsat sahibi 39 sigorta şirketinden 11’inin tek başına siber sigorta poliçe hizmeti sağladığı bilinmektedir. Bunun haricinde ise zaten birçok banka siber risk sigorta hizmeti vermeye başlamıştır. Şirketlerin bir siber saldırıya maruz kalması sadece maddi açıdan değil beraberinde birçok sorunu da getirmektedir. Özellikle KVKK’ya bildirim ve ticari itibar kaybı büyük sorun teşkil edebilmektedir.

Sophos’un 2022 araştırmasına göre Türkiye’deki orta ölçekli kuruluşların %84’ü fidye yazılımı saldırılarını da kapsayan bir siber koruma sigorta poliçesine sahiptir[2]. Bazı ransomware vakalarında sigorta şirketleri ödeme yapmayı reddetmektedir. Nitekim geçtiğimiz haftalarda Avrupa'nın en büyük sigorta şirketlerinden ZuricH gıda şirketi Mondelez’e gerçekleştirilen NotPetya saldırısından kaynaklanan 100 milyon dolarlık sigorta talebini poliçenin “savaş benzeri eylemleri” dışladığı gerekçesiyle 100 milyon dolarlık sigorta talebini ödemeyi reddetmişti[3]. Bu tür olayların son zamanlarda sık yaşandığına şahit olmakla birlikte Zurich’in CEO'su Mario Greco bu tür saldırıların terör eylemleri gibi, ölçülemeyen sistemik siber riskleri ele almak için kamu-özel teşebbüsleri oluşturulmasını ve fidyelerin ödenmesinin engellenmesinin daha az saldırı olacağına belirterek ABD hükümetinin OFAC düzenlenmesine dikkat çekmiştir.

Fidye zararlı yazılımlarının diğer birçok siber saldırılarda farklı olması ve büyük riskler barındırması konunun önemini ortaya çıkarmaktadır. Siber güvenlik sigorta poliçeleri ülkemizde çok yeni olduğu için konuyla ilgili ülkemizde doğrudan özel bir düzenleme bulunmamakla birlikte Siber güvenlik sigorta poliçelerinde 6102 Sayılı Türk Ticaret Kanunu’nun 6.kitabının sigorta hukukuna ilişkin hükümleri uygulama alanı bulmaktadır.  Ancak fidye ödemesine ilişkin teminatlar üzerinde bilhassa üzerinde durulması gerekmektedir. Rizikonun gerçekleşmesinden sonra hem sigortalı hem de sigortacı açısından sorunlar meydana gelebilmektedir. Şuan için sigorta şirketlerinin fidye ödemesine ilişkin yasal bir engel bulunmamakla birlikte yukarıda bahsedilen hususlar gözetildiğinde Türkiye açısından benzer bir düzenlemenin getirilmesi en azından fidye ödemelerine ilişkin teminatların sunulması taraflar açısından daha az riskli ve sağlıklı olacaktır.  

-----------------

[1] DARKReading, “US Treasury’s OFAC RansomwareAdvisory: NavigatingThe Gray Areas”, 11/24/2020, https://www.darkreading.com/risk/us-treasurys-ofac-ransomware-advisory-navigating-the-gray-areas/a/d-id/1339394, E.T. 01.01.2021.

[2] The State of Ransomware 2022, https://assets.sophos.com, E.T 29.12.2022.

[3] https://www.finansgundem.com/haber/zurich-ceosu-siber-guvenlik-sigortalanamaz-hale-geliyor/1711695, E.T 29.12.2022.