Siber Riskler ve Siber Sigortalar

1. BÖLÜM SİBER RİSKLER 

1. Siber risk nedir? 

Siber risk, dijital sistemler, veriler veya ağlar üzerinde gerçekleşen tehditler ve bu tehditlerin yol açabileceği zararlardır. Bu tehditler bireylerin, şirketlerin ya da kurumların dijital varlıklarına zarar verebilir.  

Küresel siber suç maliyetleri 2024'te 10,5 trilyon dolara ulaşmış bulunmaktadır. (kaynak: Cybersecurity Ventures) Türkiye’de ise bu rakam BDDK ve BTK verilerine baktığımızda 3.5 milyar doları civarındadır. Türkiye, geçtiğimiz yıl Avrupa’da en çok siber saldırıya uğrayan ilk 5 ülke arasında yer aldı. Ayrıca, kişisel veri ihlalleri konusunda da ciddi artışlar gözlemlendi. Özellikle saldırıların %60’ı sağlık sektörü ve KOBİ'leri hedef almaktadır.   

2. Siber risklerin bu kadar artmasının temel sebepleri neler? Neden bu kadar yaygın hale geldi? 

Siber saldırıların bu kadar yaygın hale gelmesinin birkaç temel sebebi bulunmaktadır: 

Dijitalleşme: Daha fazla cihazın internete bağlanması yeni güvenlik açıklarının meydana gelmesi. 

Farkındalık eksikliği: Bireyler ve şirketler yeterince güvenlik önlemi almıyor olması. 

Hacker’ların gelişen teknikleri: Yapay zeka destekli saldırıların daha karmaşık hale gelmesi. 

Uzaktan çalışma ve bulut sistemler: Pandemiyle birlikte artan uzaktan çalışma modeli yeni güvenlik açıkları doğması. 

3. Siber riskler Şirketler için nasıl bir tehdit oluşturuyor? 

Şirketler için siber saldırılar ciddi finansal ve operasyonel kayıplara yol açabilir: 

İtibar kaybı: Müşteri verilerinin çalınması, marka değerini ve güveni zedeleyebilir. 

Finansal zararlar: Fidye yazılımları veya hileli işlemler sonucu maddi kayıplar yaşanabilir. 

Hukuki sorumluluklar: KVKK gibi veri koruma yasalarına aykırı hareket eden şirketler, büyük cezalarla karşılaşabilir. 

4. Siber riskler sadece şirketler için mi bir tehdit? 

Hayır, bireyler de birçok siber tehditle karşı karşıya kalabilir, 

• Kimlik hırsızlığı ve dolandırıcılık 
• Kredi kartı bilgilerinin çalınması 
• Sosyal medya hesaplarının ele geçirilmesi 
• Kişisel verilerin sızdırılması (özel fotoğraflar, mesajlar vs.) 

5. Şirketler ve Bireyler bu risklere karşı kendilerini nasıl koruyabilir? 

Korunmak için hem teknik hem de davranışsal önlemler almak gerekir.  

Şirketler için; 

• Güçlü siber güvenlik politikaları oluşturulmalı. 
• Çalışanlar bilinçlendirilmeli ve eğitilmeli. 
• Veriler yedeklenmeli ve şifrelenmeli. 
• Güvenlik yazılımları ve antivirüs sistemleri güncel tutulmalı. 

Bireyler de ise; 

• Güçlü ve benzersiz şifreler kullanılmalı, 
• Biyometrik kimlik doğrulama (parmak izi, yüz tanıma) kullanımı.   
• İki faktörlü kimlik doğrulama aktif edilmeli, 
• Bilinmeyen bağlantılara ve e-postalara tıklanmamalı.  
• HTTPS olmayan web sitelere dikkat edilmeli, 
• Yazılımların ve antivirüs programlarının güncel tutulması. 

6. Dünyada ve Ülkemizde hangi tür Siber saldırı riskleri gerçekleşiyor? 

Dünyada: 

• Büyük şirketlere yönelik veri ihlalleri 
• Kripto para hırsızlıkları 
• Yapay zeka destekli kimlik avı saldırıları 

Somut örnekler vermek gerekirse;  

​En son büyük kripto para hırsızlığı, Dubai merkezli kripto para borsası Bybit'te gerçekleşti. Yaklaşık iki hafta önce, 1,5 milyar dolar değerinde Ethereum (ETH) çalındı. Saldırganlar, bir işlem sırasında güvenlik protokollerini suistimal ederek varlıkları kimliği belirsiz bir adrese aktarmayı başardı. 

Yeni faaliyetine başlayan Çin merkezli DeepSeek yapa zeka uygulaması geçtiğimiz günlerde geniş çaplı bir siber saldırının hedefi olduğunu açıkladı. Şirket, kullanıcı verilerinin güvenliğini sağlamak adına yeni kayıtları geçici olarak durdurduğunu duyurdu. 

Japonya'nın önde gelen telekomünikasyon şirketlerinden biri olan NTT Communications, 5 Şubat 2025'te gerçekleşen bir siber saldırının ardından yaklaşık 18.000 kurumsal müşterisinin verilerinin ele geçirildiğini duyurdu. 

Konum tabanlı veri ve analiz hizmetleri sunan Gravy Analytics şirketi, büyük bir siber saldırıya uğradı. Dünya genelinde yaklaşık 30 milyon kullanıcının konum bilgileri ele geçirildi.  

Ülkemizde ise ağırlıklı olarak; 

• Müşteri adedinin fazla olduğu Telekominasyon ve HGS (Hızlı Geçiş Sistemi) Sektörüne yönelik saldırılar, 
• Bankacılık sistemlerine yönelik saldırılar, 
• Kredi kartı dolandırıcılığı 

Yine somut örnekler vermek gerekirse; 

Geçtiğimiz yıllarda Türk Telekom'a yönelik DDoS (Dağıtılmış Hizmet Engelleme) saldırısı yaşandı. (kaynak: BTK).   

Geçtiğimiz Aralık ayı içinde Hızlı Geçiş Sistemi (HGS), hackerlar tarafından hedef alındı. Sahte site adresi vererek kullanıcıların kişisel bilgilerini güncellenmesi istendi. Daha sonra PTT kamuoyuna gereken açıklamayı yaparak vatandaşlarımızı uyardı. 

Geçtiğimiz aylarda bir banka müşterilerinin siber saldırı sonucu mağduriyet yaşadığı yönünde idaalar oluştu, kişilerin mobil bankacılık şifreleri ele geçirilerek online kredi çekilip çekilen tutarlar başka şahısların hesaplarına aktarıldığı ve bu işlemlerin gece insanların uykuda olduğu saat 02:00 – 05:00 saatleri arasında yapılmış olduğu iddia edildi.  

7. Peki, 2025 Yılında Dünyada Gerçekleşmesi Beklenen Siber Tehditler nelerdir? 

• Yapay zeka destekli saldırılar artacak. 
• Yapay zeka ve makine öğrenimi kullanılarak daha karmaşık ve hedefli saldırılar gerçekleştirilebilir. 
• IoT (Internet of Things) Nesnelerin İnterneti cihazlarına yönelik saldırılar yaygınlaşacak.  
• Akıllı ev cihazları (Termostat, priz ve aydınlatma vs.)  
• Akıllı Endüstriyel Cihazlar (Üretim hattı sensörleri,  
• Makinaların otomasyana bağlı çalışıp kapanması),  
• Ulaşım ve Araç Cihazları (Araç takip sistemleri, Trafik lambaları, HGS etiketleri) 
• Sağlık ve giyilebilir cihazlar (Akıllı saatler, Tansiyon ölçerler)  
• Tarım ve Çevre Cihazları (Toprak nem sensörleri ve otomatik sulama gibi) 
• Kripto para ve merkeziyetsiz finans sistemlerine yönelik saldırılar büyüyecek. 
• 2024 yılında kripto para hırsızlıklarından kaynaklanan kayıplar 1.4 milyar dolara ulaştı. Buna bağlı olarak, 2025 yılında, kripto para piyasasının daha da büyümesiyle birlikte, siber suçluların hedefleri arasında dijital cüzdanlar ve merkeziyetsiz finans platformları da ön planda olacak.  

Tahminlere göre, 2025 yılında dünya genelindeki siber güvenlik harcamalarının 200 milyar doları aşması bekleniyor. 

2024 yılında akıllı cihazlara günde ortalama 467 bin kötü amaçlı dosya bulaştığı tahmin ediliyor. Virüslü yazılımlar göndermek amacıyla kullanılan programların kullanımında ise % 250 oranında bir artış yaşandı. Bu durum, bilgisayar ve telefonlara yönelik tehditlerin hızla artacağını gösteriyor.  

8. Ülkemizde Siber sigorta ile ilgili yasal düzenlemeler nelerdir? 

Ülkemizde Siber Güvenlik Başkanlığı, Türkiye’deki Cumhurbaşkanlığı Dijital Dönüşüm Ofisi çatısı altında 8 Ocak 2025 tarihinde Resmi Gazete'de yayımlanarak kuruldu. 

Başkanlık, siber güvenliğin sağlanması amacıyla; 

• Politika, strateji ve hedefleri belirleyecek,  
• Eylem planları hazırlayacak,  
• Mevzuat çalışmalarını yürütecek,  
• İlgili faaliyetlerin koordinasyonunu sağlayacak,  
• Siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütecek,  
• Siber güvenlik ve bilgi güvenliğini destekleyici projeler yürütecek, bu alanda kamu, özel sektör ve üniversiteler arasındaki işbirliğinin artırılmasına yönelik çalışmalar yapacak. 

2. BÖLÜM SİBER SİGORTALAR 

9. Siber sigorta nedir ve neden önemlidir? 

Siber sigorta, şirketlerin veya bireylerin siber saldırılar nedeniyle uğradıkları zararları karşılayan bir sigorta türüdür. Veri ihlalleri, fidye yazılımları veya hukuki süreçler gibi risklere karşı güvence sağlar. 

Siber saldırıların büyük bir kısmının kullanıcı hatası nedeniyle gerçekleşmesi siber güvenliğinin tam olarak sağlanamamasından kaynaklanır. İşte siber güvenlik sigortasının önemi burada ortaya çıkar. Çünkü siber saldırılara hazırlıklı olmak ve verilerin güvenliğini sağlamak için alınabilecek en iyi önlemlerden biri siber güvenlik sigortası yaptırmaktır. Siber güvenlik sigortası, işletmenin siber saldırılara karşı dayanıklılığını artırmada ve olası saldırı sonrası meydana gelebilecek zararın karşılanmasına önemli rol oynar. 

10. Siber sigorta poliçeleri hangi riskleri teminat altına almaktadır? 

Sektörde Bireysel ve Ticari Siber olmak üzere iki poliçe türü bulunmakta ve genelde teminatlar değişkenlik gösterebilmektedir. Genel olarak verilebilecek teminatlar bakacak olursak; 

Bireysel Siber Güvenlik Sigortası Teminatları 

Siber Sahtecilik: Dijital ortamda gerçekleştirilen kimlik hırsızlığı, dolandırıcılık ve sahte bilgi yayma gibi kötü niyetli eylemler sonucu oluşan mali kayıpları karşılar. 

Siber Sahtecilik Türleri: 

Kimlik Avı (Phishing): Sahte e-posta, SMS veya web siteleri aracılığıyla kullanıcıların şifre, kredi kartı bilgileri gibi hassas verilerini ele geçirme. 

Deepfake ve Sahte İçerikler: Yapay zeka ile oluşturulmuş sahte videolar, ses kayıtları veya belgelerle kişileri kandırma. 

Sahte Web Siteleri (Spoofing): Orijinal bir bankanın, şirketin veya resmi kurumun web sitesinin birebir kopyasını yaparak kullanıcıları dolandırma. 

Online Dolandırıcılık (Fraud): Sahte alışveriş siteleri, sahte yatırım fırsatları veya sahte iş ilanları sunarak insanlardan para veya kişisel bilgi çalma. 

Sosyal Mühendislik: İnsanları manipüle ederek gizli bilgilerini paylaşmalarını sağlama (örneğin, kendini bir banka çalışanı gibi tanıtma).  

Veri Kurtarma: Siber saldırı sonucu çalınan ya da şifrelenen veri ve kıymetli bilgilerin kurtarılma ve / veya onarılma masraflarını karşılar. 

Siber Zorbalık:  

• Hakaret ve Tehdit: Sosyal medya, mesajlaşma veya e-posta aracılığıyla aşağılayıcı, tehditkar veya saldırgan mesajlar göndermek.  
• Sosyal Medyada İtibar Zedeleme: Bir kişinin adını kullanarak sahte hesap açmak, hakkında yalan haberler veya dedikodular yaymak. 
• Gizli Bilgi veya Fotoğraf Yayma: Özel fotoğraf, video veya kişisel bilgileri izinsiz olarak paylaşmak. 

Ticari Siber Güvenlik Sigortası Teminatları 

1. Finansal Kayıplar: 

• Fidye Yazılımları (Ransomware): Şirketin verilerinin şifrelenerek erişme engellenmesi sonucu istenmesi, Fidye ödense bile verilerin geri alınacağı garanti değildir. 
• Dolandırıcılık (Phishing ve CEO Dolandırıcılığı): Sahte e-postalar veya talimatlarla şirket hesaplarından para transferi yapılması. 
• İş Kesintileri: Siber saldırılar nedeniyle sistemlerin kapanması, üretim veya hizmetlerin durması sonucu oluşacak gelir kayıplarının karşılanması, 

2. Veri İhlalleri ve Bilgi Hırsızlığı: 

• Müşteri Verilerinin Çalınması: Müşterilerin kişisel bilgileri, kredi kartı bilgileri veya finansal verilerinin çalınması sonucu oluşacak itibar ve mali kayıpların karşılanması 
• Ticari Sırların Ele Geçirilmesi: Şirketin rekabet avantajı sağlayan ticari sırları, patentleri veya stratejik planları çalınması sonucu mali kayıpların karşılanması, 
• Çalışan Bilgilerinin İfşası: Çalışanların kişisel bilgileri, maaş bilgileri veya sosyal güvenlik bilgileri ele geçirilmesi sonucu ortaya çıkabilecek mali kayıpların karşılanması, 

3. İtibar Kaybı: 

• Müşteri Güveninin Sarsılması: Veri ihlalleri veya siber saldırılar, müşterilerin şirkete olan güvenini zedelenmesi, müşteri kaybı ve marka değerinin düşmesine bağlı mali kayıpların karşılanması, 
• Medyada Olumsuz Yansımalar: Siber saldırıların medyada yer alması ve şirketin itibarı ciddi şekilde zarar görmesi, 

4. Hukuki ve Yasal Riskler: 

• Yasal Yaptırımlar: Şirket verilerinin özellikle müşteri ve kişisel bilgilerin siber saldırı sonucu otoritenin para cezası uygulaması ve bunun poliçe kapsamında karşılanması, 
• Tazminat Talepleri: Müşteriler veya çalışanlar, veri ihlalleri nedeniyle tazminat davaları açması sonucu oluşan mali kayıplar, 
• Sözleşmelerin İhlali: Veri güvenliği ihlalleri sonucu müşteri veya iş ortaklarıyla yapılan sözleşmelerin iptali sonucu oluşan mali kayıplar 

5. Operasyonel Kesintiler: 

• Sistemlerin Devre Dışı Kalması: DDoS (Distributed Denial of Service), “Dağıtılmış Hizmet Engelleme" saldırıları veya fidye yazılımları nedeniyle şirketin sistemleri kullanılamaz hale gelmesi sonucu oluşacak mali kayıpların karşılanması 
• Üretim ve Hizmetlerin Durması: Özellikle üretim hatları veya çevrimiçi hizmetler siber saldırılardan etkilenme sonucu faaliyetleri durma noktasına gelmesi, 

6. Fikri Mülkiyet Kaybı: 

• Patentler ve Tasarımların Çalınması: Şirketin rekabet avantajı sağlayan fikri mülkiyet varlıkları çalınabilir veya rakiplere satılması sonucu oluşacak mali kayıplar 
• Araştırma ve Geliştirme (Ar-Ge) Verilerinin Kaybı: Yıllarca süren Ar-Ge çalışmalarının çalınması sonucu oluşan mali kayıplar. 

11. Siber sigorta poliçesinde nelere dikkat edilmelidir? 

• Kapsam: Poliçenin hangi riskleri kapsadığını detaylıca incelenmeli, 
• Limitler: Teminat limitlerinin ihtiyaçları karşılayıp karşılamadığına bakılmalı, 
• Muafiyetler: Poliçede belirtilen istisnaları (muafiyetleri) kontrol edilmeli 
• Destek hizmetleri: Hasar hizmetleri, Antivürüs koruma, Dark web sorgulama, hukuki danışmanlık veya siber güvenlik uzmanı desteği gibi ek hizmetler sunup sunmadığını öğrenilmesi, 
• Primler: Poliçe maliyetinin, sunulan teminatlara orantılı olup olmadığının değerlendirilmesi, 

12. Siber sigorta poliçelerinde hangi durumlar teminat dışında kalır? 

• Önceden bilinen riskler: Poliçe alınmadan önce yaşanan siber olaylar. 
• Kasıtlı eylemler: Çalışanların kasıtlı olarak veri sızdırması veya zarar vermesi. 
• Fiziksel hasarlar: Siber saldırıların neden olduğu fiziksel hasarlar genellikle kapsam dışıdır. 
• Yetersiz önlemler: İşletmenin gerekli siber güvenlik önlemlerini almaması durumunda oluşan kayıplar. 
• Sertifika eksikliği: ISO 27001 sertifikası olmayan şirketlerdeki ihmaller 

13. Siber sigorta sadece büyük şirketler için mi, yoksa KOBİ'ler de bu sigortaya ihtiyaç duyar mı? 

Evet, özellikle küçük işletmeler büyük şirketlere kıyasla daha savunmasızdır. Yetersiz güvenlik önlemleri nedeniyle hacker’ların hedefi olabilirler. 

Dolayısıyla, dijital varlıkları olan, online iş yapan veya müşteri verilerini işleyen her işletme siber sigortayı düşünmelidir. 

14. Siber sigorta poliçelerinin fiyatlandırması hangi faktörlere göre belirlenir? 

Siber sigorta poliçelerinin fiyatlandırması, birçok faktöre bağlıdır: 

• İşletmenin büyüklüğü: Küçük bir işletme ile büyük bir şirketin risk profili ve teminat ihtiyaçları farklıdır. 
• Sektör: Finans, sağlık veya e-ticaret gibi yüksek riskli sektörlerde primler daha yüksek olabilir. 
• Siber güvenlik önlemleri: Güçlü siber güvenlik önlemleri alan işletmeler daha düşük primler ödeyebilir. 
• Veri hacmi: İşlenen veri miktarı ve hassasiyeti, poliçe maliyetini etkiler. 
• Geçmişte yaşanan olaylar: Daha önce siber saldırıya uğramış işletmeler daha yüksek primlerle karşılaşabilir. 
• Coğrafi Bölge: Şirketin bulunduğu coğrafi bölge (örneğin, İstanbul’daki şirketlerde risk daha yüksek).   

15. Türkiye'de siber sigorta pazarı ne durumda ve gelecekte nasıl bir gelişme bekleniyor? 

Türkiye’de siber sigorta pazarı hızla büyüyor. 2025’te yeni yasal düzenlemeler ve siber tehditlerin artmasıyla hem şirketler hem de bireyler için siber sigorta önemli bir güvence olacak. 

Siber tehditler arttıkça hem şirketlerin hem de bireylerin kendilerini korumak için önlemler alması gerekiyor. Siber sigorta, bu tehditlere karşı finansal bir güvence sağlar ve dijital dünyada riskleri yönetmeyi kolaylaştırmaktadır.