Sigorta Sektörü için Siber Güvenliğin Önceliği

Siber güvenlik, sigorta dahil birçok sektörde dijital dönüşümün bel kemiğidir. Ancak sigorta sektörü, diğer dijital teknolojileri hızla benimsemesine rağmen siber güvenliğin geliştirilmesine ancak son zamanlarda önem vermeye başlamıştır.

Tıpkı diğer sektörler gibi, sigorta sektörü de pandemi sonrasında dijital işlemlere giderek daha fazla ağırlık veriyor. Bunun bir sonucu olarak, veri sızıntılarının ve siber saldırıların sigorta sektörüne yönelik oluşturduğu tehdit büyüyor.

Bu yazıdaki amacımız, sigorta şirketleri için siber riskleri anlatıp siber güvenliğe öncelik vermenin önemi hakkında sizleri bilgilendirmek. Sigorta şirketleri, siber güvenlik gelişmelerini takip etme konusunda uyanık ve dinamik olmalı. Böylece siber tehditler kolayca fark edilebilir ve olası maddi ve manevi zararları önlemek için hızlı bir şekilde ortadan kaldırılabilir.

Sigortacılıkta Siber Güvenlik Neden Önemlidir?

Sigorta şirketleri, önemli miktarda gizli veriye sahip oldukları için siber saldırıların yaygın bir hedefidir. Hassas finansal veriler toplayan başka sektörler de var ancak sigorta şirketleri bunun ötesinde önemli miktarda korumalı kişisel bilgiyi bünyesinde barındırıyor. Bu durum sigorta sektörünü siber saldırılara oldukça açık hale getiriyor.

Düşünün, neredeyse herkesin bir çeşit sigortası var. Sigortacılık sektörü devasa ve veriler hassas. Bu yüzden sigorta şirketinizin potansiyel güvenlik zafiyetleri size finansal yükümlülükler getirebilir. Bu istenmeyen yükümlülükler arasında siber suçlular tarafından istenen fidyeler, müşteriler tarafından açılan davalar ve regülatörlerden gelen para cezaları yer alır. Tüm bu korkutucu senaryolar, sigorta şirketleri için siber güvenliğin merkezi önemini gösteriyor.

Potansiyel siber güvenlik tehditlerinin farkındaysanız, sıkça yapacağınız risk değerlendirmesi ve sağlam bir güvenlik planı gibi temel önleyici tedbirleri almaya başlamak için doğru noktadasınız. Uzun vadede zamandan ve paradan tasarruf edecek ve daha da önemlisi şirketinizin itibarını koruyacaksınız.

Sigortacılıkta Siber Riskler Nelerdir?

Sigorta müfettişleri, siber güvenlik açıklarının sigorta şirketleri için dijitalleşme riskleri, siber risk değerlendirmesi ve rekabet gücüne zarar verme gibi diğer risk türlerini de tetiklediğini iddia ediyor. Bu nedenle, siber suçluların yöntemlerini anlamak, güvenliğinizi korumanız ve şirketinizin birçok unsuru için önlem almanız için mühim. Aşağıda bilmeniz gereken bazı spesifik risk türlerinden bahsettik.

Fidye yazılımı, siber suçluların sizin belirli bir miktar ödeyene kadar kendi verilerinize erişmenizi engellemesini sağlayan bir tür kötü amaçlı yazılımdır. Siber suçlularla mücadele etmek yerine fidyeyi doğrudan ödemek en iyi seçenek değil, ancak birçok sigorta şirketi sorunu hemen çözmek için bunu yapıyor. Bu yüzden fidye yazılımı geliştirmek siber suçlular arasında popüler bir yöntem.

Daha fazla sigorta şirketi bulut tabanlı yazılımlar kullanmaya geçtikçe, bu yazılımlara dair riskler de yaygınlaşıyor. Bulut yazılımlar üzerinde çalışmak sizi veri ihlali ve hijacking denen saldırılar için uygun hale getirir. Verileri bulut istismarlarından korumak, güçlü bir siber güvenlik yapısı gerektirir.

Sosyal mühendislik, manipülasyon içeren bir başka risktir. Sosyal mühendisliği siber güvenlik araçları aracılığıyla engellemek genellikle zordur, çünkü hackerların sisteme erişimini kandırılan kişiler bizzat sağlar. Siber güvenlik eğitimi, bu tür saldırıları önlemek için etkili bir araçtır.

Bazen de siber suçlular, sizin sigorta şirketiniz yerine üçüncü taraf satıcılarınızı hedef alır. Üçüncü taraf sağlayıcınızın sistemi aracılığıyla verilerinize girebilirler. Bu tür saldırıları önlemek için birbirinizin siber güvenlik önlemlerinden haberdar olmalısınız.

Birinci Taraf ve Üçüncü Taraf Riskleri

Sigorta şirketlerinin üstlendiği sorumluluk, iki ana siber risk türüne göre değişiklik göstermektedir: birinci şahıs riskleri ve üçüncü şahıs riskleri. Bunları bilmek, kendiniz ve müşterileriniz için hangi önlemleri almanız gerektiğini anlamanıza yardımcı olacaktır.

Birinci taraf siber risklerle kastedilen, bir işletmeyi ve enformasyon altyapısını doğrudan etkilemeleridir. Bir fidye yazılımı saldırısı nedeniyle bir işletmenin faaliyetleri sekteye uğradığında, bu doğrudan birinci taraf hasarıdır. Bu durumda, ortak olduğunuz reasürans şirketi, fidye ödemek, müşterilere bildirmek ve durdurulan iş süresini telafi etmek gibi müdahalelerle durumu düzeltmenize yardımcı olabilir.

Üçüncü taraf riskleri ise diğer kuruluşların sizin sorumlu olduğunuz iddia edilen siber riskleri ile ilgilidir. Bir müşteriniz, siber güvenlik açığı nedeniyle verilerini koruyamadığınız için zarar gördüğünü iddia ettiğinde, üçüncü taraf riskleri arasında kabul edilir. Özellikle dava açmaları durumunda bu iddialarla uğraşmanız gerekebilir.

Sigorta şirketleri hem birinci hem de üçüncü taraf siber risklerini önleme için politikalar geliştirmelidir. Genellikle üçüncü taraf zararlarını taraf şahıs zararlarından ayırt etmek zordur. Örneğin hem siz hem de müşteriniz saldırıya uğradıysa, veri ihlalinin ilk başta nasıl meydana geldiğini belirlemek kolay değildir.

Sonuç Olarak

Sigorta özel bir endüstri çünkü sigorta şirketleri dünya nüfusunun çoğu hakkında veri sahibi. Dolayısıyla yukarıda bahsettiğimiz siber riskler sigortacılar ve sigortalılar için önemli sonuçlar doğurmakta.

Sigorta sektörünün bir parçasıysanız, bu zararlı risklere karşı gözünüzü dört açmalısınız. Siber güvenliğe öncelik vermenin anahtarı, siber güvenliği altyapı teknolojinize dahil etmek ve işleyişini yetenekli personele emanet etmektir.

Veri Doğruluğu Neden Önemlidir?

Veri, her şirketin temelini oluşturuyor. Öyle ya da böyle, şirketinizin verileri işlemesi gerekiyor. Bu anlamda veri doğruluğu, verilerin kullanışlı olabilmesi için büyük önem taşıyor.

Şirketinizin tüm faaliyetini etkileyen veri doğruluğu, karar verme sürecinizle doğrudan bağlantılı olduğu için ileriye dönük stratejilerinizi belirliyor.

Bu nedenle verilerin doğruluğunun sağlanması işinizin başarılı olabilmesi için kritik önem taşıyor.

Veri Doğruluğu Nedir?

Veri kalitesinin temel standartları arasında yer alan veri doğruluğu, verinin gerçeklikle tutarlılığını ifade eder. Veri ne kadar gerçeğe uygunsa o kadar doğrudur. Doğru verinin, iş alanınız için gerekli olan enformasyonu gerçeğe uyumlu şekilde yansıtması gerekir.

Bu aynı zamanda verilerin hatasız olduğu; veri kaynağının güvenilir ve tutarlı olduğu anlamına gelir. %100 kesinlikte bir gerçekliğe ulaşmak mümkün olmasa da optimuma ulaşmayı hedeflemelisiniz.

Doğru veri; tahmin, planlama, program bütçeleme, strateji geliştirme ve buna benzer her faaliyet için önem taşıyor.

Veri doğruluğu aynı zamanda bütünlüğü, geçerliliği ve tutarlılığı da içeriyor. Veriler yanlış, eksik ve güvenilmez ise hedefleriniz, planlamalarınız ve geleceğe yönelik içgörüleriniz sizi başarıya ulaşmaktan alıkoyabilir. Yanlış veriler kritik dönemeçlerde yanlış kararlar vermenize neden olabilir.

Örneğin, bir araştırmaya göre, veri yöneticilerinin %70’i yanlış tahminlerin kendilerinin ve şirketin itibarı için bir tehlike olduğunu düşünüyor. Ve yanlış tahminler genellikle yanlış verilere dayanıyor.

Bu nedenle, veri doğruluğu işinizin bel kemiğidir; buna dikkatle odaklanmalısınız.

Doğruluk İlkesi

Doğruluk ilkesi, Genel Veri Koruma Yönetmeliği’nde (GDPR) veri işlemenin dördüncü ilkesidir.

GDPR ilkesi, verileri toplayan ve işleyen şirketlerin, verilerinin doğru olduğundan emin olmaları gerektiğini vurgular. Ayrıca şirketler, verilerin edinildiği enformasyonu doğru tutmak için belli politikaları benimsemeli ve bunları uygulamalıdır.

Doğruluk ilkesinin bir parçası olarak, kişiler düzeltme ve silme haklarını kullanmayı talep edebilirler. Bu nedenle şirketlerin, kişilerin bu haklarını kullanabilmeleri için gerekli koşulları sağlaması gerekiyor. Bu ilke verileri güncel ve güvenilir tutarken aynı zamanda veri güvenliğini de sağlıyor.

AB Veri Koruma Yasası Kapsamında “Doğruluk” Ne Anlama Geliyor?

AB Veri Koruma yasası, verilerin doğru sayılması ve güncel tutulması için koşulları belirliyor. Burada “doğruluk”, yanlış, yanıltıcı bilgi içermemek anlamına geliyor.

Genel anlamda AB Veri Koruma kanunu, doğruluğu sağlamak için şirketlere şu noktaları şart koşuyor:

●       Şirketler, kişilerden topladıkları verilerin doğruluğunu sağlamak için sorumluluk almalıdır.

●       Şirketler bireylerin düzeltme ve silme hakkını tanımaları gerekir.

●       Ayrıca, bir yanlışlık fark edildiğinde mümkün olan en kısa sürede hatalı veriler silinerek veya düzelterek veriler doğru tutmalıdır.

●       Verilerin doğru tutulduğundan emin olmak için bilgiler periyodik olarak güncellenmelidir.

Burada bir not düşülebilir: Yasa, kişisel veri ile geçmiş veri arasında önemli bir ayrım yapıyor. Kişisel bilgilerin değişmesi, verilerin doğruluğunu etkiler. Bu nedenle, doğruluğu korumak için verileri güncellemelisiniz. Fakat geçmiş veriler eski ve güncel verileri birlikte kapsayabilir, ikisini de içerebilir. Dolayısıyla bazı bilgiler, kişisel veriler için yanlış olabilir, ancak yine de geçmiş veri çerçevesinde doğru kabul edilir.

Kişisel Veriler Her Zaman Güncel Olmak Zorunda Mı?

Bu sorunun cevabı genel anlamda evettir. Şirketler, sahip oldukları kişisel verilerin güncel ve doğru olduğundan emin olmalıdır. Yine de bu konuda, verinin işlevi ve hangi amaçla kullanıldığı belirleyicidir.

Bilgileri doğruluk gerektiren faaliyetler için kullanırsanız, kişisel veriler güncel olmalıdır. Aksi takdirde, veriler yanlış ve dolayısıyla yanıltıcı olacaktır.

Örneğin, şirketiniz bir kişiye fiziksel olarak ulaşmayı hedefliyorsa, adres bilgileri de dahil olmak üzere kişisel verileri geçerli olmalıdır. Bu nedenle, adres bilgilerindeki herhangi bir değişiklik, periyodik olarak sorgulanmalı ve güncellenmelidir. Bu uygulama, verileri doğru tutarak aynı zamanda veri güvenliğini de sağlar.

Böylesi durumlarda verilerin güncelliği sizin için bir zorunluluktur.

Öte yandan, verilerinizi sürekli güncellemenizin gerekmediği durumlar da vardır. Örneğin, veri kaynaklarınızın güncel bilgilerine ihtiyacınız yoksa verilerinizin güncelliğini sürekli kontrol etmeniz gerekmez.

Mesela kişisel verileri yalnızca istatistik vb. araştırma amaçlı tutuyorsanız, kişisel verileri yalnızca geniş bir çerçevede edinmek sizin için yeterlidir ve verileri düzenli olarak güncellemek zorunda değilsinizdir.

Sonuç:

Veri doğruluğu, şirketinizin karar verme süreçleri ve tahmin stratejileri için hayati önem taşır.

Verilerin doğruluğunu korurken, gerektiğinde bilgileri güncellemeli ve bireylerin bilgilerini düzeltme ve silme haklarını kullanmalarını sağlayacak koşulları sunmalısınız. Böylece GDPR’nin tanımladığı biçimiyle doğruluk ilkesi, sizi yanıltmayan ve şirketinize zarar vermeyen, işlevsel, güvenli ve değerli verilerinizin temelini oluşturur.