Siber Güvenlik Türkiye Dergisi

Amerika Birleşik Devletleri’nin en büyük finansal kurumlarını bile dize getiren sistemik risk, siber riskle bir araya gelirse bizi nasıl bir dünya bekler?

Siber riskin olası etkileri ve ortaya çıkardığı zararlar hakkında değerlendirmeler yoğun şekilde sürdürülürken dikkat edilmesi gereken diğer bir özellik de derinden ve önemini arttırarak ilerlemeye devam ediyor. Siber riskin yıkıcılığını katlayan ve dolayısıyla olası tazmin süreçlerini içinden çıkılmaz hale getiren diğer bir tehlike: Sistemik risk!

Sistemik risk genellikle sermaye piyasalarının yakından takip ettiği ve siber risk ile ilgisinin şimdiye kadar pek kurulmadığı bir kavram. Herhangi bir ekosistemde, finansal piyasalar veya diğerleri, sistemin bir kısmında meydana gelen bir zafiyetten ötürü sistemin bütünü üzerinde ortaya çıkabilecek her türlü kayıp sistemik risk olarak adlandırılmakta. Ekosistemin herhangi bir parçasında mevcut olan yetersizliğin bir sistemik risk kaynağı olup olmadığı, bu yetersizliğin ekosistemin tamamına ve sonrasında ilişkili sistemlere sirayet edip etmediğinin ortaya çıkarılması ile anlaşılmakta. Siber risk ile kesiştiği nokta ise iki risk türündeki belirsizliğin birbirini beslemesi ve işletilebilecek tazmin süreçlerini tamamen tıkaması veya etkinliğini kayda değer şekilde azaltması.

Siber risk ve sistemik risk ilişkisini incelerken karşımıza çıkan ve ne yazık ki genel olarak yaygınlık gösteren ön kabullerden biri ‘too-hard-to measure’ (ölçülemeyecek seviyede) kavramı. Hem siber risk hem de sistemik risk için kullanılan bu tanım riskin sınırlarının, etkisinin veya ortaya çıkarabileceği zararın yönetilmesi adımlarında netliği azaltmakta ve aslında yönetilebilir olan risk maliyetini teminat kapsamından çıkarmakta. Peki bu kadar geniş kapsamlı ve Amerika Birleşik Devletleri’nin en büyük finansal kurumlarını bile dize getiren sistemik risk, siber riskle tahminlerimizin daha üstünde sıklıkla bir araya gelirse nasıl bir dünya bizi bekler?

TAM BİR “SİYAH KUĞU” VAKASI

Aslında bu soruyu da ‘too-hard-to-answer’ olarak sınıflandırabiliriz. İki sınırları belli olmayan kavramın bir araya gelmesiyle riskin hangi seviyeye ulaşabileceğinin kantitatif analiz yöntemleriyle anlaşılması ne yazık ki çok zorlaşmakta, yani tam bir ‘siyah kuğu’ vakası. Herhangi bir şekilde siber riskin yarattığı zarar ile karşılaşmak istemeyen kişi ve/veya kurumlar ise ancak tahmin yoluna gidebilmekteler ki risk yönetiminde atılabilecek en kötü ve en ilkel adımlardan bir tanesi. Sonrasında siber risk dijital alanda zararlarını sınırsızlaştırırken sistemik risk bu resme sirayet etkisini de ekliyor ve hem risk sahibi tarafında hem riskin transfer edilebileceği kurum tarafında yeni bir mitigasyon sürecinin başlatılmasını veya mevcut sürecin yürütülmesini imkânsız hale getiriyor. Böylece sadece riske açık hale gelinmekle kalınmıyor, riskin yıkıcı ve sınırları kesinlikle bilinmeyen etkilerine karşı kendinizi koruyabileceğiniz hiçbir savunma aracına da sahip olamıyorsunuz.

NASIL ÖNLEM ALINIR?

Yukarıda tanımladığımız karamsar tabloya rağmen kişi ve kurumların siber risk ve sistemik riskin yıkıcı etkilerine karşı alabilecekleri bazı önlemlerin varlığından da söz etmeliyiz. Bunlardan ilki sahip olunan siber riske karşı bazı metrik ölçümlerin gerçekleştirilmesi ve bu ölçümlerin belirli kontrol adımları ile eşleştirilmesi. Riskin etki ve frekans sınırlarının pek bilinmediği siber risk ve sistemik risk gibi gri alanlarda gerçek etki değeri ortaya çıkmasa da Solvency II’deki standart modele benzer tahminlerle çok yaklaşık olmayan değerler elde edilebilir ve bu değerlere yaklaşıldığı düşünüldüğünde iş planları veya mevcut operasyonlarda değişikliğe gidilmesi sağlanabilir. Faaliyet gösterilen endüstriye göre farklılık gösterecek olan bu metrik ölçütlerin siber risk ve sistemik risk yönetimi içerisinde nasıl konumlandırılması gerektiği ve olası bir alarm durumunda aksiyon alma yetkisinin öncelikle kimde olacağı da özellikle kurumun üst yönetimi tarafından alınması gereken önemli kararlar olarak öne çıkmakta. Bu yöntem tam bir koruma sağlamamakla birlikte zaten kısıtlı olan finansal sermayenin etkin kullanımı önüne ket vurmakta ve şirket bir süre sonra siber risk kayıplarından kapanmasa bile sermaye yetersizliğinden kapanacak hale gelebilmekte. Yani tam bir kırk satır mı kırk katır mı sorusu!

KURUMLARDAN BİREYLERE ULAŞIYOR

Son olarak sistemik riskten bahsettiğimizde altını çizmemiz gereken diğer bir husus ise kurum özelliği göstermeyen bireylerin sistemik risk yönetiminde nerede yer almaları gerektiği. Risk yönetimi perspektifinde sistemik risk genellikle finansal kurumların yakındığı bir konu gibi görünse de siber risk ile birleştiğinde bireysel veri sahiplerinin de canını ciddi şekilde yakabilmekte. Siber saldırıların içeriğini incelediğimizde büyük hacimli verilere ulaşıldığını görüyoruz ancak bu verilerin detayına indiğimizde karşımıza bireyler geliyor. Örneğin on milyon kullanıcının verilerinin kanuni olmayan yollardan ele geçirildiği bir örnekte verilerin çalınmasını engelleyecek gerekli seviyede koruma sistemlerini oluşturamamış kurum öncelikle zarar görse bile çalınan veriler içerisinde yer alan kişiler, tsunamide olduğu gibi zararın ikinci ancak daha yıkıcı dalgasına yakalanıyorlar. Kurumlar gibi kendilerini savunma veya temsil etme becerileri olmadığından da çoğu zaman karşılayamayacakları zararlarla baş başa kalabiliyorlar. Siber riskin bireysel tarafta mevcut koşullarla yürütülmesi tıpkı bir kişinin elindeki plastik bidonla kocaman bir ağacı saran yangını söndürmeye çalışması gibi: Boşuna ve beyhude bir çaba!

Siber risk kendini ‘şimdilik’ açık seçik göstermese de şirketlerin uykularını kaçıran, ucu bucağı olmayan bir bataklık. Üstelik bu bataklıkta yolunuzu kaybetmemenizi sağlayacak olanaklarınız da çok sınırlı. Bu tabloya sistemik riski de eklediğimizde bataklık birden çıkışı olmayan bir ölüm vadisine dönüşmekte. Üstelik bu ölüm vadisine düşmemek için şimdilik yapılabilecek tek şey de dua etmek veya zaten sınırlı olan finansal kaynaklarınızı gerçekleştirebileceği zarar potansiyeli belli olmayan bir düşmana karşı kullanmak. Tıpkı yel değirmenlerine karşı savaşan Don Kişot gibi.