Siber saldırı sonucunda talep edilen fidye parasının (ransom) siber risk sigortası kapsamında sigortalanabilirliği ve ödenen fidye bedelinin sigorta ettirenin zararı önleme ve azaltma yükümlülüğü kapsamında tazmini

Abstract

Her alanda giderek bilişim teknolojileri sistemine bağımlı hâle gelinmesi, siber risklerin neden olabileceği zararların boyutunu ve miktarını da arttırmaktadır. Siber risk sigortalarıyla, bu tür rizikolardan doğabilecek zararlara karşı güvence sağlanmaktadır. Siber saldırılar, bilgisayar korsanlarınca kural olarak maddî kazanç sağlamak için gerçekleştirilmektedir. Bu bağlamda fidyeleme saldırıları ve talep edilen fidye bedelleri giderek artmaktadır. Bu çalışmada sigorta sözleşmesi kapsamında bilgisayar korsanlarına ödenecek fidye bedellerinin teminat altına alınmasının sigorta hukukunda daha sınırlı bir uygulama alanı bulan sözleşme serbestisi ilkesi kapsamında mümkün olup olmadığı değerlendirilmiştir. Ayrıca siber risk sigortasında ödenecek fidye bedellerinin teminat altına alınmadığı durumlarda, siber saldırının sonlandırılması için yapılan fidye ödemelerinin sigorta ettirenin koruma ve kurtarma yükümlülüğü kapsamında yapılan bir gider olarak değerlendirilip değerlendirilemeyeceği hususu ve ödenen fidye bedelinin bu kapsamda yapılan makul bir gider olarak kabulü için gerekli şartlar incelenmiştir.

Increasing dependency on information technology systems in every field increases damages that may be caused by cyber risks. Cyber risk insurance provides assurance against damages that may arise from such risks. Generally cyber-attacks are carried out by hackers for financial gain. In this context, ransom attacks and demanded ransoms are in creasing. In this study, it has been evaluated whether it is possible to insure the ransom amount to be paid to hackers within the scope of in surance contract considering that the principle of freedom of contract has a more limited application in insurance law. In addition, in cases where the ransom fees to be paid are not covered in the cyber risk insurance, whether the ransom payments made for the termination of the cyber-attack can be considered as an expense made within the scope of the protection and recovery obligation of the insured, and the necessary conditions for accepting the paid ransom as a reasonable expense within this scope have been examined.