Polonya’da 29 Aralık 2025 tarihinde yaklaşık 30 güneş paneli ve rüzgar enerjisi sahasını etkileyen siber saldırı, yenilenebilir enerji varlıklarına yönelik siber risklerin sigortalanması konusundaki boşlukları gözler önüne serdi. İletişim altyapısını ve kontrol sistemlerini hedef alan bu olay, saldırganların sadece finansal değil, fiziksel yıkım amaçlı hareket edebileceğini kanıtladı. Özellikle batarya depolama sistemlerinde kontrol katmanının doğrudan hücre güvenliğini yönetmesi, siber müdahalelerin termal kaçak gibi ciddi fiziksel hasarlara yol açabileceğini gösteriyor. Bu durum, geleneksel mülk sigortaları ile siber sigortalar arasındaki koruma boşluğunu kapatacak özel poliçelere olan ihtiyacı acil hale getiriyor.
Polonya’daki olayda, internete açık uç cihazların zayıf kimlik doğrulama yöntemleri ve yeniden kullanılan kimlik bilgileri üzerinden ele geçirildiği tespit edildi. Rüzgar ve güneş paneli sahalarında üretim doğrudan manipüle edilmese de, batarya enerji depolama sistemlerinde durum çok daha kritik. Batarya yönetim sistemine (BMS) sızılması, şarj hızı ve hücre sıcaklığı gibi parametrelerin değiştirilmesine, dolayısıyla bataryaların güvenli çalışma sınırlarının dışına itilerek yangın riskiyle karşı karşıya kalmasına neden olabilir. Uzmanlar, bu senaryonun artık teorik bir risk olmaktan çıkıp, sigorta sektörü için somut bir tehdit haline geldiğini belirtiyor.
Mevcut sigorta piyasasında, geleneksel mülk ve enerji poliçeleri genellikle siber saldırı kaynaklı hasarları kapsam dışı bırakıyor. Siber sigortalar ise dijital saldırılara odaklanırken, bu saldırıların tetiklediği fiziksel hasarları otomatik olarak karşılamıyor. Bu durum, batarya operatörlerini iki sigorta türü arasında korumasız bırakabiliyor. McGill and Partners gibi kuruluşlar, hem siber-fiziksel hasarları hem de fidye yazılımı gibi maddi olmayan kayıpları kapsayan özel “olumlu siber sigorta” çözümleri üzerinde çalışıyor.
Teknik açıdan bakıldığında, enerji sistemlerindeki görünürlük sorunu, cihazların donanım yazılımı bütünlüğünü doğrulayan ortak bir sinyal üretememesinden kaynaklanıyor. IEEE 1547 gibi iletişim protokollerinin yerel kimlik doğrulama özelliklerinden yoksun olması, saldırı yüzeyini genişletiyor. King Abdullah Bilim ve Teknoloji Üniversitesi’nden (KAUST) araştırmacılar, donanım yazılımı düzeyinde bütünlük doğrulamasının mümkün olduğunu ancak üreticilerin bu veriyi dışarıya açma konusunda teşvik eksikliği yaşadığını vurguluyor.
Regülasyon tarafında ise NIS2 ve Siber Dayanıklılık Yasası gibi düzenlemeler, siber güvenlik raporlama yükümlülükleri getirse de, sigortacıların ihtiyaç duyduğu standartlaştırılmış “bütünlük kanıtı” sinyalini zorunlu kılmıyor. Uzmanlar, yasal düzenlemelerin tamamlanmasını beklemeden operatörlerin siber dayanıklılıklarını artırmalarını öneriyor. Sigorta piyasasının, donanım yazılımı durumunu kanıtlayabilen tesislere prim indirimi uygulayarak, düzenlemelerden daha hızlı bir şekilde sektörel standartları belirleyebileceği öngörülüyor.