Yritykset ovat koko ajan alttiina kyberriskeille. Riskejä voi tarkastella kahdesta eri näkökulmasta: tietotekniikan haavoittuvuuksien ja inhimillisen toiminnan kautta.
Yrityksen ulkopuoliset uhat yrityksen tietoturvallisuudelle ovat edelleen kasvussa. Suurimmissa uutisoiduissa tietoverkkovarkauksissa on satoja miljoonia käyttäjätunnuksia ja salasanoja päätynyt vääriin käsiin. Rikollinen taho voi haluta lamaannuttaa yrityksen tietoverkkoliiketoiminnan. Verkkorikollisuus on houkuttelevaa erityisesti siksi, että siitä jää kovin harvoin kiinni.
Myös alihankkijoiden käyttö yrityksissä lisääntyy koko ajan. Tietoja säilytetään yrityksen ulkopuolisissa pilvipalveluissa ja alihankkijoiden saavutettavissa. Aina alihankkijat eivät kuitenkaan huolehdi tietoturvallisuudesta samalla huolellisuudella kuin yritys itse sen tekisi.
Ihminen on tietoturvan heikoin linkki
Toinen ulottuvuus kyberriskeissä on inhimillinen puoli. Tietokoneita ja laitteita käyttävät ihmiset, ja ihmisen toimintaan liittyy aina virheiden ja unohdusten mahdollisuus. Tietokone voi unohtua työmatkalla kulkuvälineeseen, salasana saattaa olla liian helppo, valelaskuja tulee yritysten kirjanpitoon säännöllisesti ja taitavat varkaat tekeytyvät toimitusjohtajaksikin.
Yritysjohdon tehtävänä on luoda yritykseen hyvä tietoturvakulttuuri. Se edellyttää johdon sitoutumista, henkilöstön kouluttamista, suunnitelmallista tietoturvatyötä ja koko henkilöstön osallistumista.
Aika GDPR:n jälkeen
EU:n tietosuoja-asetus eli tuttavallisesti GDPR tuli pitkän valmistelun jälkeen voimaan keväällä 2018. Se paransi ja yhtenäisti sääntelyä henkilötietojen käsittelyssä. Se toi myös rangaistukset tietoturvasta piittaamattomille yrityksille. Tätä kirjoittaessa sakkoja on EU-alueella langetettu jo noin sadalle yritykselle, ja määrä kasvaa koko ajan. Eikä sakkorangaistuksen suuri määrä ole jäänyt vain pelotteeksi, vaan sitä on myös käytetty. Suurimmat käsittelyssä olevat sakot ovat jo satojen miljoonien eurojen suuruisia.
Rangaistussakkojen vakuuttaminen Suomessa ei ole Finanssivalvonnan kannanoton mukaan enää hyvän vakuutustavan mukaista. Niille saattaa saada silti suojaa konsernitasoisissa vakuutuksissa ulkomaisille tytäryhtiöille. Joka tapauksessa kybervakuutus suojaa monelta muulta kululta, joita henkilötietojen vuototilanteessa väistämättä aiheutuu.
Kybervakuutus on osa kyberriskien hallintaa
Vaikka kaikki lähteekin hyvästä kyberriskien hallinnasta ja yrityksessä, on vakuutus silti edelleen hyvä työkalu riskin siirtoon. Kybervakuutuksella yritys voi saada turvaa esimerkiksi:
- tietojärjestelmän ja alkuperäisten tietojen palauttamiseen
- liiketoiminnan keskeytymisestä aiheutuneiden taloudellisten vahinkojen kattamiseen
- kolmannelle osapuolelle aiheutuneiden taloudellisten vahinkojen korvaamiseksi, josta yritys on vahingonkorvausvastuussa (esim. arkaluontoisten tietojen vuotaminen)
- kuluihin henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteriin merkityille henkilöille
- asiantuntija-avun käyttämiseen mm. tilanteesta palautumiseen ja viestintään.
Kyberriskeiltä suojautumiseksi yritysten kannattaa nykyisin selvittää myös vakuutusratkaisut ja niiden kannattavuus. Vakuutusratkaisujen mukana tulevat valmiiksi neuvotellut asiantuntijapalvelut voivat olla itsessään vakuutuksen arvokkain osa, kun vahingosta toipuminen saadaan heti käyntiin. Vakuuttamalla kyberriskit voi viime kädessä varmistaa yritystoiminnan jatkuvuuden.
Mikko Koskensyrjä
Vakuutusmeklari
Oy Risk Consult Ab
