Kyberasiantuntijoita tarvitaan nyt!

Kyberuhkat koskevat sekä yrityksiä että yksityishenkilöitä. Kyberhyökkäykset ovat merkittävä uhka yritysten liiketoiminnalle. Vakuuttamisen asiantuntijana tarvitset näkemystä siitä, miten kyberhaasteisiin voi varautua. Haastattelimme asiasta kolmea Aon Finlandin kyberasiantuntijaa, Raine Forsmania, Paavo Laaksoa ja Anna-Maria Varista.

kuva_kyberasiantuntijat

Liiketoiminnan muutokset kasvattavat kyberriskiä

Asiantuntijoidemme näkemyksen mukaan kyberriskejä kasvattaa kolme keskeistä liiketoiminnan muutosta. Ensiksi, digitalisaatio muuttaa jatkuvasti yritysten liiketoimintaa. Tämä tarkoittaa, että riskitkään eivät pysy samana vuodesta toiseen. ”Kun aikaisemmin keskityttiin vakuuttamaan koneet ja laitteet, tänä päivänä suurin arvo on biteissä ja informaatiossa”, Paavo huomauttaa. Liiketoiminta pyörii järjestelmien varassa, ja tärkein tuotannontekijä on informaatio. Se on yhä monelle yritykselle suurin vakuuttamaton riski, joka kuitenkin olisi vakuutettavissa.

Toiseksi, nykyisin yrityksen kaikki toiminnot ovat verkottuneet toisiinsa. Kun tieto menee verkon kautta, ollaan yhä alttiimpia oman yrityksen ja lisäksi myös verkoston vahingoille. Anna-Maria tuo esille, että yritykset keskittyvät yhä useammin ydinosaamiseensa. Kasvava erikoistuminen ja ulkoistaminen johtavat tilanteeseen, jossa yrityksen aiempi kokonaistoiminta hajautuu monen yrityksen kesken. Palveluita ostetaan ulkopuolisilta, oman alansa erikoisasiantuntijoilta Tämä kehitys kasvattaa tiedonsiirtoa organisaatioiden välillä, mikä lisää järjestelmän haavoittuvuutta ja tietomurron riskiä.

Kolmantena muutoksena Paavo mainitsee, että yritysten IT-osaaminen on kaventunut. Yritykset ovat ulkoistaneet IT-palveluitaan merkittävästi. Tämä voi olla kustannustehokasta, mutta IT-osaamisen heikkeneminen organisaation sisällä jättää kyberturvallisuuden ohuelle pohjalle. Kun osaaminen kapenee, ei osata vaatia palveluntarjoajilta kuin välttämättömimmät asiat ja keskitytään helposti vain kustannustehokkuuteen. Laite- ja ohjelmistohankinnoissa sekä palveluprosesseissa ei siis huomioida kybervastuita riittävästi.

Huhtikuussa 2011 pelifirma Sony Playstation paljasti, että siihen on kohdistunut massiivinen tietomurto. Peliyhtiön videopelien online-verkostosta oli varastettu nimiä, osoitteita ja mahdollisesti myös luottokorttitietoja 77 miljoonan käyttäjän tileiltä. Tapaus oli yksi suurimpia tietomurtoja tähän mennessä.
Uutisaamumme tuovat päivittäin eteemme tällaisia otsikoita. Suurimmat kyberhyökkäykset ovat kohdistuneet ulkomaisiin yhtiöihin. Merkittäviä vahinkotapauksia on nähty myös suomalaisissa yrityksissä. Näiden seurauksena kyberriskeihin – tietoon ja tietojärjestelmiin kohdistuviin vahingonmahdollisuuksiin – on alettu toden teolla havahtua.

EU:n tietosuoja-asetus muuttaa riskikenttää olennaisesti
Asiantuntijamme uskovat, että yritysten näkökulmasta kyberriskien merkitys korostuu tulevan EU:n tietosuoja-asetuksen myötä. Moni voi yllättyä siitä, että vuonna 2018 voimaan tulevan asetuksen velvoitteet koskevat käytännössä kaikkia yrityksiä. Suurimmalla osalla yrityksistä on käytössään henkilötietoja. Nämä henkilötiedot pitävät sisällään muiden muassa työntekijöihin ja asiakkaisiin liittyviä tietoja. Uusien velvoitteiden myötä yritysten riski joutua korvausvelvolliseksi vahinkotilanteessa kasvaa.

Mitä tämä kaikki sitten käytännössä tarkoittaa? Jos henkilötietoihin kohdistuva tietoturvaloukkaus kohdistuu sinun yritykseesi, olet velvollinen ilmoittamaan siitä viranomaiselle ja tarvittaessa myös loukkauksen kohteena oleville henkilöille. Tämä henkilökohtainen ilmoittaminen voi aiheuttaa merkittäviä kustannuksia. Jos asetusta ei noudata, tietosuojaviranomaiset voivat langettaa yritykselle hallinnollisen sakon. Sakon suuruus voi olla enimmillään 20 miljoonaa euroa tai 4 % liikevaihdosta. Tämä riski on käytännöllisesti katsoen täysin ilman vakuutusturvaa, jos yrityksellä on vain perinteiset vakuutusratkaisut.

Mikä kybervakuutus on ja mitä se kattaa?
Sitten päästään itse aiheeseen. Paras keino varautua kyberriskeihin ja niiden seurauksiin on hankkia kybervakuutus. Raine kertoo meille, että kybervakuutus on käytännössä räätälöitävissä oleva palvelupaketti. Siinä voi olla elementtejä monesta eri vakuutuslajista, kuten vastuuvakuutuksesta, keskeytysvakuutuksesta sekä rikosvakuutuksesta. Paketti muotoillaan yrityksen tarpeiden mukaan ja se voi kattaa esimerkiksi seuraavia asioita:

– Kybervahingosta aiheutuvia liiketoiminnan keskeytymisen kuluja
– Viestintäpalveluja kyberhyökkäyksestä tiedottamiseen ja brändihaitan minimoimiseen
– Järjestelmien puhdistamisesta ja tietojen palauttamisesta koituvia kuluja
– Asianajopalvelua

Kenenkään ei kannata jättää kybervakuutusta ottamatta
Nykyään yrityksissä aletaan jo ymmärtää, että kyse ei ole siitä voiko jokin tietoturvauhka realisoitua, vaan milloin se realisoituu, Raine mainitsee. EU:n tietosuoja-asetuksen myötä yritykset, joilla on paljon henkilötietoja, ovat erityisesti kybervakuutuksen tarpeessa. Näitä toimialoja ovat muiden muassa finanssiala, terveydenhuoltoala, vakuutusala ja teleoperaattorit.
Otetaan käytännön esimerkki. Kuvitellaan, että yrityksen asiakastietoja hakkeroidaan ja sieltä viedään 100 000 henkilön tietoja. Eri tutkimuksissa on laskettu, että tietovuototapauksissa keskimääräinen yritykselle koituva vahinko on noin 50-200 euroa/menetetty henkilötieto. Yksinkertaisuuden vuoksi oletetaan, että yhden paljastuneen henkilötiedon hinta on 100 euroa. Näin ollen jo itse henkilötiedoista koostuvan laskun suuruus yritykselle tulisi olemaan 10 000 000 euroa. Mistään pikkusummista ei siis puhuta. Kyberturvallisuus on koko yrityksen asia, ihan ylintä johtoa myöten.

Miten tulet kyberasiantuntijaksi? Vinkkejä kandi- ja graduaiheisiin
Lopuksi Raine, Paavo ja Anna-Maria antavat vinkkejä kiinnostaviin kandi- ja graduaiheisiin:
1. Kyberriskit pk-yrityksissä
2. Kyberturvallisuus vs. tietoturvallisuus. Miten nämä eroavat toisistaan?
3. Internet of Things (kuuma aihe, joka tarjoaa monta kiinnostavaa näkökulmaa)
4. Aineettoman varallisuuden riskit
5. Miten perinteisiä vakuutuksia voi laajentaa kattamaan osia kyberriskistä. Kumpi voittaa: kyber vai perinteinen vakuutus?

Aon on vakuutusyhtiöistä riippumaton neuvonantaja vakuuttamisessa ja riskienhallinnassa. Perehdymme asiakkaan liiketoimintaan, sparraamme riskienhallinnassa sekä huomioimme toiminnan erityispiirteet vakuutuksia hankittaessa. Kartoitamme yrityksen riskit euromääräisinä sekä tarjoamme ratkaisut niiden hallintaan. Toimimme 120 maassa 72 000 työntekijän voimin.

Lue lisää: aon.fi

Jatketaan keskustelua somessa @AonFinland