Finland
Ota yrityksesi kyberriskit hallintaan

Ota yrityksesi kyberriskit hallintaan

Aon Finlandin kyberasiantuntijat

Aonin kyberasiantuntijat Raine Forsman, Paavo Laakso ja Anna-Maria Varis.


Kyberuhkat koskevat sekä yrityksiä että yksityishenkilöitä. Kyberhyökkäykset ovat merkittävä uhka yritysten liiketoiminnalle. Oman liiketoimintasi asiantuntijana tarvitset näkemystä siitä, miten kyberhaasteisiin voi varautua. Haastattelimme asiasta kolmea Aon Finlandin kyberasiantuntijaa, Raine Forsmania, Paavo Laaksoa ja Anna-Maria Varista.

Huhtikuussa 2011 pelifirma Sony Playstation paljasti, että siihen on kohdistunut massiivinen tietomurto. Peliyhtiön videopelien online-verkostosta oli varastettu nimiä, osoitteita ja mahdollisesti myös luottokorttitietoja 77 miljoonan käyttäjän tileiltä. Tapaus oli yksi suurimpia tietomurtoja tähän mennessä.

Uutisaamumme tuovat päivittäin eteemme tällaisia otsikoita. Suurimmat kyberhyökkäykset ovat kohdistuneet ulkomaisiin yhtiöihin. Merkittäviä vahinkotapauksia on kuitenkin nähty myös suomalaisissa yrityksissä. Näiden seurauksena kyberriskeihin – tietoon ja tietojärjestelmiin kohdistuviin vahingonmahdollisuuksiin – on alettu toden teolla havahtua.

Liiketoiminnan muutokset kasvattavat kyberriskiä

Asiantuntijoidemme näkemyksen mukaan kyberriskejä kasvattavat kolme keskeistä liiketoiminnan muutosta. Ensiksi, digitalisaatio muuttaa jatkuvasti yritysten liiketoimintaa. Tämä tarkoittaa sitä, että riskitkään eivät pysy samana vuodesta toiseen. ”Kun aikaisemmin keskityttiin vakuuttamaan koneet ja laitteet, tänä päivänä suurin arvo on biteissä ja informaatiossa”, Paavo huomauttaa. Liiketoiminta pyörii järjestelmien varassa, ja tärkein tuotannontekijä on informaatio. Se on yhä monelle yritykselle suurin vakuuttamaton riski, joka kuitenkin olisi vakuutettavissa.

Toiseksi, nykyisin yrityksen kaikki toiminnot ovat verkottuneet toisiinsa. Kun tieto menee verkon kautta, ollaan yhä alttiimpia oman yrityksen ja lisäksi myös verkoston vahingoille. Anna-Maria tuo esille, että yritykset keskittyvät yhä useammin ydinosaamiseensa. Kasvava erikoistuminen ja ulkoistaminen johtavat tilanteeseen, jossa yrityksen aiempi kokonaistoiminta hajautuu monen yrityksen kesken. Palveluita ostetaan ulkopuolisilta, oman alansa erikoisasiantuntijoilta Tämä kehitys kasvattaa tiedonsiirtoa organisaatioiden välillä, mikä lisää järjestelmän haavoittuvuutta ja tietomurron riskiä.

Kolmantena muutoksena Paavo mainitsee, että yritysten IT-osaaminen on kaventunut. Yritykset ovat ulkoistaneet IT-palveluitaan merkittävästi. Tämä voi olla kustannustehokasta, mutta IT-osaamisen heikkeneminen organisaation sisällä jättää kyberturvallisuuden ohuelle pohjalle. Kun osaaminen kapenee, ei osata vaatia palveluntarjoajilta kuin välttämättömimmät asiat ja keskitytään helposti vain kustannustehokkuuteen. Laite- ja ohjelmistohankinnoissa sekä palveluprosesseissa ei siis huomioida kybervastuita riittävästi.

EU:n tietosuoja-asetus muuttaa riskikenttää olennaisesti

Asiantuntijamme uskovat, että yritysten näkökulmasta kyberriskien merkitys korostuu tulevan EU:n tietosuoja-asetuksen myötä. Moni voi yllättyä siitä, että vuonna 2018 voimaan tulevan asetuksen velvoitteet koskevat käytännössä kaikkia yrityksiä. Suurimmalla osalla yrityksistä on käytössään henkilötietoja. Nämä henkilötiedot pitävät sisällään muiden muassa työntekijöihin ja asiakkaisiin liittyviä tietoja. Uusien velvoitteiden myötä yritysten riski joutua korvausvelvolliseksi vahinkotilanteessa kasvaa.

Mitä tämä kaikki sitten käytännössä tarkoittaa? Jos henkilötietoihin kohdistuva tietoturvaloukkaus kohdistuu sinun yritykseesi, olet velvollinen ilmoittamaan siitä viranomaiselle ja tarvittaessa myös loukkauksen kohteena oleville henkilöille. Tämä henkilökohtainen ilmoittaminen voi aiheuttaa merkittäviä kustannuksia. Jos asetusta ei noudata, tietosuojaviranomaiset voivat langettaa yritykselle hallinnollisen sakon. Sakon suuruus voi olla enimmillään 20 miljoonaa euroa tai 4 % liikevaihdosta. Tämä riski on käytännöllisesti katsoen täysin ilman vakuutusturvaa, jos yrityksellä on vain perinteiset vakuutusratkaisut.

Mikä kybervakuutus on ja mitä se kattaa?

Paras keino varautua kyberriskeihin ja niiden seurauksiin on hankkia kybervakuutus. Raine kertoo meille, että kybervakuutus on käytännössä räätälöitävissä oleva palvelupaketti. Siinä voi olla elementtejä monesta eri vakuutuslajista, kuten vastuuvakuutuksesta, keskeytysvakuutuksesta sekä rikosvakuutuksesta. Paketti muotoillaan yrityksen tarpeiden mukaan ja se voi kattaa esimerkiksi seuraavia asioita:

  • Kybervahingosta aiheutuvia liiketoiminnan keskeytymisen kuluja
  • Viestintäpalveluja kyberhyökkäyksestä tiedottamiseen ja brändihaitan minimoimiseen
  • Järjestelmien puhdistamisesta ja tietojen palauttamisesta koituvia kuluja
  • Asianajopalvelua

Kenenkään ei kannata jättää kybervakuutusta ottamatta

Nykyään yrityksissä aletaan jo ymmärtää, että kyse ei ole siitä voiko jokin tietoturvauhka realisoitua, vaan milloin se realisoituu, Raine mainitsee. EU:n tietosuoja-asetuksen myötä yritykset, joilla on paljon henkilötietoja, ovat erityisesti kybervakuutuksen tarpeessa. Näitä toimialoja ovat muiden muassa finanssiala, terveydenhuoltoala, vakuutusala ja teleoperaattorit.

Otetaan käytännön esimerkki. Kuvitellaan, että yrityksen asiakastietoja hakkeroidaan ja sieltä viedään 100 000 henkilön tietoja. Eri tutkimuksissa on laskettu, että tietovuototapauksissa keskimääräinen yritykselle koituva vahinko on noin 50-200 euroa/menetetty henkilötieto. Yksinkertaisuuden vuoksi oletetaan, että yhden paljastuneen henkilötiedon hinta on 100 euroa. Näin ollen jo itse henkilötiedoista koostuvan laskun suuruus yritykselle tulisi olemaan 10 000 000 euroa. Mistään pikkusummista ei siis puhuta. Kyberturvallisuus on koko yrityksen asia, ihan ylintä johtoa myöten.

Teemme yrityksille muun muassa kyberriskikartoituksia, jonka tuloksena saat hintalapun yrityksesi suurimmille kyberriskeille. Jos tarvitset apua kyberriskienhallinnan sparraamiseen, pyydä tarjous.

 

Kyberriskidiagnoosi – Selvitä vartissa oman yrityksesi suurimmat kyberriskit

Kyberriskidiagnoosi tarjoaa nopeasti ylätason yhteenvedon yrityksen kyberriskeistä ja toimii hyvänä ajatuksien herättäjänä jatkotoimista keskusteltaessa. Kyseessä on noin 15 minuuttia kestävä kartoituskysely, joka tuottaa välittömästi diagnoosiraportin. Siirry testiin tästä: Cyber Risk Diagnostic Tool (toimii parhaiten Internet Explorer -selaimella)

 

JOS HALUAT SAADA LISÄTIETOJA EU:N UUDESTA TIETOSUOJA-ASETUKSESTA, LUE MYÖS: 

EU:n tietosuoja-asetus tuo yrityksellesi uusia velvoitteita – mitä vakuutus korvaa?

Yhteystiedot