Ads 468x60px

torstai 13. marraskuuta 2014

Kybervakuuttamisesta

Kybervakuuttaminen (ts. kyberriskin siirtäminen vakuuttamalla) on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen on arvioitu kasvavan vuositasolla jopa 50-100% ja saavan lisäpontta mm. EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä (ks. http://www.reuters.com/article/2014/07/14/us-insurance-cybersecurity-idUSKBN0FJ0B820140714).

Kyberriskit ovat yhä korkeammalla yritysten riskienhallinnan agendalla johdon tietoisuuden kasvaessa ja yritysjohdon asennoituminen tietoturvallisuuteen liittyviin riskeihin on muuttunut selkeästi sitoutuneemmaksi.

Kyber- eli verkkohyökkäykset ovat niin hakkereiden, järjestäytyneen rikollisuuden, kuin valtioiden välisen kybersodankäynninkin työkaluja, motiiveina esimerkiksi luottamuksellisten tai kaupallisesti merkittävien tietojen kuten esim. henkilötietojen, pankkitilinumeroiden tai liiketoimintasalaisuuksien varastaminen tai vaikkapa strategisesti tai kansallisesti merkittävän infrastruktuurin kuten energianjakeluverkon rampauttaminen.

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Hyökkäysten tunnistaminen voi viedä runsaastikin aikaa, mikäli yritys ei varaudu tilanteeseen ja valvo verkkoaan tehokkaasti. Nykyaikaiset ja edistyneet verkkohyökkäykset ovat salakavalia ja ne voivat aiheuttaa ongelmia verkossa tapahtuvalle toiminalle estämättä sitä kuitenkaan välttämättä täysin. Hyökkäyksen myöhäinen havaitseminen hankaloittaa itse korvauskäsittelyä ja tapahtuneen vahingon laajuuden määrittelyä (mikäli laajuutta voidaan aina edes välttämättä tarkasti määritellä).

Myös organisaation sisäinen toiminta voi aiheuttaa liiketoiminnan keskeytyksiä tai vaarantaa tietoturvallisuuden. Huonot toimintatavat, kuten vaarallisten työyhdistelmien salliminen tai puutteellinen käyttövaltuushallinta voivat koitua kalliiksi.

Vakuutusmeklarin kautta hankittavat kybervakuutukset voivat korvata esim. välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä, kiristystä (esim. tietovuodolla uhkaaminen), merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja (esim. tietomurron aiheuttamat vahingot) sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä.


Mikäli yritys laiminlyö riskienhallinnassaan tietoturvallisuuden perusteet, kuten tietoturvastrategian ja -politiikan luomisen, sitouttamisen ja jalkauttamisen ja tietoturvatietoisuustyön, kybervakuutus ei välttämättä korvaa verkkohyökkäyksen aiheuttamia vahinkoja. Kybervakuuttamisen lisäksi tarvitaan siis myös riittävän monipuolista tietoturvaosaamista ja valveutunutta riskienhallintaa sekä esimerkiksi kriisienhallinnan ja kriisiviestinnän kokemusta ja osaamista, jotta yritystoiminnan puolustus kestää hyökkäykset kyberriskien alati kehittyvällä pelikentällä.

Ei kommentteja:

Lähetä kommentti