Flickr: Chirs Potter

Kyberturvallisuus – selviäisikö siitä vakuuttamalla?

Kyberturvallisuus ja tietosuoja ovat molemmat asioita, joihin liittyy paljon epätietoisuutta, riskejä ja monimutkaisia toimenpiteitä. Mitä jos vain ostaisin vakuutuksen?

Kybervakuuttaminen on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen arvioitu kasvuvauhti vuositasolla on jopa 50-100 prosenttia saaden lisäpontta muun muassa EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä.

Kyberriskin hinnoittelu haastavaa

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Samasta syystä sekä vakuutuksen ostaminen että sen myyminen ja hinnoittelu on haastavaa. Perinteisten riskien taloudelliset vaikutukset ja todennäköisyydet ovat huomattavasti paremmin molempien osapuolten tiedossa ja ymmärrettävissä.

Valistunut lukija jo varmaan arvaakin, että kyberturvallisuudesta ei selviä pelkällä vakuutuksen ostamisella. Vastaavalla tavalla kuin esimerkiksi palovakuutuksessa, myös kybervakuutuksessa vakuutuksen ottajalla on velvollisuuksia huolehtia asianmukaisesta suojauksesta ja vahinkojen rajoittamisesta. Palovakuutuskaan ei korvaa palanutta tuotantotilaa ellei sen rakenne ja käyttö ole ollut vakuutusehtojen ja rakennusmääräysten mukaisia.

Kybervakuutus yksi riskienhallinnan keinoista

Kybervakuutuksiin kannattaa kuitenkin tutustua, sillä ne alkavat olla osa yritysten riskienhallinnan keinovalikoimaa. Kybervakuutukset voivat korvata esimerkiksi välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä sekä kiristystä kuten tietovuodolla uhkaamista. Vakuutukset saattavat korvata myös merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja kuten tietomurron aiheuttamia vahinkoja sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä. Joihinkin vakuutuksiin sisältyy myös tietty määrä asiantuntijaorganisaation tekemää konsultointia tai vahinkotapauksessa tietomurron tutkintatyötä.

5 vinkkiä kybervakuuttamiseen

  1. Selvitä, mitä vakuutuksia on tarjolla, mitä ne kattavat, ja millaisia ehtoja ja rajoituksia niissä on.
  2. Varmista, että oman organisaation tietoturva- ja tietosuojakäytännöt ovat normien ja hyvien käytäntöjen sekä vakuutusehtojen mukaiset.
  3. Panosta erityisesti havainnointi- ja reagointikykyyn, jotta mahdolliset tietomurrot ja tietovuodot voidaan havaita ajoissa ja niihin voidaan reagoida.
  4. Tunnista suojattavat asiat ja kohteet. Suojataanko tiedon luottamuksellisuutta vai prosessia ohjaavien IT-järjestelmien jatkuvuutta?
  5. Käytä vakuutusta yhtenä osana riskienhallintaa, ja muista, että se ei yksinään ratkaise kyberturvallisuutta – valitettavasti.

Lue myös edelliset blogitekstini ”Miljardi vuodettua salasanaa – pitäisikö huolestua?” ja ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Chris Potter / Flickr (Picture has been cropped)