Kyberuhkien vakuuttaminen – rahan haaskausta vai hallituksen helpotus?

Välillä on kiintoisaa pysähtyä pohtimaan niitä pitkän aikavälin muutoksia taloudessamme ja yhteiskunnassamme, joita on tapahtunut itse kunkin uran aikana – omassa tapauksessani noin puolessa vuosisadassa. Eräs itsestäänselvä muutos liittyy riskien hallintaan. Riskejä on kautta historian ollut, mutta alkavan 2020-luvun maailmaa leimaa 1970-luvun maailmaan verrattuna riskien moninaisuuden, niiden ilmenemisen kellotaajuuden sekä mahdollisten seurausvaikutusten tavaton kasvu. Esimerkki: Digitalisaation läpitunkevan etenemisen ”sivutuotteena” syntynyttä ja merkitykseltään jatkuvasti kasvavaa kyberuhkien moninaista riskikenttää ei 1970-luvulla vielä ollut. Toivon, että olen pessimisti, mutta pelkään, että 2020-luku nostaa kyberuhkien konkretian ja relevanssin tasolle, jota emme tänään kykene kunnolla edes kuvittelemaan.

Riskien hallinta on ollut hallitustyön ytimessä koko osakeyhtiömuotoisen toiminnan historian ajan. Hallitustyön kannalta riskien hallinnan perimmäiset kysymykset liittyvät siihen, mitä riskejä tunnistetaan ja mitä ei – jotta riskeihin voi varautua, pitää tietää, mihin varautua. Jotta riskeihin voi varautua, pitää myös yrittää hahmottaa niiden asioiden joukkoa, joita ei tunneta. ”Unknown unknowns” -tyyppisten asioiden määrä pitää mahdollisuuksien mukaan minimoida.

Jotta riskeihin voi varautua, pitää tietää, mihin varautua

Kyberuhkat muodostavat hallitustyön kannalta hankalan riskikentän useasta syystä. Moniin tunnettuihin kyberuhkaskenaarioihin varautuminen vaatii organisaatiolta jatkuvaa huippuluokan toimintaa, jonka laatutason valvontavastuu on viime kädessä hallituksella. Monissa kyberuhkien ikävissä toteutumistilanteissa ”damage control” -tyyppinen julkisuuden hallinta voi kaatua hallituksen syliin, ja tällaisiinkin tilanteisiin pitää etukäteen varautua. Ja kun digitalisaatio etenee kiihtyvällä vauhdilla, myös kyberuhkat ovat liikkuva maali – huomenna uhkaskenaariot ovat uusia: tuntemattomia tuntemattomia.

Kyberuhkien muodostamat riskit ovat ääriesimerkki kentästä, jossa hallitus joutuu jatkuvasti kysymään itseltään, olemmeko tehneet tarpeeksi, esimerkiksi:

  1. Valvommeko organisaation vakiintuneen varautumistoiminnan laatutasoa riittävän kattavasti ja ajanmukaisesti,
  2. kuinka valmiita olemme uhkaskenaarioiden toteutumisen jälkihallintaan,
  3. millä keinoin tunnistamme kokonaan uudet uhkatyypit riittävän nopeasti.

Vakuutuspalvelujen käyttäminen on perinteellinen tapa riskien hallintaan. Yhtäältä vakuutukset antavat mahdollisuuden kompensoida riskien toteutumisesta aiheutuvia kustannuksia, toisaalta vakuutusyhtiöt vakuutusten antamisen ehtona toimivat usein organisaation toiminnan laatutason validoijana – vakuutuksen saamisen voi tulkita eräänlaiseksi sertifikaatiksi, joka ilmentää myös hallituksen huolellisuusvelvoitteen täyttymistä.

Kuinka hyvin vakuutustoimiala on tarttunut kyberuhkien riskikenttään? Millaisia uhkaskenaarioita voi tänään vakuuttaa ja millaisia ei? Ja millaisilla hinnoilla? Näihin kysymyksenasetteluihin pääsemme tutustumaan asiakkaan (Pöyry), vakuutusmeklarin (Howden) ja konsultin (KPMG) näkökulmista DIF-aamiaisella 25.4.2019. DIFin jäsenille tarkoitetun tilaisuuden moderaattoreina toimivat Harri Pynnä (DIF Senior Advisor/Vakuutukset) ja Juhani Strömberg (DIF Senior Advisor/Kyberturva).

Jätä kommentti

avatar
  Tilaa ilmoitukset  
Ilmoita kun