Muutaman viime vuoden aikana olemme nähneet ensimmäiset myös kansainvälisesti todella merkittävät tietomurrot, joiden kustannukset ovat nousseet kymmeniin, jopa satoihin miljooniin dollareihin. Eurooppa ja Suomikin ovat kokeneet omat ensimmäiset uutiskynnyksen ylittävät tietomurtonsa ja muutamat kotimaiset yhtiöt ovat kertoneet näistä avoimesti julkisuudessa.
Uutiskynnyksen ylittäneet tapaukset edustavat kuitenkin vain hädin tuskin kuuluisaa jäävuoren huippua tietomurtojen kokonaismäärästä. Erinäisten arvioiden mukaan kyberrikollisuuden vuotuinen kustannus yrityksille maailmanlaajuisesti vaihtelee 445 miljardista jopa 2000 miljardiin dollariin.
Kyberrikollisuuden vuotuinen kustannus yrityksille maailmanlaajuisesti vaihtelee 445 miljardista jopa 2000 miljardiin dollariin.
Varautumisen näkökulmasta positiivista kehitystä on kuitenkin havaittavissa, sillä yritykset, koosta riippumatta, ovat alkaneet sisäistää tietoturvariskit. Yhä useammat ovat nostaneet ne yhdeksi riskienhallinnan keskeisimmistä osa-alueista.
Yritysten avainhenkilöiden ja hallitusten uuden ajattelutavan myötä halu entistä tehokkaampien riskienhallinnan työkalujen kehittämiseksi on lisääntynyt. Lisäksi yhä useampi huomioi jo myös sen vakuutusteknisen tosiasian, ettei yrityksen muita vastuuvakuutuksia, kuten toiminnan- tai ammatillista vastuuvakuutusta, ole lähtökohtaisesti suunniteltu kattamaan kyberaiheisia vahinkoja.
Sähköiset järjestelmät ja pilvipalvelut näkyvät tulevaisuudessa entistä oleellisempana osana yritysten päivittäistä liiketoimintaa ja yritykset tulevat niistä riippuvaisemmiksi. Osakkeenomistajien ja hallitusten tietoisuus sekä odotukset tietoturvariskien hallitsemiseksi ja niihin varautumiseksi tulevat väistämättä kasvamaan. Yrityksen maineriskin hallinta vaikeutuu ja lisääntyy huomattavasti, ja sen tärkeys korostuu.
Tietomurrot sekä muut kyberaiheiset tapahtumat lisääntyvät ja monipuolistuvat. Kyberrikollisten käyttämät keinot kehittyvät ja hyökkäykset laaja-alaistuvat. Niiden toteuttaminen tulee helpommaksi yhä useammalle taholle, muun muassa kyvykkäämpien rikollisten tarjoamien ”avaimet käteen”-ratkaisujen ja muiden ”palvelujen” muodossa.
Tietomurrot sekä muut kyberaiheiset tapahtumat lisääntyvät ja monipuolistuvat.
Tietoturvavakuutuksia tai kyber-/cybervakuutuksia, kuten tuotteet tuttavallisemmin tunnetaan, on ollut olemassa jo edellisen vuosituhannen lopulta lähtien. Tuotteiden sisällöt eivät ole kuitenkaan huomioineet, mitä tietomurto voi yritykselle todella aiheuttaa. Tietomurtojen ja muun verkko- ja etärikollisuuden räjähdysmäinen kasvu on saanut myös vakuutusmarkkinat heräämään tilanteeseen, ja päivittämään vakuutustuotteensa paremmin nykypäivän tarpeita vastaaviksi.
Uudet vakuutustuotteet ovat alkaneet vallata jalansijaa markkinoilla Yhdysvaltojen johdolla. Tämä johtuu pääosin meren takaisesta lainsäädännöstä, joka edellyttää yritystä tiedottamaan koko asiakaskuntaansa, mikäli on olemassa edes epäily siitä, että yritys on joutunut tietomurron kohteeksi ja asiakastiedot ovat saattaneet joutua ulkopuolisten käsiin; kulut näistä toimenpiteistä voivat kohota todella merkittäviksi.
Modernien tuotteiden tarjoamat hyödyt, kuten niiden tarjoama suoja oman liiketoiminnan keskeytykselle, maineriskien varalle sekä vastuun kattamiseksi kolmannelle osapuolelle, ovat kasvattaneet yritysten kiinnostusta uutta ja ajankohtaista vakuutustuotetta kohtaan.
Myös Euroopassa tietoturvariskeihin on nyt alettu varautua laajemmin vakuuttamisen keinoin. Karkeasti ottaen kybervakuutusmarkkina tuplaantui edellisvuonna 2,5 miljardiin dollariin (vakuutusmaksutuloa). Euroopan osuus tästä on arvioitu olevan noin 150 miljoonaa dollaria ja sen on arvioitu kasvavan toistaiseksi 50–100 % vuosivauhtia. Päänavaus varautumisen suhteen on myös Suomessa jo tapahtunut, sillä ensimmäiset valveutuneet suomalaisyritykset ovat alkaneet ostaa turvaa.
Kyberrikollisuuden todelliset kustannukset selviävät, kun uudet EU:n asetukset astuvat voimaan ja tekevät kaikista tietomurroista raportoinnin pakolliseksi. Prosessi asetuksen aikaansaamiseksi on lähtenyt liikkeelle EU:ssa vuonna 2010 ja sen tarkoituksena on paitsi koko EU:n laajuinen yhdenmukaistaminen ja liiketoimintamahdollisuuksien lisääminen myös henkilötietosuojan parantaminen. Asetuksen on tarkoitus esitellä muun muassa jo Yhdysvalloista tuttu säädäntö asiakkaiden tiedottamisesta tietomurtoepäilyn johdosta, joten se tulee synnyttämään tulevaisuudessa kotimaisille ja eurooppalaisille yrityksille aivan uudenlaisia merkittäviä kuluja.
Tämän hetkisin tiedoin juuri ennen vuodenvaihdetta Euroopan Unionissa saavutetun yksimielisyyden mukaan asetus tullaan vahvistamaan virallisesti alkuvuoden 2016 aikana ja sen on määrä astua voimaan kahden vuoden siirtymäajan myötä vuoden 2018 kuluessa. Yksin tähän varautuminen tulee edellyttämään paitsi yrityksiltä myös kunnilta sekä muilta organisaatioilta monenlaisia muutoksia, jotka olisikin suositeltavaa aloittaa hyvissä ajoin.
Ensimmäiset valveutuneet suomalaisyritykset ovat alkaneet ostaa turvaa.
Myös kotimaiset vakuutusyhtiöt ovat alkaneet tuoda omia kybervakuutustuotteitaan markkinoille, vaikkakin kybervakuutusmarkkina on vielä vahvasti ulkomaalaisvetoinen. Palvelu- ja tuotevalikoimaa tullaan testaamaan Euroopan lainsäädäntöjen sekä riskiympäristön kehittyessä. Todennäköisimmin vakuutusehdot ja hinnoittelu kiristyvät jatkossa, kun markkinan vahinkohistoria kehittyy ja vakuutusyhtiöt pyrkivät valikoimaan riskit yhä tarkemmin.
Tällä hetkellä juuri kokemuksen ja historiallisen markkinadatan puute vaikeuttavat vakuuttajien työtä riskien analysoinnissa ja hinnoittelussa. Nopeasti muuttuva toimintaympäristö luo epävarmuutta. Vakuuttajat reagoivat markkinan kehitykseen ja vahinkoihin nopeasti, jolloin vakuutusmaksut voivat vaihdella merkittävästi lyhyelläkin aikavälillä ja eri vakuuttajien kesken.
Tietoturvavakuutusten kysyntä tulee kasvamaan merkittävästi lähivuosina. Myös vahinkojen ja vakuutustapahtumien määrä sekä vakavuus tulevat lisääntymään valtavasti. Vakuutusyhtiöiden halukkuus kantaa riskejä tulee muuttumaan ja vakuuttamisprosessi tarkentumaan. Vakuuttajat tulevat kannustamaan (vaatimaan) yrityksiä tarttumaan toimeen kokonaisriskienhallinnan tehostamiseksi. Nykyisellään vakuutukset on hinnoiteltu vielä hieman alakanttiin, koska vakuuttajat pyrkivät rakentamaan markkinaosuuksia kasvavassa markkinassa, mutta keskipitkällä ja pitkällä aikavälillä hinnat tulevat mitä todennäköisimmin nousemaan.
Kybervakuutusmarkkinat hakevat koko ajan muotoaan ja kehittyvät nopeammin kuin mikään muu markkina yksittäisen vakuutustuotteen ympärillä tällä hetkellä. Kuka tietää, ehkä jonain päivänä tietoturvavakuuttaminen on yhtä yleistä kuin omaisuus- tai liikennevakuuttaminen – kenties yleisempää tai jopa lakisääteistä. Kysymys yrityksissä ei enää ole ”entä jos meille tapahtuu tietomurto” vaan ”kuinka pahat sen seuraukset voivat olla”.
Juho Heikkinen
Howden Group
