Vakuutusala muuttuu kyberriskien myötä

Kattaako yksi vakuutus tulevaisuudessa kaikki yrityksen riskienhallintatarpeet? Kybervakuuttamisen tutkimus on vielä lapsenkengissä, mutta sen verran alan asiantuntijat uskaltavat sanoa, että se muuttaa radikaalisti vakuuttamisen tarpeita.

Talous ja yhteiskunta
21.2.2018

–Kansainvälisissä tutkimuksissa ilmenee, että yritysjohtajien mukaan kyberriskit ovat globaalien riskibarometrien, esimerkiksi Allianzin, kärjessä, kertoo Tampereen yliopiston vakuutustieteen lehtori Aarno Ahteensivu.

Ahteensivun mukaan edelleen on kuitenkin ongelmallista se, että kyberturvallisuuden ja -vakuutuksen tutkimuksessa painitaan itse kyberriski-käsitteen ympärillä. Yleisesti hyväksyttyä määritelmää ei hänen mielestään vieläkään ole.

– Kyberriskille löytyy toki suppeampia ja laajempia määritelmiä, mutta yhtä tunnustettua määritelmää ei ole. Varsinkin kybervakuutuksen sisältö on laaja-alainen ja se räätälöidään pitkälle yrityksen tarpeiden mukaiseksi.

Vakuutustieteen laajemmissa määritelmissä kyberriski on jaettu kolmeen osaan: teknologia-, operatiivisiin ja legal compliance riskeihin. Ahteensivu kuitenkin sanoo, että vakuutuksien myöntämisen kannalta laajat määritelmät ovat ongelmallisia.

– Laaja määritelmä aiheuttaa sen, että on hankalaa panna normeja sille, mikä on kyberriskin vakuutuskelpoisuus ja tällöin myös vakuutuksen suunnittelu on vaikeaa.

Suomalaisissa kybervakuutuksissa puhutaan yleisesti haittaohjelmista ja palvelunestohyökkäyksistä ja niiden aiheuttamista taloudellisista menetyksistä. Ahteensivun mielestä yksi mielenkiintoisempia kybervakuutuksien ilmiöitä on se, että nykyään palvelutarjoajat antavat asiantuntija-apua muun muassa forensiikkassa.

Kyberturvallisuus kiinnostaa koko yrityksen johtoa

Yrityksien riskienhallintastrategiassa täytyy ottaa entistä vahvemmin huomioon myös kyberriskit ja niihin varautuminen. Yrityksien on päätettävä, mihin kyberriskeihin varaudutaan itse ja mihin otetaan vakuutusturvaa. Tampereen yliopiston vakuutustieteen professori Lasse Koskinen muistuttaa, että yritysjohto on usein liian lyhytnäköinen.

– Tulevaisuuden riskit eivät välttämättä paljon yritysjohtoa heilauta, mutta kun vahingoille isketään hintalappu, alkaa usein totinen pohdinta, Koskinen kertoo.

Sakkorangaistukset EU:n tietosuojasääntöjen rikkomisesta voivat olla jopa pari prosenttia yrityksen liikevaihdosta.

Kaikki eivät saa vakuutusta

Informaatioepäsymmetria, eli yrityksien sisäinen moraalikato ja haitallinen informaation valikoituminen, ovat ongelmallisia seikkoja kybervakuutuksissa. Koskisen mielestä yrityksien, jotka ottavat vakuutuksen, pitäisi pystyä suojautumaan riskeiltä ennakoivasti.

– Ajatellaanpa vaikka henkilöautovakuutuksen ottajaa: holtitonkaan kuski ei mieluusti ajaa kolaria. Kybervakuuttamisessa tilanne on hieman toinen. Jos yrityksen johdolla on vakuutuksesta huolimatta hälläväliä-asenne, se ei ole hyvä lähtökohta suojautumiselle.

Tämän hetkisessä kybervakuutuksen tutkimuksessa pohditaan, mikä osa vahingosta voidaan kattaa ja mikä ei. Jos kaikki mahdolliset vahingot, jotka voivat syntyä kyberriskeistä korvataan, voi hintalappu nousta vakuutusyhtiöille liian suureksi.

– Uskon, että tulevaisuudessa vakuutusyhtiöt suuntaavat kybervakuutukset osavakuutuksiksi, jotka korvaavat vain tietyn määrän vahingoista. Koko ajan myös kehitetään ehtoja yritystoiminnan riskienhallinnalle, jotta riskit saataisiin parhaalla mahdollisella tavalla hallintaan, Koskinen sanoo.

Vakuuttaminen muuttuu

Tällä hetkellä Koskisen mukaan kybervakuutuksille on kiistaton tarve, joka tulee tulevaisuudessa kasvamaan entisestään.

– Instituutioiden rajojen eläessä myös vakuutusyhtiöt ovat siirtyneet vakuutuksien myöntämisestä entistä enemmän riskienhallinnan toimintoihin. Kybervakuuttamiseen sopii erityisen hyvin riskeihin varautuminen sekä jälkihoito.

Myös suomalaiset vakuutusyhtiöt ovat heränneet tarjoamaan kybervakuutuksia, vaikka globaali tarjonta on huomattavasti monipuolisempaa. Vakuutustieteen kansainvälisen tilaston arvion mukaan kybervakuutusten maksukyky kasvaa 30 prosenttia vuodessa.

Yrityksen riskien tunnistaminen ei välttämättä ole kaikille itsestäänselvyys. Tällöin on hankala vakuuttaa omaa toimintaansa oikein. Toimintaympäristön nopea muuttuminen luo omat haasteensa sekä kybervakuutuksien tarjoajille, että ottajille.

Kybervakuutus kattaa nykypäivänä hyvin laajasti kaikki tällä hetkellä tiedossa olevat kyberturvallisuuden uhat, joihin kuuluvat niin haittaohjelmat kuin palveluestohyökkäykset.

Suurin vakuutustarve tuntuu tällä hetkellä kohdistuvan ulkoisiin pilvipalveluiden tarjoajiin ja EU:n tietosuoja-asetuksen sanktioihin.

Lähtökohtaisesti vakuutuksissa ei saa vakuuttaa sanktioita. Suomessa kybervakuutuksien osalta näin voi kuitenkin tehdä, muissa Pohjoismaissa ei.

Kybervakuutukset kehittyvät tulevaisuudessa entistä enemmän yrityksien sidosryhmien tarpeiden huomioimiseen ja vakuuttamiseen.

Tekstiä on korjattu 21.2.2018 ja siitä on poistettu sekaisin menneet haastateltavien lausunnot. Lisäksi tekstistä on poistettu harhaanjohtava Aon Anna-Mari Variksen nimi.

Lue lisää
Globaaleissa ilmastoneuvotteluissa on edessä ratkaisun hetket

Globaaleissa ilmastoneuvotteluissa on edessä ratkaisun hetket

Globaaleissa ilmastoneuvotteluissa on edessä merkittävä vaihe tämän vuoden lopulla. Suomen pääneuvottelija Outi Honkatukia kertoo, miksi Pariisin ilmastosopimuksen kohtalo ratkeaa käytännössä vasta...

Oppivat organisaatiot menestyvät parhaiten

Oppivat organisaatiot menestyvät parhaiten

Menestyvät yritykset muokkaavat strategiaansa toimintaympäristön muutosten mukaiseksi. Jatkuva uuden oppiminen on välttämätöntä kaikille organisaatioille, muistuttaa OP Ryhmän pääjohtaja Timo...

Kaupungistumisen megatrendillä on suora yhteys ekologisen kestävyyskriisin ratkaisuun

Kaupungistumisen megatrendillä on suora yhteys ekologisen kestävyyskriisin ratkaisuun

Ihmiskunta siirtyy asumaan kaupunkeihin, ja tämä megatrendi näkyy voimakkaasti myös Suomessa. Kaupungistumisen ja ihmiskunnan haasteiden välillä on suora yhteys. Kaupungeissa nyt tehtävät ratkaisut...