Vakuutusala muuttuu kyberriskien myötä

Kattaako yksi vakuutus tulevaisuudessa kaikki yrityksen riskienhallintatarpeet? Kybervakuuttamisen tutkimus on vielä lapsenkengissä, mutta sen verran alan asiantuntijat uskaltavat sanoa, että se muuttaa radikaalisti vakuuttamisen tarpeita.

Talous ja yhteiskunta
21.2.2018

–Kansainvälisissä tutkimuksissa ilmenee, että yritysjohtajien mukaan kyberriskit ovat globaalien riskibarometrien, esimerkiksi Allianzin, kärjessä, kertoo Tampereen yliopiston vakuutustieteen lehtori Aarno Ahteensivu.

Ahteensivun mukaan edelleen on kuitenkin ongelmallista se, että kyberturvallisuuden ja -vakuutuksen tutkimuksessa painitaan itse kyberriski-käsitteen ympärillä. Yleisesti hyväksyttyä määritelmää ei hänen mielestään vieläkään ole.

– Kyberriskille löytyy toki suppeampia ja laajempia määritelmiä, mutta yhtä tunnustettua määritelmää ei ole. Varsinkin kybervakuutuksen sisältö on laaja-alainen ja se räätälöidään pitkälle yrityksen tarpeiden mukaiseksi.

Vakuutustieteen laajemmissa määritelmissä kyberriski on jaettu kolmeen osaan: teknologia-, operatiivisiin ja legal compliance riskeihin. Ahteensivu kuitenkin sanoo, että vakuutuksien myöntämisen kannalta laajat määritelmät ovat ongelmallisia.

– Laaja määritelmä aiheuttaa sen, että on hankalaa panna normeja sille, mikä on kyberriskin vakuutuskelpoisuus ja tällöin myös vakuutuksen suunnittelu on vaikeaa.

Suomalaisissa kybervakuutuksissa puhutaan yleisesti haittaohjelmista ja palvelunestohyökkäyksistä ja niiden aiheuttamista taloudellisista menetyksistä. Ahteensivun mielestä yksi mielenkiintoisempia kybervakuutuksien ilmiöitä on se, että nykyään palvelutarjoajat antavat asiantuntija-apua muun muassa forensiikkassa.

Kyberturvallisuus kiinnostaa koko yrityksen johtoa

Yrityksien riskienhallintastrategiassa täytyy ottaa entistä vahvemmin huomioon myös kyberriskit ja niihin varautuminen. Yrityksien on päätettävä, mihin kyberriskeihin varaudutaan itse ja mihin otetaan vakuutusturvaa. Tampereen yliopiston vakuutustieteen professori Lasse Koskinen muistuttaa, että yritysjohto on usein liian lyhytnäköinen.

– Tulevaisuuden riskit eivät välttämättä paljon yritysjohtoa heilauta, mutta kun vahingoille isketään hintalappu, alkaa usein totinen pohdinta, Koskinen kertoo.

Sakkorangaistukset EU:n tietosuojasääntöjen rikkomisesta voivat olla jopa pari prosenttia yrityksen liikevaihdosta.

Kaikki eivät saa vakuutusta

Informaatioepäsymmetria, eli yrityksien sisäinen moraalikato ja haitallinen informaation valikoituminen, ovat ongelmallisia seikkoja kybervakuutuksissa. Koskisen mielestä yrityksien, jotka ottavat vakuutuksen, pitäisi pystyä suojautumaan riskeiltä ennakoivasti.

– Ajatellaanpa vaikka henkilöautovakuutuksen ottajaa: holtitonkaan kuski ei mieluusti ajaa kolaria. Kybervakuuttamisessa tilanne on hieman toinen. Jos yrityksen johdolla on vakuutuksesta huolimatta hälläväliä-asenne, se ei ole hyvä lähtökohta suojautumiselle.

Tämän hetkisessä kybervakuutuksen tutkimuksessa pohditaan, mikä osa vahingosta voidaan kattaa ja mikä ei. Jos kaikki mahdolliset vahingot, jotka voivat syntyä kyberriskeistä korvataan, voi hintalappu nousta vakuutusyhtiöille liian suureksi.

– Uskon, että tulevaisuudessa vakuutusyhtiöt suuntaavat kybervakuutukset osavakuutuksiksi, jotka korvaavat vain tietyn määrän vahingoista. Koko ajan myös kehitetään ehtoja yritystoiminnan riskienhallinnalle, jotta riskit saataisiin parhaalla mahdollisella tavalla hallintaan, Koskinen sanoo.

Vakuuttaminen muuttuu

Tällä hetkellä Koskisen mukaan kybervakuutuksille on kiistaton tarve, joka tulee tulevaisuudessa kasvamaan entisestään.

– Instituutioiden rajojen eläessä myös vakuutusyhtiöt ovat siirtyneet vakuutuksien myöntämisestä entistä enemmän riskienhallinnan toimintoihin. Kybervakuuttamiseen sopii erityisen hyvin riskeihin varautuminen sekä jälkihoito.

Myös suomalaiset vakuutusyhtiöt ovat heränneet tarjoamaan kybervakuutuksia, vaikka globaali tarjonta on huomattavasti monipuolisempaa. Vakuutustieteen kansainvälisen tilaston arvion mukaan kybervakuutusten maksukyky kasvaa 30 prosenttia vuodessa.

Yrityksen riskien tunnistaminen ei välttämättä ole kaikille itsestäänselvyys. Tällöin on hankala vakuuttaa omaa toimintaansa oikein. Toimintaympäristön nopea muuttuminen luo omat haasteensa sekä kybervakuutuksien tarjoajille, että ottajille.

Kybervakuutus kattaa nykypäivänä hyvin laajasti kaikki tällä hetkellä tiedossa olevat kyberturvallisuuden uhat, joihin kuuluvat niin haittaohjelmat kuin palveluestohyökkäykset.

Suurin vakuutustarve tuntuu tällä hetkellä kohdistuvan ulkoisiin pilvipalveluiden tarjoajiin ja EU:n tietosuoja-asetuksen sanktioihin.

Lähtökohtaisesti vakuutuksissa ei saa vakuuttaa sanktioita. Suomessa kybervakuutuksien osalta näin voi kuitenkin tehdä, muissa Pohjoismaissa ei.

Kybervakuutukset kehittyvät tulevaisuudessa entistä enemmän yrityksien sidosryhmien tarpeiden huomioimiseen ja vakuuttamiseen.

Tekstiä on korjattu 21.2.2018 ja siitä on poistettu sekaisin menneet haastateltavien lausunnot. Lisäksi tekstistä on poistettu harhaanjohtava Aon Anna-Mari Variksen nimi.

Lue lisää
Kenen vastuulla on datatalouden vastuullisuus?

Kenen vastuulla on datatalouden vastuullisuus?

EU:ssa halutaan luoda uusi vastuullisen datatalouden malli, joka perustuu eurooppalaiseen arvopohjaan ja avaa mahdollisuuksia myös pienille yrityksille. Mutta pysyykö Eurooppa Kiinan ja USA:n...

Tulevaisuuden kirjasto on tekemisen paikka

Tulevaisuuden kirjasto on tekemisen paikka

Kirjastot ovat muuttumassa kulttuurikeskuksiksi, joihin tullaan viihtymään, kokemaan, jakamaan ja oppimaan. Joulukuussa aukeava Oodi on tässä edelläkävijä. Se mullistaa täysin perinteisen...

Vastuullisuus on liiketoiminnan edellytys

Vastuullisuus on liiketoiminnan edellytys

Suomalaisella startup -kentällä on tapahtunut paljon viime vuosina – varsinkin cleantech-puolella. Yhä useampi yritys haluaa edistää toiminnallaan kestävän kehityksen periaatteita.

Tuoreimmat

OP sosiaalisessa mediassa