maanantai 18. huhtikuuta 2016

Kybervakuutukset


Monenlaiset kyber- ja IT-vakuutukset ovat alkaneet yleistyä maailmalla. Ne voivat olla hyvä täydentäjä organisaation riskienhallinnalle. Mutta yksistään vakuutus ei riitä. Tässä muutama huomioitava asia.  

Tärkeää niistä on ensinnäkin selvittää, mitä ne kattavat ja mitä eivät. Harva kattaa esimerkiksi toiminnan keskeytymisestä aiheutuneen tuotantokatkon vuoksi saamatta jäänyttä liikevaihtoa. Lisäksi IPR-oikeuksien menetys tai joutuminen kolmansille osapuolille on erittäin vaikeasti mitattava vahinko ja usein korvausten ulkopuolella. Korvausluokissa voi olla kattoja, jotka on syytä tarkistaa. Esimerkiksi viestintä- tai tutkintakustannukset voivat olla vaikkapa tietomurtotapauksissa hyvinkin suuria.

Yhtä vaikeaa kuin IPR-oikeuksien arvon mittaaminen on myös brändivahinkojen mittaaminen. Organisaation julkisuuskuvalle aiheutunut vahinko voi olla hyvin suuri, mutta aina vakuutusten ulkopuolella. Kaikki eivät myöskään korvaa fyysisiä vahinkoja, vaikka ne aiheutuisivatkin esimerkiksi SCADA:n tai muun tietoteknisen ympäristön ohjauksen ongelmista. Valtioiden välinen tai sellaiseksi luokiteltava toiminta on usein myös korvausten ulkopuolella. Tämä kannattaa huomioida, jos organisaatio on toimittajana tai kumppanina mukana verkostossa, joka voisi edes välillisesti vetää puoleensa valtiolähtöisiksi luokiteltavia toimijoita. Julkisuudessa näkee tämän tästä erilaisten hyökkäysten alkuperän arviointia - mielenkiintoista on myös se, millä perusteella vakuutuksen antaja luokittelee tapahtuman alkuperää.

Tahallisesti tai huolimattomuudella aiheutettu vahinko on myös lähes aina kaikenlaisen vakuuttamisen ulkopuolella. Niin myös näissä vakuutuksissa. Tahallisesti aiheutetulle vahingolle ei tietoteknisissä ympäristöissä ole aina yksinkertaista löytää korvaajaa. Ja vaikka se olisi mahdollista, on ICT-ympäristöjen luonteen ja niiden sisältämän tietomäärän vuoksi tutkinta usein aikaavievää.

Mutta tärkein huomioitava kohta on huolimattomuudella aiheutettu vahinko. Vakuutukset sisältävät usein tiettyjä velvoitteita, jotka yrityksen on hoidettava vakuutuksen voimassaolon edellytyksenä. Niiden tulkinta voi olla joskus organisaatioissa hyvin vaikeaa. Ja kokemuksesta tiedän, että vakuutuksen antajakaan ei osaa aina tyhjentävästi kertoa, millainen ratkaisu heillä täyttää vakuutuksen huolehtimisvelvoitteen vaatimukset. Vaikka huolehtimisvelvoitteet ovatkin paperilla usein helppoja "rasti ruutuun" -tehtäviä, kannattaa niiden toteutumisesta olla varma. Ihan yksinkertaiset toimet eivät aina riitä täyttämään niiden vaatimuksia. Joidenkin vakuutusten tietoturvavaatimukset ovat myös niin korkeita, että on syytä epäillä vakuutukselle jäävän mitään tarvetta enää sen vaatimusten toteuttamisen jälkeen.

Mikään ei ole organisaation kannalta pahempaa kuin riskikontrolli, joka ei riskin toteutuessa toimi. Mikään kybervakuutus ei siis korvaa orgnisaation omaa huolellista tietoturvatyötä ja varautumissuunnittelua. Mutta täydentäjänä ne voivat olla hyviä.


Ei kommentteja:

Lähetä kommentti