Yrittäjän riskiympäristö on murroksessa

22.6.2015

Yritysten riskiympäristö on jo jonkin aikaa ollut myllerryksen kourissa. Taustalla on muun muassa verkkohyökkääjien lisääntynyt kiinnostus yrityksiä kohtaan, muutokset asiakaskäyttäytymisessä sekä se, että kilpailu ammattitaitoisesta henkilöstöstä on kiristynyt.


Jos pieni, tietoyhteyksistä riippuvainen yritys joutuu verkkorikollisten hampaisiin, sen liiketoiminta ei välttämättä enää koskaan toivu entiselleen.

Yritykselle tärkeän tiedon turvaaminen onkin yksi menestymisen edellytyksistä. Tietoturvallisuuden tavoitetaso tulee olla vähintään sellainen, ettei yrityksen liiketoiminnan jatkuvuus vaarannu puutteellisen tietoturvallisuuden vuoksi. On myös hyvä muistaa, että kaikki verkkoon liitetyt laitteet on suojattava teknisesti.


Varmuuskopioita on oltava arkistossa

Esimerkkinä tietoturvarikollisten kekseliäisyydestä ovat salausta hyödyntävät kiristyshaittaohjelmat, joista tehdyt ilmoitukset ovat lisääntyneet viime aikoina. Salaushaittaohjelman saastuttama kone salaa ensin käyttäjän koneella olevat tiedot, ja sen jälkeen tulee kiristysviesti: Jos et maksa, tiedot jäävät salatuiksi.

Yritystoiminnan jatkuvuuden kannalta on tärkeää huolehtia siitä, että ohjelmistoista ja perustiedostoista on olemassa varmuusarkistossa vähintään kaksi riittävän tuoretta varmuuskopiota. Vain silloin järjestelmän toimivuus on palautettavissa kohtuullisella työmäärällä.

Yritysten merkittävimmät kyber-riskit ovat kriittisen tietojärjestelmän häiriö, tietojärjestelmään kohdistuva rikollinen teko tai IT-laitteisiin kohdistuva omaisuusvahinko. Nämä riskit saattavat pahimmillaan aiheuttaa yrityksen liiketoiminnan keskeytymisen tai yrityksen hallussa olevan luottamuksellisen tiedon vuotamisen ulkopuolisille.

Liiketoiminnan keskeytymisen voi aiheuttaa esimerkiksi yrityksen toiminnan kannalta kriittisen tietojärjestelmän häiriö joko inhimillisen virheen tai teknisen vian seurauksena. Tietojärjestelmään kohdistuva rikollinen teko, kuten haittaohjelma voi myös lamauttaa keskeisen tietojärjestelmän tai yrityksen asiakasrekisterin tiedot saatetaan varastaa tietomurron seurauksena. Myös perinteiset vahinkoriskit, kuten tulipalo, vuotovahinko tai palvelimen kovalevyn rikkoutuminen ovat edelleen merkittäviä uhkia tietojärjestelmien toiminnalle.

Liiketoiminnan keskeytyminen näkyy yrityksen liikevaihdon pienenemisenä ja menetettynä katteena tai vähintään tilapäisjärjestelyistä johtuvina ylimääräisiä kuluina. Tietojen vuotamisesta seurauksena voi olla merkittäviä kuluja, kuten vahingonkorvausvelvollisuus ja tiedottaminen tietovuodon asianosaisille, oikeudenkäyntikulut, selvittelykulut, IT-asiantuntijoiden kulut ja mahdollinen juridinen apu.

EU:n tulevan tietosuoja-asetuksen myötä viranomainen voi myös asettaa tietyille yrityksille tietosuojavelvoitteiden laiminlyönnistä merkittäviä sakkomaksuja. Myös maineen menettäminen esimerkiksi asiakkaiden tai yhteistyökumppaneiden silmissä voi olla vakava seuraus edellä mainituista tapahtumista.


Kyber-riskejä voi myös vakuuttaa

Yrityksen tulee kartoittaa kriittisten tietojärjestelmien kokonaisuus alihankintaketjuineen ja tunnistaa niihin liittyvät riskit. Samoin tulee kartoittaa yrityksen käsittelemän tietoaineiston laatu ja määrä, minkä perusteella voidaan arvioida tietojen vuotamisen tai varastamisen aiheuttamat seuraukset.

Jos yrityksessä käsitellään suuria määriä henkilötietoja tai luottokorttitietoja, niiden suojaamiseen tulee kiinnittää erityistä huomiota.

Muiden riskienhallintatoimenpiteiden lisäksi kyber-riskejä voidaan myös vakuuttaa. Vakuutusturva räätälöidään tietoturvakartoituksen perusteella asiakkaan tarpeen ja riskitason mukaan.

Vakuutuksella voidaan kattaa liiketoiminnan keskeytymisen aiheuttamaa katemenetystä ja ylimääräisiä kuluja sekä tietovuodon aiheuttamaa vahingonkorvausvastuuta, oikeudenkäyntikuluja ja mahdollisia viranomaisen asettamia sakkomaksuja. Lisäksi kybervakuutus korvaa kybervahinkoon liittyviä IT-asiantuntijoiden, maineenhallinnan konsulttien sekä juridisen avun aiheuttamia kustannuksia. Osa riskeistä voidaan vakuuttaa myös perinteisillä omaisuus- ja keskeytysvakuutuksilla.