Boardman Grow VIP-tilaisuus Boardmanin Olohuoneessa 24.4 käsitteli kasvuyritysten kyberriskien hallintaa. Aihetta alustamassa olivat Marshin Jani Ansaharju sekä Panu Peltomäki. Tilaisuuden avasi ja keskustelua johti Marshin toimitusjohtaja Tuomo Kemppainen.

Kyberuhat ovat globaalisti kasvava riski

Kyberriskien laaja kirjo on suurimpia globaalisti kasvavia riskejä. Marshin toimitusjohtaja Tuomo Kemppainen korostaa, että teknologia on keskeisessä mutta myös herkässä osassa kaikkien yritysten toiminnassa, ja yritysten tulee huolehtia omasta riskienhallinnastaan. Nämä riskit kuuluvat myös enenevissä määrinhallitustasolle – on tärkeää ymmärtää, miten kyberriskit voivat toteutuessaan vaikuttaa yritysten strategian toteuttamiseen.

World Economic Forumin laatima vuosittainen globaali riskiraportti vahvistaa tätä näkemystä. Globaalien riskien kartassa teknologiset riskit, kuten kyberhyökkäykset ja datapetokset ovat saaneet jalansijaa ympäristöllisten riskien lisäksi, ja erityisesti eurooppalaisten vaikuttajien vastauksissa kyberuhat olivat prioriteettilistan kärjessä. Kaikki yritykset ovat nykyään jollain tavalla riippuvaisia IT-järjestelmistä, ja kyse onkin nykyään ei niinkään siitä, tapahtuuko kyberhyökkäys, vaan milloin se tapahtuu ja miten sen vaikutukset voidaan minimoida.

Jani Ansaharju toteaa, että tavallisimmin kyberuhkina koetaan esimerkiksi hakkereiden hyökkäykset, haitta- ja kiristysohjelmat, mutta kyberuhat voivat usein olla myös vahinkoja, inhimillisiä virheitä tai tahattomia järjestelmävikoja. Marshin lähtökohtana on se, että kyberriskit ovat nimenomaan liiketoiminnan riskejä. Jos toiminnanohjausjärjestelmä kaatuu tai verkko katoaa, vahinko operatiivisuudelle sekä liiketoiminnalle on välitön. Jokaisessa yrityskoossa pienistä yhden ihmisen yrityksistä isoihin korporaatioihin on omat yksilölliset riskinsä, mutta jos skenaarioita pystytään tunnistamaan ja niiden riskejä kartoittamaan, on mahdollista luoda työkaluja uhkien minimoimiseen.

Uhkien kartoittaminen

Riskien arvioinnissa on kolme kattavaa konseptia, joita jokaisen yrityksen tulisi prosessoida. Ensimmäinen on haavoittuvuusanalyysi. Helposti auditoitavassa analyysissa on tärkeää selvittää, miten verkot on segmentoitu, ovatko palomuurit kohdillaan, ja ovatko esimerkiksi salasanakäytännöt kunnossa. Toinen vaihe on vahinkojen arviointi – yrityksen on selvitettävä, mitkä ovat heidän tärkeimpiä IT-järjestelmiään, ja mitä tapahtuu, jos ne kaatuvat? Kolmas konsepti on uhka-arviointi. Yrityksen on tutkittava merkittävimpiä uhkiaan ja analysoitava ympäristöään ajankohtaisten valmiuksien luomiseen. Yritysten rajalliset resurssit voidaan priorisoida näitä kolmea konseptia yhdistäville tekijöille.

Marsh on toteuttanut kyberriskityöpajoja, joissa asiakkaan kanssa käydään läpi mahdollisia kyberuhkaskenaarioita. Kun skenaariot on arvioitu, niiden perusteella voidaan luoda kartta vaikutuksista yrityksen talouteen, maineenhallintaan ja operatiivisuuteen sekä kartoittaa uhkien laukaisijat. Skenaarioita pohtivat yritykset ovat Marshin kokemuksen mukaan melko hyvin kartalla mahdollisista uhkistaan, mutta harva on miettinyt ja kartoittanut taloudellisia seurauksia.

Marsh käyttää myös kvantifiointimalleja, joilla asiakkaille pystytään mallintamaan mahdollisia seuraamuksia pienen datamäärän avulla. Ansaharju korostaa, että joskus kyberhyökkäysten havaitsemisessa saattaa kulua aikaa, ja voi pahimmassa tapauksessa kestää kuukausia, että tilanne saadaan sataprosenttisesti hallintaan.

Riskit hallintaan kattavalla vakuutuksella

Panu Peltomäki toteaa, että valmiiden vakuutustuotteiden suoja on yleensä melko kapea. Vakuutuksen on pystyttävä reagoimaan laajasti monenlaisiin kyberuhkiin, joten on hyvä harkita räätälöityjä vaihtoehtoja, joissa kohdennetut uhat on kartoitettu ja erityiset riskit tunnistettu. Jokainen tapaus on yksilöllinen, joten yhdentyyppinen vakuutus ei sovi kaikille.

Terminologia aiheuttaa usein hämmennystä, ja Peltomäki toteaakin, että kybervakuutusten sijaan pitäisi puhua tietojärjestelmävakuutuksista. Moni tunnistaa perinteiset kyberuhat, kuten hakkerien hyökkäykset, mutta hyvin rakennettu vakuutus kattaa tietojärjestelmien kaatumisen myös muista syistä, oli se sitten inhimillinen virhe, tahallinen teko, ohjelmistovirhe tai vaikkapa tuotannonohjauksen järjestelmän päivitys. Kasvavassa määrin on tärkeää pohtia jatkuvuussuunnitelmia ja toimintasuunnitelmia, jotta yritys tietää miten toimia kyberuhan toteutuessa. Vakuutusyhtiöt ovat useimmiten kiinnostuneita juuri yrityksen valmiuksista vastata mahdollisiin uhkiin.

Kuvat ja teksti Emma Koivusalo