14 maalis Kuukauden kysymys: Tarvitseeko yritys tietoturvavakuutuksen?
Kysymykseen vastasi tietoturvapäällikkö Ville Stolpe:
“Moni vakuutusyhtiö on tuonut viime aikoina markkinoille tietoturva- ja kyberturvallisuusvakuutuksia. Organisaatioiden miettiessä, onko tällaiselle vakuutukselle tarvetta, kannattaa heidän aloittaa tarvekartoitus liiketoiminnan riskien arvioimisesta. Silloin, kun riskiarvioinnin kautta nousee esille sellaisia suuria riskejä, jotka liittyvät tietojärjestelmissä tapahtuvaan tietojenkäsittelyyn, kannattaa harkita yhtenä kontrollina riskin siirtämistä vakuutusyhtiölle. Tällaiset riskit uhkaavat yleensä koko liiketoiminnan jatkuvuutta, joten vakuutus saattaa olla tarpeellinen.
Jos organisaatio ei toteuta riskiarviointia omassa toiminnassaan, niin yleisesti vakuutusta voisi suositella organisaatiolle, jossa käsitellään arkaluonteista tietoa tai jossa mahdollinen tietomurto tai muu tietoturvahäiriö saattaisi estää liiketoiminnan jatkuvuuden. Me suosittelemme kuitenkin aina riskiarvioinnin tekemistä ennen vakuutuksen ottamista. Tällöin voidaan varmistua riskeistä ja sitä myöten tietoturvavakuutuksen tarpeellisuudesta.
Kaikkiin tietoturvavakuutuksiin liittyy myös velvoitteita vakuutuksen ottajalle. Vakuutukset eivät siis automaattisesti korvaa organisaatiolle tietoturvaan liittyviä haittoja ja kustannuksia, vaan vakuutuksen ottajan täytyy täyttää vakuutusehdoissa mainitut velvoitteet. Organisaatiolle, jossa ei ole panostettu tietoturvaan, vakuutuksen ottaminen saattaa olla ensimmäinen askel kohti tietoturvallista liiketoimintaa. Tällaisissa tapauksissa vakuutuksen ottaminen on ehdottomasti hyvä asia, koska organisaation tietoturva paranee vakuutusehtojen täyttämisen myötä.
Organisaation ei kuitenkaan kannata tietoturvavakuutusta ottaa, jos vakuutuksen yleiset ehdot ovat liian tiukat organisaatiolle toteuttaa. Liian tiukat ehdot voivat johtaa siihen, että vakuutusehtojen täyttäminen tulee organisaatiolle paljon kalliimmaksi kuin todelliset riskit ovat. Vakuutuksen hinta on usein suurempi, jos siihen liittyy tiukkoja ehtoja, mutta ehtojen tuomia kustannuksia ja investointeja kannattaakin harkita vakuutuksen hinnan ja korvausehtojen mukaan.
Organisaation kokoluokan ja vakuutettavan euromäärän kasvaessa tietoturvaan liittyvät velvoitteet usein muuttuvat ja lisääntyvät vakuutuksen ottajalle. Tietoturvavakuutusten ehdoissa on kuitenkin sellainen ongelma, että niiden vaatimuksia vakuutuksen ottajalle ei ole määritelty kovin tarkasti, eli velvoitteiden sisältöön ei oteta kantaa. Ehdoissa saatetaan esimerkiksi mainita, että yrityksellä tulee olla tietoturvapolitiikka määriteltynä, mutta ehdoissa ei oteta kantaa siihen, mitä tietoturvapolitiikkaan tulee sisältyä. Omasta mielestäni nämä vaatimukset tulisi olla tarkemmin määriteltynä vakuutusehdoissa tai sitten vakuutusyhtiöiden tulisi tehdä tietoturva-auditointi vakuutuksen ottajalle.
Alla olevissa vertailutaulukoissa on käyty läpi eri vakuutusyhtiöiden tietoturva- ja kyberturvallisuusvakuutusten verkosta löytyviä yleisiä ehtoja. Vertailutaulukoista löytyy, mitä vakuutukset korvaavat ja mitä velvoitteita vakuutukset asettavat vakuutuksen ottajalle. Hintoihin ei ole otettu kantaa, koska muuttuvia tekijöitä on ainakin organisaation kokoluokka ja toimiala.”
Tietoturvavakuutusten korvausvelvollisuudet vakuutusyhtiöittäin:
Tietoturvayhtiöiden asettamat velvoitteet vakuutetuille:
Emme vastaa mahdollisista taulukoissa esiintyvistä virheistä. Kannattaa aina varmistaa tarkemmat tiedot vakuutusyhtiöltä.
Julkaisemme kuukausittain asiakkailta tulleita kysymyksiä ja asiantuntijoidemme vastauksen niihin. Osa kysymyksistä tulee olemaan usein kysyttyjä kysymyksiä ja osa poimitaan päivittäisistä asiakaskohtaamisista. Jos mieltäsi askarruttaa jokin tietoturvaan, tietosuojaan tai tietohallintoon liittyvä kysymys, johon ehkä joku muukin haluaisi vastauksen, voit laittaa kysymyksesi tulemaan sähköpostilla osoitteeseen annukka.talvitie@opsec.fi. Emme voi luvata, että julkaisemme kaikki kysymykset vastauksineen, mutta valitsemme sellaisia kysymyksiä, joihin vastaamalla voimme auttaa useampaa yritystä kerrallaan.
