Tietoturvavakuutus ja kybervakuutus – mitä nämä ovat?

Tietoturvavakuutus tai kyberturvavakuutus auttaa yritystä tilanteessa, jossa yritys kohtaa äkillisen tietoturvaongelman, tietoturvapoikkeaman, tietoturvaloukkauksen…

Digitalisoitunut liiketoimintaympäristö aiheuttaa yritykselle erilaisia riskejä. Kybervakuutus on yksi keino hallita näitä riskejä. Vakuutuksen avulla yritys voi siirtää osan riskeihin liittyvistä kustannuksista vakuutusyhtiölle.

Millaisia asioita tietoturvavakuutus korvaa?

Tietoturvavakuutuksista mahdollisesti korvattavia kuluja muodostuu erilaisista asioista. Korvauskäytännöt vaihtelevat vakuutusyhtiöittäin. Kannattaa miettiä oman yrityksen tarpeita ja valita vakuutukset sen perusteella.

Erilaisten tietoturvaongelmien selvittäminen ja ongelmista palautuminen vaatii aikaa ja tekijöitä. Usein kyseessä on erityisosaamista vaativa asiantuntijatyö, joka tietysti maksaa enemmän, kuin normaali IT-ylläpitotyö.

Korvattavia kuluja voi syntyä esimerkiksi tietoturvapoikkeaman selvittämisestä, haittaohjelman poistamisesta ja tietojen palauttamisesta varmuuskopioista.

Palvelunestohyökkäys, tietomurto tai haittaohjelma voi johtaa koko liiketoiminnan keskeyttämiseen, ja tästä aiheutuu taloudellista haittaa.

Henkilötietoihin kohdistunut tietoturvaloukkaus voi edellyttää GDPR:n mukaista ilmoitusvelvollisuutta rekisteröidyille, ja tästä saattaa aiheutua kustannuksia. Lopputuloksen voi olla myös korvausvastuu rekisteröidyille.

Poikkeamaan liittyvä negatiivinen julkisuus saattaa aiheuttaa yritykselle merkittävää mainehaittaa. Vakuutuksista voi saada korvauksia erillisen viestintätoimiston käyttöön, jotta tilanteesta pystytään viestimään mahdollisimman hyvin ja ammattimaisesti.

Korvataanko lunnaat?

Yleisohje on se, että kiristykseen liittyviä lunnaita ei tule maksaa, koska tämä ruokkii rikollisuutta. Lisäksi ei ole takeita, että rikollinen pitää lupauksensa, kun hän on saanut rahat.

Vakuutus saattaa kuitenkin korvata myös kiristyksestä tai haittaohjelmista aiheutuvat lunnasvaatimukset. Tarkista tämä vakuutusyhtiöltä.

Mitä tietoturvavakuutus edellyttää yritykseltä?

Kybervakuutusten saaminen edellyttää vakuutusyhtiön suojeluohjeiden noudattamista – ja nämä ohjeet kannattaa lukea tarkkaan! Ohjeiden noudattamatta jättäminen saattaa johtaa korvauksenhakutilanteessa korvauksen alenemiseen tai korvaus voidaan jättää jopa kokonaan maksamatta.

Tyypillisesti suojeluohjeissa organisaatiolta vaaditaan vähintään hyviä käyttäjätunnus- ja salasanakäytäntöjä, asianmukaisesti ylläpidettyjä tietoturvaohjelmistoja ja säännöllisiä varmuuskopioita.

Suojeluohjeissa voidaan edellyttää myös muita asioita, kuten esimerkiksi tietynsisältöistä tietoturvapolitiikkaa. Lisäksi vakuutusyhtiö tarkastaa yrityksen tietoturvakäytännöt ennen vakuutuksen myöntämistä. Tämä edellyttää rehellisiä vastauksia tietoturvan tilasta.

Itse asiassa kokonaisuus voi tuntua jopa hieman koomiselta – tietoturva pitää olla kunnossa, jotta saat tietoturvavakuutukset.
Näiden ei kuitenkaan pitäisi olla ongelma – huolehdithan tietoturvasta muutenkin! 😉

Psst! Entäs ne GDPR-sakot, korvataanko ne?

Hallinnollisia sakkoja ja muita seuraamusmaksuja, kuten ”GDPR-sakkoja” vakuutuksista ei korvata – tämän kieltää Finanssivalvonta. Perustelut ovat itsestäänselvät:

”Finanssivalvonta ei katso hyvän vakuutustavan mukaiseksi vakuuttaa sellaista riskiä, jonka vakuuttaminen saattaisi edistää toimijoiden piittaamattomuutta sääntelyn noudattamista kohtaan ja jonka riskin vakuuttamisella kyseenalaistetaan toimijoiden velvollisuus noudattaa sitä koskevaa sääntelyä. Tällaisen riskin vakuuttaminen on ristiriidassa yhteiskunnassa yleisesti hyväksyttyjen arvojen kanssa.” (Lähde: FIVA 3/01.02/2018)

Lähteitä ja lisätietoja:

Mitkä ovat ehdottomat minimivaatimukset turvalliselle ICT-hankinnalle?

Oletko hankkimassa IT-palveluita ja pohdit niiden tietoturvavaatimuksia? Tai tarjoatko IT-palveluita muille? Euroopan unionin kyberturvallisuusvirasto ENISA:n nettisivuilla on vapaasti saatavilla ohje (01/2017), jossa kerrotaan turvallisen ICT-hankinnan ehdottomat minimivaatimukset.

Vaatimukset on kirjattu sen verran yleisesti, että ne sopivat niin palveluiden, järjestelmien kuin laitteidenkin hankintaan. Palveluntarjoajat saavat ohjeesta puolestaan tietoa, miten kokonaisuudet kannattaisi rakentaa.

Ohjeella ja siinä olevilla vaatimuksilla tavoitellaan sitä, että EU:n sisämarkkinoille tuotettaisiin turvallisia ICT-tuotteita, -järjestelmiä ja -palveluita.

Ohessa on ENISA:n kymmenen vaatimusta vapaasti suomennettuna ja tiivistettynä:

Suunniteltu turvalliseksi: Tuote tai palvelu on suunniteltu ja konfiguroitu niin, että se ei sisällä turhia tai piilotettuja toiminnallisuuksia, eikä turvattomia teknologioita.

Turvallisuuslähtöistä suunnittelua voi verrata tietosuojalainsäädännöstä tuttuun sisäänrakennettuun ja oletusarvoiseen tietosuojaan (GDPR, 25 artikla).

Noudattaa vähimpien oikeuksien periaatetta: Käyttäjätunnuksiin kytketään oletuksena vain ne käyttöoikeudet, jotka on tarpeen. Ei siis käytetä turhaan esim. pääkäyttäjätunnuksia päivittäisessä toiminnassa. Tunnukset ja salasanat on ostajan hallittavissa.

Tukee vahvaa tunnistautumista: Palvelu tai järjestelmä tukee vahvaa tunnistautumista ja varmistaa, kuka henkilö tai mikä laite on kirjautumassa. Tähän liittyy esim. kaksivaiheinen tunnistautuminen.

Kriittisen tiedon suojaus on kokonaisvaltaista: tietoa, järjestelmiä ja laitteita suojataan kunnolla, erityisesti kriittisen tiedon tallennuksen ja siirron yhteydessä.

Toimitusketjun turvallisuus on huomioitu: tuotteet, järjestelmät, laitteet jne. on alkuperäisiä eli kukaan ei ole päässyt muuttamaan niitä toimituksen aikana.

Dokumentaatio on läpinäkyvää: kokonaisuudesta on olemassa kattava ja ymmärrettävä dokumentaatio, jossa kerrotaan palvelun/järjestelmän/tuotteen toimintaperiaatteista, toiminnallisuuksista, protokollista, turvallisuudesta jne.

Turvallisuus on todennettavissa: toimittaja pystyy todentamaan sen, että tietoturvallisuus ja vaatimuslistassa olevat asiat on huomioitu elinkaaren eri vaiheissa.

Jatkuvuus on taattu: toimittaja tukee palvelun jatkuvuutta ja varmistaa, että järjestelmä pysyy turvallisena koko sen elinkaaren ajan.

Kokonaisuus on EU:n lainsäädännön alainen: toimittaja ja alihankkijat toimivat EU:n lainsäädännön alaisina. Jos heitä sitoo EU:n ulkopuolinen lainsäädäntö, tästä on kerrottava etukäteen.

Tietojen keruu on rajattua ja perusteltua: toimittaja kuvaa, mitä tietoja kerätään ja miksi.

Minimivaatimukset on järkeviä ja itsestäänselviä asioita.

Piirros on asiantuntijan lahja maailmalle

Asiantuntijoiden kannattaa avata ajatuksiaan kuvioiksi. Piirros mahdollistaa monta asiaa.

Esimerkki: Tietojärjestelmän ylläpitäjänä tiedät, miten järjestelmä on rakennettu. Tiedät mistä palasista kokonaisuus muodostuu, miten tieto liikkuu palasten välillä ja mihin tieto lopulta päätyy.

Jossain vaiheessa tulee hetki, kun kokonaisuus on avattava muille. Syy voi olla esimerkiksi järjestelmäkokonaisuuden kehitystyö, perehdyttäminen, henkilövaihdokset tai ulkopuolisen asiantuntijan hyödyntäminen.

Olet melkoinen taikuri, jos pystyt selostamaan kokonaisuuden muille niin, että he ymmärtävät sen.

On monta hyvää syytä sille, että asiantuntijoiden päässä oleva tieto muutetaan tekstiksi tai kuvioksi.

Kuvauksen hyötyjä:

(no pakkohan tähän oli kuvio tehdä 🙂 )

Oman ajatuksen selkeyttäminen

Tietojärjestelmiin liittyvien asioiden pohdinta on usein monipuolisempaa, kun asiat kirjaa paperille. Ajatustasolla selvä juttu ei olekaan todellisuudessa niin selvä.

Huomaan tämän itse käytännön työssä. Olen havainnut, että piirtämisen yhteydessä tulee huomioitua myös sellaisia asioita, joita ei ajatustasolla osannut huomioida.

Olen kuullut sanottavan, että kirjoittaminen on ajattelua. Teksti on hyvä, mutta kuva on parempi. Piirtäminenkin on ajattelua!

Kuvaus mahdollistaa keskustelun

Asiaa on helpompi pohtia yhdessä, kun kaikki näkevät saman kuvauksen. On paljon helpompaa puhua yhteisestä kuvasta, kuin pelkästä tekstistä tai toisen selostuksesta. Kuvasta kohti keskustelua:

  • Miksi teemme asian noin?
  • Miksi tieto liikkuu tuota kautta?
  • Miksi samaa tietoa tallennetaan kahteen paikkaan?
  • Miksi tietoliikenne on salattu tuolla, mutta ei täällä?

Osaamisen jakaminen – toiminnan jatkuvuus

Hyvästä kuvasta saa nopeasti yleiskäsityksen organisaation tietojärjestelmistä ja niiden välisistä yhteyksistä. Kuvausta on mahdollista käyttää esimerkiksi uuden työntekijän perehdyttämisessä tai ulkopuolisen avun hyödyntämisessä. Konsultti kiittää ja apua saa nopeammin.

Erityisesti tietojärjestelmien osalta ei ole järkevää, että kaikki tieto on vain yhden henkilön päässä. Yrityksen kannalta on olennaista, että tieto on muidenkin hyödynnettävissä. Järjestelmästä vastaava asiantuntija voi esimerkiksi sairastua tai lähteä yrityksestä. Toisen henkilön on hankala ottaa kokonaisuutta haltuun, jos sitä ei ole kuvattu. Yksinkertainenkin kuvaus voi pelastaa yrityksen isoilta ongelmilta.

Piirtäkää perkele!

10 tietoturvavinkkiä etätöihin

Lapsi uittaa läppärin mehussa. Koira järsii koneen virtajohtoa. Sukulainen haluaa näyttää ”yhden hyvän jutun netistä” … klik klik, yes hyväksyn. Puoliso sentään shoppaa omalla koneellaan.

Ihan perus etätyöpäivä? Toivottavasti ei.

Etätyö laajentaa yrityksen IT-ympäristöä työntekijöiden koteihin. Tämä luo erilaisia haasteita tietoturvallisuudelle niin organisaation kuin työntekijänkin näkökulmasta. Suurin uhka ei aina ole rahan perässä kärkkyvät verkkorikolliset.

Etätyön tietoturva muodostuu monesta asiasta. Erityisesti korostuvat työntekijän osaaminen ja oma vastuu ympäristön fyysisestä ja teknisestä turvallisuudesta. Kotitoimistolla on huomioitava eri asioita kuin työpaikalla.

Ohessa kymmenen käytännön vinkkiä tietoturvallisempaan etätyöhön. Tutustu vinkkien sisältöön tarkemmin Turun AMK:n Talk-verkkolehden artikkelissa Etätyön tietoturva – 10 käytännön vinkkiä.

Vinkit:

  1. Käytä työtehtävien tekemiseen työantajan tarjoamia laitteita.
  2. Suojaa laitteiden fyysistä turvallisuutta etätyöpisteessä.
  3. Hyödynnä suojattuja verkkoyhteyksiä ja -laitteita.
  4. Tiedosta kodin muista älylaitteista aiheutuvat riskit.
  5. Asenna tietoturvapäivitykset ajallaan.
  6. Tiedosta IT-palveluiden normaali toiminta etätyöympäristössä.
  7. Tallenna työtiedostot sovittuun paikkaan.
  8. Jaa tietoa järkevästi ja turvallisesti.
  9. Käytä etätöissä työnantajan tarjoamia ja ohjeistamia IT-palveluita.
  10. Ota selvää, miten varmuuskopiointi toimii.

Tietoturva ei ole pelkästään tiedon piilottelua ulkopuolisilta. Yhtä tärkeää on varmistaa tiedon saatavuus ja laitteiden toimivuus silloin, kun niitä oikeasti tarvitaan.

Pari hyvää lisätietosivua:
Kyberturvallisuuskeskus: Tee etätyöstä turvallista vinkkiemme avulla.
SANS Security Awareness Work-from-Home Deployment Kit.

ps. koiralle ei käynyt mitään.

Miksi yrityksiä hakkeroidaan?

Päivittäinen tietoturvauutisointi pistää miettimään. Verkkorikollisuus on jatkuvasti pinnalla. Onko olemassa yritystä, joka ei kelpaisi kohteeksi?

Rikollisia kiinnostaa meidän rahat, resurssit ja osaaminen.

Rahaa yritetään saada monin eri tavoin. Rahaa rosvotaan väärennetyillä laskuilla ja maksutiedoilla, varastettuja (henkilö)tietoja myymällä ja kiristämällä.

Resursseista rikollisia kiinnostavat esimerkiksi erilaiset tietojärjestelmät. Verkkomedioissa on uutisoitu esimerkiksi siitä, että eri korkeakoulujen kirjastoihin on tehty kohdennettuja tietoturvahyökkäyksiä, joilla tavoitellaan pääsyä kirjastojen tietokantoihin.

Kyllä, kirjatkin viedään käsistä!

IT-resurssejamme (läppärit, puhelimet, palvelimet, IoT-laitteet jne.) yritetään puolestaan valjastaa osaksi laajempia verkkohyökkäyksiä. Osaamisen varastaminen on käytännössä vakoilua. Onneksi vanha vitsaus ”meillä ei ole mitään salattavaa” jäi viime vuosikymmenelle. Toteamusta ei ole hetkeen kuulunut.

Välillä tuntuu siltä, että verkkorikollisille kelpaa kaikki.

Kyberturvallisuuskeskuksen julkaisema Kybersää-raportti avaa hyvin suomalaisten organisaatioiden tietoturvahaasteita. Tässä muutama lumettoman talven värinen poiminta nykytrendeistä:

  • ”Office 365 -tilien kalastelu johtaa edelleen tietomurtoihin päivittäin.” (Kybersää 10/2019)
  • Tietomurroissa ”…Office-365-tapaukset ovat uusi normaali”. (Kybersää 1/2020)

On siellä Kybersäässä myös aurinkoisempia uutisia. Kannattaa tutustua!