Kybervakuutus on vielä monille yrityksille vieras vakuutus, vaikka monenlaiset yritykset sen avulla voisivat varautua kyberhyökkäysten aiheuttamiin taloudellisiin kustannuksiin.
Nykypäivänä kuitenkin lähestulkoon jokaisessa yrityksessä on jotain tietojärjestelmiä käytössä – vähintäänkin sähköposti ja toimisto-ohjelmisto pilvitallennuksella. Tunnistaudumme sähköisesti ja teemme sähköisiä allekirjoituksia erilaisissa järjestelmissä. Meillä on arkaluonteisia henkilötietoja työntekijöistämme ja mahdollisesti myös asiakkaistamme.
Tämä artikkeli on viimeinen osa kolmesta, ja tarkoituksenani on auttaa tekemään kyberturvallisuudesta vähemmän vierasta, jotta kyberriskien hallinta olisi helpompaa sinunkin yrityksessäsi.
Tässä artikkelissa
Mikä on kybervakuutus?
1. Liiketoiminnan keskeytysvakuutus
2. Kyberhyökkäyksestä aiheutuneet kustannukset (itselle)
3. Toiselle aiheutuneet vahingot, eli vastuuvakuutus
Sukelletaan niihin hieman syvemmälle seuraavaksi.
Itselle aiheutuva keskeytysvahinko ja tiedostojen palautus
Kybervakuutus korvaa vahingon, joka on suoranainen seuraus tietomurrosta, tietokoneviruksesta, palvelunestohyökkäyksestä tai haittaohjelmasta.
Lisäksi korvataan
- kohtuulliset kulut tietomurron syiden selvittelystä
- tuhoutuneiden, poistettujen tai muuten käyttökelvottomiksi tulleiden tietojen, tiedostojen, ohjelmistojen tai verkkojen palauttamisesta.
Keskeytysvahingon määrä lasketaan keskeytysvakuutuskatteen määrästä, joka olisi toteutunut, ellei vahinkoa olisi sattunut. Keskeytysvakuutuskate saadaan, kun liikevaihdosta vähennetään muuttuvat kulut.
Toiselle aiheutuneet vahingot
Kybervakuutuksesta korvataan tietoturvaloukkauksen aiheuttama taloudellinen vastuu, josta vakuutettu on korvausvastuussa.
Lisäksi korvataan välttämättömät ja kohtuulliset kulut tietoturvaloukkauksen syiden selvittelystä sekä kulut tuhoutuneiden, poistettujen tai muuten käyttökelvottomiksi tulleiden tietojen, tiedostojen, ohjelmistojen tai verkkojen palauttamisesta.
Vakuutusyhtiö selvittää, onko vakuutuksenottaja korvausvelvollinen vahingosta.
Vakuutuksesta korvataan vahingon selvittelyn kustannuksia sekä oikeudenkäyntikuluja sekä itse vahingonkorvaus, jonka vakuutettu on velvollinen maksamaan.
Muut kustannukset
Muina kustannuksina kybervakuutuksesta korvataan vahinkotapahtuman seurauksena kustannuksia kriisinhallintatoimenpiteistä kuten vahinkotapahtuman selvittämisestä ja torjumisesta, lainsäädännön edellyttämästä tiedottamisesta ja lakimiesavun käytöstä.
Kenelle kybervakuutus on tarkoitettu?
Kybervakuutus sopii monenlaisille yrityksille. Tärkeintä on pohtia:
- miten tietojen menetys vaikuttaisi yritykseni toimintaan?
- millaista vahinkoa säilyttämillämme tiedoilla voi aiheuttaa muille?
- millaista vahinkoa järjestelmiemme toimimattomuus tai vääränlainen toiminta voisi aiheuttaa muille?
- kuinka yrityksemme pystyisi jatkamaan liiketoimintaa, ilman että käytössä olevat tietojärjestelmät toimisi? Vai aiheutuisiko toimintaan katkos ja sitä myöden liikevoiton menetystä?
- Onko yrityksessämme jo muita riskienhallintakeinoja kyberriskien hallintaan?
Kuten aikaisemmin jo totesimme, että vakuutuksesta korvataan kuluja, kolmansille osapuolille aiheutuneita välittömiä kustannuksia sekä liiketoiminnan keskeytymiskuluja.
Lisäksi vakuutuksen palveluun kuuluu korvausvastuun selvittäminen sekä suora kontakti kybervahinkoihin erikoistuneisiin kumppaneihin, jotka voivat olla merkittävä apu vahinkotilanteessa.
Muistakaamme kuitenkin, että vakuutus on viimesijaisimpia riskienhallintakeinoja, paras suoja saadaan usean riskienhallintakeinon yhdistelmällä.
Mitä kybervakuutus ei korvaa?
Kybervakuutuksesta ei korvata vahinkoa samaan konserniin kuuluvalle yhtiölle tai sellaiselle yritykselle, joka enemmistöomistuksen perusteella kuuluu samaan määräysvaltaan kuin vakuutuksenottaja.
Vakuutuksesta ei korvata myöskään sopimuksella laajennettua vastuuta eikä loukkauksia immateriaalioikeuksia kohtaan.
Jotkin kybervakuutukset eivät korvaa kyberhyökkäyksen seurauksena rikkoutuneita laitteita (tietokoneet, muut verkkolaitteet). Näissä on kuitenkin vakuutusyhtiökohtaista vaihtelua.
Vakuutus ei korvaa sakkoja (esimerkiksi tietosuojaloukkauksesta langetettu sakko), eikä kurssi- tai korkotappioita.
Joillakin vakuutusyhtiöillä esiintyy myös seuraavia rajoitusehtoja (eli korvauksen poissulkevia lauseita):
- Kustannusvakuutuksesta ei korvata vahinkoa, kun tietovarkauden tai tietoväärennöksen on tehnyt vakuutuksenottajan omassa palveluksessa oleva henkilö.
- Kustannusvakuutuksesta ei korvata vahinkoa, jos tietoihin ja tietoverkkoon pääsyä ei ole estetty käyttäjätunnuksella ja salasanalla, sormenjälkitunnisteella tai vastaavalla henkilökohtaisella tunnisteella.
- Jos ohjelmisto on keskeneräinen.
- Päivittämätön palomuuri ja virustorjuntaohjelma
Rajoitusehdot ovat yhtä tärkeitä kohtia vakuutusehdoissa kuin ”korvattavat tapahtumat” kohta, sillä ne ovat niitä yritykselle itselleen kannettavaksi jääviä riskejä.
Millaisia suojeluohjeita kybervakuutuksiin liittyy?
Suojeluohje on vakuutusehtoihin liitetty ohjeistus, jolla vakuutusyhtiö velvoittaa vakuutuksenottajaa toimimaan vahinkoa estävällä tai rajoittavalla tavalla.
Jos suojeluohjetta ei noudata, vahinkotilanteessa vakuutusyhtiöllä on oikeus madaltaa maksettavaa korvausta suojeluohjeen noudattamatta jättämisen perusteella. Myös kybervakuutuksissa voi esiintyä suojeluohjeita.
Osa vakuutusyhtiöistä vaatii vain, että palomuurin ja virustorjuntaohjelmien päivitykset ovat ajan tasalla.
Tässä esimerkkinä muutamia suojeluohjeita:
- Vakuutuksenottajan on nimettävä henkilö, jonka tehtävänä on vastata tietoturvallisuudesta.
- Salasanojen on oltava vähintään 8 merkkiä pitkiä, niissä on oltava isoja ja pieniä kirjaimia, erikoismerkkejä ja numeroita.
Salasanoja on säilytettävä huolellisesti ja erillään käyttäjätunnuksista. Salasanoja ei saa säilyttää tietolaitteen välittömässä läheisyydessä. - Samaa salasanaa ei saa käyttää yrityksen ohjelmissa ja laitteissa kuin työntekijän henkilökohtaisessa käytössä olevissa ohjelmissa ja laitteissa.
- Tietolaitteet on varustettava virustorjuntaohjelmistolla ja palomuurilla, jotka on päivitettävä säännöllisesti uusimpiin saatavilla oleviin ohjelmistoihin.
- Tiedostojen varmuuskopiointi on tehtävä vähintään viikoittain ja varmuuskopiot on säilytettävä alkuperäisistä tallennuspaikoista erillään siten, etteivät ne vahingoitu samanaikaisesti alkuperäisten tiedostojen kanssa.
- Kaikki käytössä olevat ohjelmistot on päivitettävä ohjelmistojen valmistajien suositusten mukaisesti.
- Kadonneesta tietolaitteesta on ilmoitettava tietoturvallisuudesta vastaavalle henkilölle välittömästi ja mikäli laitteessa on tiedostojen poistamismahdollisuus, tiedot on poistettava välittömästi.
- Kun tietolaitetta ei käytetä, laite on säilytettävä lukitussa tilassa siten, että tilan ulkopuolelta ei ole suoraa näköyhteyttä laitteeseen.
Kybervakuutuksen hankinta
Kybervakuutuksen saa lähes jokaisesta yritysvakuutuksia tarjoavasta vakuutusyhtiöstä. Yleensä vakuutusyhtiö vaatii, että yrityksen toiminnan ja omaisuuden vakuutukset ovat vakuutettuna samassa vakuutusyhtiössä.
Näin ei kuitenkaan ole kaikilla: jotkin vakuutusyhtiöt tarjoavat kybervakuutuksen asiakkailleen yhteistyökumppaninsa kautta.
Vakuutusta hankittaessa ilmoitetaan yrityksen harjoittaman liiketoiminnan laajuus ja laatu, liikevaihdon määrä, sekä pyydetään vakuutusmäärät vakuutukselle.
Keskeytysvakuutuksen vakuutusmäärä, eli keskeytysvakuutuskate lasketaan liikevaihdon ja muuttuvien kulujen erotuksesta.
Keskeytysvakuutusta varten ilmoitetaan myös, kuinka pitkälle ajalle vakuutus halutaan kattamaan mahdollista keskeytymistä. Tätä kutsutaan vastuuajaksi.
Tavanomaisissa kyberhyökkäyksissä liiketoiminnan keskeytymisen pituus riippuu hyvin paljon siitä, kuinka hyvin suunniteltu ja testattu palautusmenettely yrityksellä on. Onko varmuuskopiot olemassa vahingoittumattomina, saadaanko ne palautettua ongelmitta?
Vakuutuksen hintaan vaikuttaa valitut vakuutusmäärät, keskeytysvakuutuksen vastuuaika sekä yrityksen liikevaihto.
Ota tehtäväksesi tarkistaa yrityksenne kyberriskienhallinnan tilanne
Tämän artikkelin luettuasi olet toivottavasti saanut perusymmärryksen, mikä kybervakuutus on ja mitä ovat siihen liittyviä tärkeitä tietoja.
Artikkelisarjan ensimmäisessä osassa pureuduimme kyberriskeihin ja toisessa osassa kyberriskien hallintakeinoihin.
Nyt kannattaa tarkistaa myös yrityksen vakuutuksien tiedot, jotta vahinkotilanteessa ei tulisi yllätyksiä. Lisäksi on syytä vilkaista muut riskienhallintatoimet & suunnitelmat ja tarvittaessa päivittää ne.
Jos tarvitset apua vakuutuksien tarkastuksen kanssa, tarjoamme maksuttoman alkukartoituksen sellaisille yrityksille, joilla on vähintään 10 työntekijää. Käymme tällöin yhdessä yrityksenne vakuutusturvan läpi ja tunnistamme tarvittavat toimenpiteet.
Alkukartoituksen jälkeen voit päättää, haluatko saada vakuutusyhtiöstä riippumattoman vakuutusasiantuntijan käyttöösi esimerkiksi vakuutusten hoitopalvelun tai vakuutusten kilpailutuspalvelun muodossa.
Alkukartoitus ei sido ostamaan palveluita, vaan on työnäyte, jonka avulla haluamme osoittaa ammattitaitomme ja työskentelytapamme. Sinä voit rauhassa arvioida, voisiko meistä olla hyötyä yrityksesi vakuutusasioiden hoidossa.
Meillä on myös hyvä tietoturvallisuuteen erikoistunut IT-kumppani, jonka kanssa voimme toteuttaa kyberriskien kartoituksen yrityksellenne ja laatia tarvittaessa korjaavien toimenpiteiden suunnitelma. Halutessanne voitte jatkaa työskentelyä oman IT-kumppaninne kanssa tai hyödyntää samaa yritystä kyberriskien hallinnassa.
Kuinka otan yhteyttä?
- Varaa puhelinaika sähköisestä kalenteristamme
- Soita meille 044 248 0053
- Whatsapp chatin kautta (oikea alakulma)
Oliko tästä sinulle hyötyä? Tilaa blogit sähköpostiisi.
Haluaisitko saada lisää käytännönläheisiä vinkkejä vakuutusten hoitoon ja hallinnoimiseen liittyen? Tilaa blogit kätevästi sähköpostiisi. Lähetämme viestejä enintään kerran kuukaudessa ja tilauksen voit perua milloin tahansa.
Kerro kaverille tai ota talteen
Lue lisää!
Panostamme jatkossa yhä enemmän ennaltaehkäisevään riskienhallintaan
Mikä on Toolbox-keskustelu ja miten se voi auttaa työturvallisuudessa?
