Yritykset tahtovat varautua kyberuhkiin entistä paremmin, joten erilaiset tietoturva- ja kybervakuutukset ovat yleistyneet. Vakuutuksia tarjoavat yhtiöt ovat kuitenkin Helsingin yliopiston ja kansainvälisten tutkijoiden mukaan liian varovaisia tarjoamaan laajoja kybervakuutuksia. Syntyvät korvausriskit mitoitetaan vakuutuksissa turhankin isoiksi.
Vakuuttajat pelkäävät, että korvaussummat kasvavat nopeasti suuriksi, koska vakuutuksia ottaneet yritykset ovat it-järjestelmiensä kautta verkottuneet keskenään monin tavoin. Tällöin mahdollinen kyberhyökkäys voisi vaikuttaa kerralla moniin yrityksiin.
Kansainvälisen tutkijaryhmän mukaan vakuutusyhtiöt yliarvioivat silti usein niille koituvat riskit, sillä laajakaan kyberhyökkäys asiakasyritykseen ei välttämättä aiheuta suuria korvauksia. Vakuutusyhtiöillä ei ole syytä liikaan varovaisuuteen, koska yritysten verkostoista aiheutuvat riskit vakuuttajille eivät ole niin suuria kuin mitä ne arvioivat.
Tutkijat osoittivat matemaattisen analyysin avulla, että IT-järjestelmien verkottuneisuudella on todellisuudessa vain pieni vaikutus siihen, kuinka suuri riski yksittäiselle kybervakuutusta tarjoavalle vakuutusyhtiölle lopulta tulee. Riski oli pieni myös vakavien kyberhyökkäysten tapauksessa.
”Tutkimus osoittaa, että pitkälti IT-järjestelmiin perustuvan liiketoimintaverkoston rakenne ei vaikuta merkittävästi yksittäisen vakuuttajan taloudelliseen riskiin, sanoo yksi tutkimuksen tekijöistä”, tietojenkäsittelytieteen professori Sasu Tarkoma Helsingin yliopistosta.
Hänen mukaansa taloudellisen riskin muodostumiseen vaikuttavat merkittävästi enemmän yritysten markkina-arvo sekä riippuvuudet yksittäisistä IT-palveluista. Saatu tulos voisi rauhoitella vakuutusyhtiöitä, koska vakuuttajien näkökulmasta IT-järjestelmien toimintaa ja riskiä liiketoimintaverkostoissa on ollut vaikea mallintaa.
LISÄÄ: Raportti “When Are Cyber Blackouts in Modern Service Networks Likely? A Network Oblivious Theory On Cyber (Re)Insurance Feasibility”, University of CambridgeComputer Laboratory, lokakuu 2018 (LINKKI, pdf). Raportti on hyväksytty julkaistavaksi ACM Transactions on Management Information Systems-lehdessä.
TAUSTAA: Riskit kasautuvat it-järjestelmien kautta
Erilaiset kyberturvallisuuden riskit liittyvät usein toisiinsa, koska yritykset ovat verkottuneet keskenään erilaisten it-järjestelmien ja palveluketjujen kautta. Niitä tarjoavat suuret ohjelmistoyritykset, kuten Oracle, SAP, HP Enterprise ja Fujitsu.
Jos tällaiseen suureen ohjelmistoyritykseen kohdistuu kyberhyökkäys, sen vaikutukset voivat säteillä kaikkiin niihin yrityksiin, jotka käyttävät ohjelmistoyrityksen palveluita. Hyökkäyksen aiheuttamat taloudelliset menetykset voivat liikkua miljardeissa dollareissa.
”Yksi haittaohjelman sisältävä sähköpostiviesti voi lamauttaa kokonaisen organisaation. Vaikutus voi säteillä kaikkiin muihinkin yrityksiin, joiden kanssa ensimmäinen yritys on verkottunut”, kertoo yksi mukana olleista tutkijoista, tutkija Ranjan Pal Michigan Ann Arborin yliopistosta.
Hänen mukaansa jos kaikki nämä yritykset alkavat vaatia korvauksia, kybervakuuttajalle tulee helposti kovat kustannukset. Tästä syystä kybervakuutuksien tarjoajat ovat varovaisia, ja pitävät omavastuumaksut korkeina.
Kuva: Helsingin yliopisto / Mostphotos
Päivitetty