Kyberriskien arviointi ja kybervakuuttaminen : kolmannet osapuolet kyberriskien lähteenä
Rytkönen, Sakari (2018)
Rytkönen, Sakari
2018
Kauppatieteiden tutkinto-ohjelma - Degree Programme in Business Studies
Johtamiskorkeakoulu - Faculty of Management
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2018-05-16
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:uta-201805301827
https://urn.fi/URN:NBN:fi:uta-201805301827
Tiivistelmä
Kyberriskit ovat nousseet nopeasti yhdeksi vakavimmista yrityksiä ja yhteiskuntia uhkaavista riskeistä. Ne ovat saaneet julkisuudessa paljon huomiota, koska suurissa tietomurroissa on vuotanut jopa kymmenien miljoonien asiakkaiden luottamuksellisia tietoja. Kyberriskit aiheuttavat yrityksille suoria taloudellisia haittoja sekä epäsuoria vahinkoja, kuten mainehaittoja. Yritykset käyttävät liiketoiminnassaan yhä enemmän kolmansia osapuolia, esimerkiksi alihankkijoita, joille he ulkoistavat tietojenkäsittelyä ja -säilytystä. Kolmannet osapuolet voivat olla haavoittuvuus koko toimitusketjulle, jolloin kyberrikolliset pääsevät yhden toimitusketjun jäsenen kautta murtautumaan muiden yritysten IT-järjestelmiin. Kolmansista osapuolista aiheutuvia kyberriskejä pidetäänkin yhtenä vakavimmista ja vaikeimmin hallittavista riskeistä.
Tämän tutkielman tavoitteena on syventyä kolmansista osapuolista aiheutuviin kyberriskeihin ja selvittää, miten niistä aiheutuvia kyberriskejä voidaan arvioida ja kuinka niitä voidaan hallita kybervakuutuksella. Lisäksi tutkielmassa syvennytään tarkastelemaan, kuinka pilvipalveluiden käyttäminen vaikuttaa yrityksen kyberturvallisuuteen. Tutkielmassa tarkasteltava aihepiiri on tieteellisessä kentässä toistaiseksi vähän kartoitettu alue, minkä vuoksi ilmiötä tutkitaan laadullisin tutkimusmenetelmin. Tutkielman empiirinen aineisto koostuu kuuden asiantuntijan teemahaastattelusta. Tutkimushaastatteluilla hankittua empiiristä aineistoa analysoidaan sisällönanalyysin keinoin.
Tutkielmassa havaitaan, että kolmansista osapuolista aiheutuvien kyberriskien arviointi on haastavaa. Tulosten perusteella kolmansista osapuolista aiheutuvia kyberriskejä arvioidaan toistaiseksi samankaltaisilla menetelmillä kuin yritykseen suoraan kohdistuvia kyberriskejä. Näkymän puuttuminen alihankkijaverkostoon ja sen IT-järjestelmiin tekee perinteisen riskienhallintatyön ongelmalliseksi, ja vakavat uhat sekä haavoittuvuudet kolmansissa osapuolissa voivat jäädä huomioimatta. Lisäksi tutkielmassa havaitaan, että pilvipalveluiden käyttäminen voi parantaa kyberturvallisuutta kokonaisuutena, jos ulkoistavan yrityksen kyberturvallisuus on heikompi kuin pilvipalveluntarjoajan. Toisaalta pilvipalveluiden käyttäminen voi heikentää kyberturvallisuutta, jos ulkoistavan yrityksen kyberturvallisuus on lähtökohtaisesti hyvä ja ulkoistettavat tiedot ovat hyvin luottamuksellisia. Tutkielmassa havaitaan, että suomalaisten vakuutusyhtiöiden tarjoamilla kybervakuutuksilla voi suojautua kolmansista osapuolista aiheutuvia vastuu- ja riippuvuuskeskeytysriskejä vastaan, kun niiden vakuuttaminen on huomioitu vakuutussopimusta tehtäessä.
Tämän tutkielman tavoitteena on syventyä kolmansista osapuolista aiheutuviin kyberriskeihin ja selvittää, miten niistä aiheutuvia kyberriskejä voidaan arvioida ja kuinka niitä voidaan hallita kybervakuutuksella. Lisäksi tutkielmassa syvennytään tarkastelemaan, kuinka pilvipalveluiden käyttäminen vaikuttaa yrityksen kyberturvallisuuteen. Tutkielmassa tarkasteltava aihepiiri on tieteellisessä kentässä toistaiseksi vähän kartoitettu alue, minkä vuoksi ilmiötä tutkitaan laadullisin tutkimusmenetelmin. Tutkielman empiirinen aineisto koostuu kuuden asiantuntijan teemahaastattelusta. Tutkimushaastatteluilla hankittua empiiristä aineistoa analysoidaan sisällönanalyysin keinoin.
Tutkielmassa havaitaan, että kolmansista osapuolista aiheutuvien kyberriskien arviointi on haastavaa. Tulosten perusteella kolmansista osapuolista aiheutuvia kyberriskejä arvioidaan toistaiseksi samankaltaisilla menetelmillä kuin yritykseen suoraan kohdistuvia kyberriskejä. Näkymän puuttuminen alihankkijaverkostoon ja sen IT-järjestelmiin tekee perinteisen riskienhallintatyön ongelmalliseksi, ja vakavat uhat sekä haavoittuvuudet kolmansissa osapuolissa voivat jäädä huomioimatta. Lisäksi tutkielmassa havaitaan, että pilvipalveluiden käyttäminen voi parantaa kyberturvallisuutta kokonaisuutena, jos ulkoistavan yrityksen kyberturvallisuus on heikompi kuin pilvipalveluntarjoajan. Toisaalta pilvipalveluiden käyttäminen voi heikentää kyberturvallisuutta, jos ulkoistavan yrityksen kyberturvallisuus on lähtökohtaisesti hyvä ja ulkoistettavat tiedot ovat hyvin luottamuksellisia. Tutkielmassa havaitaan, että suomalaisten vakuutusyhtiöiden tarjoamilla kybervakuutuksilla voi suojautua kolmansista osapuolista aiheutuvia vastuu- ja riippuvuuskeskeytysriskejä vastaan, kun niiden vakuuttaminen on huomioitu vakuutussopimusta tehtäessä.