Kyberriskit vakuutusyhtiön liiketoiminnan ja vakavaraisuuden riskinä
Luostarinen, Kasimir (2023)
Luostarinen, Kasimir
2023
Kauppatieteiden maisteriohjelma - Master's Programme in Business Studies
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2023-05-10
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202304244243
https://urn.fi/URN:NBN:fi:tuni-202304244243
Tiivistelmä
Kyberriskit ovat nousseet viimeisen vuosikymmenen aikana yritysten merkittävimpien liiketoiminnan riskien joukkoon ja viime vuosina useissa yrityksille suunnatuissa riskikyselyissä kyberriskit on myös nostettu yritysten kaikkein merkittävimmiksi liiketoiminnan riskeiksi. Trendiä on kasvattanut digitalisaatio ja teknologian kehittyminen, jonka seurauksena myös yritysten liiketoimintatavat sekä -mallit ovat kehittyneet ja sähköistyneet nopein harppauksin. Merkittävyyden kasvun taustaa selittää myös kyberriskeihin liittyvän tietoisuuden lisääntyminen. Suuren profiilin kybervahingot ovat osaltaan tehokkaasti kasvattaneet aiheeseen liittyvää riskitietoisuutta. Aihealueen ajankohtaisuutta lisää covid-19-pandemian kiihdyttämä etätyön lisääntyminen ja työnteon murros sekä Euroopassa käytävä sota, jotka lisäävät epävarmuutta sekä kyberuhkia yritysten toimintaympäristössä.
Finanssialan yritykset eivät ole kyberriskien merkittävyyden suhteen poikkeuksia ja suuren määrän henkilötietoa omaavina sekä rahamäärältään suuria transaktioita suorittavina toimijoina ne altistuvat suurelle määrälle kyberriskejä. Erityisesti vakuutusyhtiön näkökulmasta kyberriskit saavat erityispiirteen, näyttäytymällä niiden toiminnassa sekä operatiivisena riskinä että vakuutusriskinä. Operatiivisena riskinä kyberriskit näyttäytyvät vakuutusyhtiöiden päivittäisessä liiketoiminnassa, joka on pitkälti riippuvaista kyberriskeille alttiista tietojärjestelmistä ja niiden saatavuudesta. Vakuutusriskille yhtiöt puolestaan altistuvat kyberriskien vakuuttamisen muodossa. Vakuutusyhtiöiden tulee siis ottaa kyberriskit huomioon molemmista näkökulmista riittävin riskienhallinnan menetelmin, kuin myös vakavaraisuusvaatimusten ja muun sääntelyn kannalta. Kyberriskeille altistumisen arvioinnin haasteena voidaan pitää erityisesti niiden muuttuvaa ja kehittyvää luonnetta, riskikumulaatiota sekä riskeihin liittyvää epätäydellistä vahinkodataa.
Tutkielman tavoitteena on tarkastella kyberriskejä ja niiden merkittävyyttä vakuutusyhtiön näkökulmasta. Tutkielmassa vakuutusyhtiön näkökulmaa lähestytään erityisesti vakavaraisuuden ja sitä ohjaavan vakavaraisuuskehikon kautta, jossa kyberriskit huomioidaan vakuutusyhtiöihin liittyvän erityispiirteen mukaisesti niin operatiivisena riskinä kuin myös vakuutusriskinä. Osana vakavaraisuusnäkökulmaa korostuvat kyberriskien arviointi ja arvioinnissa käytettävät menetelmät sekä kybervakuutusten hinnoittelu vakuutettujen kyberriskien suuruutta vastaavaksi. Tutkielma on luonteeltaan kvalitatiivinen eli laadullinen tutkimus. Tutkielman teoriaosuus jakaantuu kolmeen lukuun, joissa käsitellään keskeisiä kyberriskeihin, kybervakuuttamiseen sekä vakavaraisuuteen liittyviä teorioita ja käsitteitä. Tutkielman tutkimusaineisto puolestaan koostuu vakuutusyhtiöiden asiantuntijoiden haastatteluista, joiden haastattelumenetelmänä käytetään puolistrukturoitua teemahaastattelua. Tutkimusaineiston analysoinnissa käytetään teoriaohjaavaa sisällönanalyysiä.
Tutkimustulokset vahvistavat olemamassa olevaa kyberriskeihin ja kybervakuuttamiseen liittyvää tutkimustietoa ja täydentävät kyberriskien arviointimenetelmiin sekä vakavaraisuuden vaikutuksiin liittyvää vähäistä tutkimusta. Tutkimuskysymyksiin vastaamalla kyberriskien voidaan todeta olevan ajankohtainen ja merkittävä riski vakuutusyhtiöiden näkökulmasta, aiheuttaen taloudellisten menetysten lisäksi myös merkittäviä mainehaittoja luottamukseen perustuvalla toimialalla toimiville yhtiöille. Puolestaan vakuutettavana riskinä kyberriskit ovat muihin vakuutuslajeihin verrattuna poikkeava riski, altistaen vakuutusyhtiöt suurelle vahinkokumulaation määrälle. Tutkielmassa havaitaan kyberriskien mittaamiseen ja arviointiin yhä liittyvän haasteita ja menetelmien olevan yhä kehittyviä. Kyberriskeihin liittyvistä haasteista huolimatta kyberriskit eivät toistaiseksi lukeudu vakuutusyhtiöiden suurimpien vakavaraisuutta uhkaavien riskien joukkoon, yhtiöiden kybervakuutuskantojen ja vakuutusmäärien ollessa yhä pienehköjä.
Finanssialan yritykset eivät ole kyberriskien merkittävyyden suhteen poikkeuksia ja suuren määrän henkilötietoa omaavina sekä rahamäärältään suuria transaktioita suorittavina toimijoina ne altistuvat suurelle määrälle kyberriskejä. Erityisesti vakuutusyhtiön näkökulmasta kyberriskit saavat erityispiirteen, näyttäytymällä niiden toiminnassa sekä operatiivisena riskinä että vakuutusriskinä. Operatiivisena riskinä kyberriskit näyttäytyvät vakuutusyhtiöiden päivittäisessä liiketoiminnassa, joka on pitkälti riippuvaista kyberriskeille alttiista tietojärjestelmistä ja niiden saatavuudesta. Vakuutusriskille yhtiöt puolestaan altistuvat kyberriskien vakuuttamisen muodossa. Vakuutusyhtiöiden tulee siis ottaa kyberriskit huomioon molemmista näkökulmista riittävin riskienhallinnan menetelmin, kuin myös vakavaraisuusvaatimusten ja muun sääntelyn kannalta. Kyberriskeille altistumisen arvioinnin haasteena voidaan pitää erityisesti niiden muuttuvaa ja kehittyvää luonnetta, riskikumulaatiota sekä riskeihin liittyvää epätäydellistä vahinkodataa.
Tutkielman tavoitteena on tarkastella kyberriskejä ja niiden merkittävyyttä vakuutusyhtiön näkökulmasta. Tutkielmassa vakuutusyhtiön näkökulmaa lähestytään erityisesti vakavaraisuuden ja sitä ohjaavan vakavaraisuuskehikon kautta, jossa kyberriskit huomioidaan vakuutusyhtiöihin liittyvän erityispiirteen mukaisesti niin operatiivisena riskinä kuin myös vakuutusriskinä. Osana vakavaraisuusnäkökulmaa korostuvat kyberriskien arviointi ja arvioinnissa käytettävät menetelmät sekä kybervakuutusten hinnoittelu vakuutettujen kyberriskien suuruutta vastaavaksi. Tutkielma on luonteeltaan kvalitatiivinen eli laadullinen tutkimus. Tutkielman teoriaosuus jakaantuu kolmeen lukuun, joissa käsitellään keskeisiä kyberriskeihin, kybervakuuttamiseen sekä vakavaraisuuteen liittyviä teorioita ja käsitteitä. Tutkielman tutkimusaineisto puolestaan koostuu vakuutusyhtiöiden asiantuntijoiden haastatteluista, joiden haastattelumenetelmänä käytetään puolistrukturoitua teemahaastattelua. Tutkimusaineiston analysoinnissa käytetään teoriaohjaavaa sisällönanalyysiä.
Tutkimustulokset vahvistavat olemamassa olevaa kyberriskeihin ja kybervakuuttamiseen liittyvää tutkimustietoa ja täydentävät kyberriskien arviointimenetelmiin sekä vakavaraisuuden vaikutuksiin liittyvää vähäistä tutkimusta. Tutkimuskysymyksiin vastaamalla kyberriskien voidaan todeta olevan ajankohtainen ja merkittävä riski vakuutusyhtiöiden näkökulmasta, aiheuttaen taloudellisten menetysten lisäksi myös merkittäviä mainehaittoja luottamukseen perustuvalla toimialalla toimiville yhtiöille. Puolestaan vakuutettavana riskinä kyberriskit ovat muihin vakuutuslajeihin verrattuna poikkeava riski, altistaen vakuutusyhtiöt suurelle vahinkokumulaation määrälle. Tutkielmassa havaitaan kyberriskien mittaamiseen ja arviointiin yhä liittyvän haasteita ja menetelmien olevan yhä kehittyviä. Kyberriskeihin liittyvistä haasteista huolimatta kyberriskit eivät toistaiseksi lukeudu vakuutusyhtiöiden suurimpien vakavaraisuutta uhkaavien riskien joukkoon, yhtiöiden kybervakuutuskantojen ja vakuutusmäärien ollessa yhä pienehköjä.