Riskienhallintaa edistämässä vai hidastamassa? : Pk-yrityksille asetetut kontrollivaatimukset kybervakuuttamisen näkökulmasta
Perttunen, Alvar (2024)
2024
Kauppatieteiden maisteriohjelma - Master's Programme in Business Studies
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
Hyväksymispäivämäärä
2024-12-13
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-2024120810845
https://urn.fi/URN:NBN:fi:tuni-2024120810845
Tiivistelmä
Kybermaailma saattaa olla pk-yritykselle käsitteenä hieman hämärä ja jopa uhkakuvia mieleen tuova, mutta käytännössä se on nykypäivänä mille tahansa liiketoiminnalle täysin välttämätön osa-alue yrityksen koosta huolimatta. Digitalisaatio mahdollistaa yrityksille valtavan määrän tietoa, tehokuutta sekä työkaluja parantaa asiakaskokemusta ja kehittää liiketoimintaa. Edistyksellä on kuitenkin myös varjopuolensa – nimittäin kyberriskit. Ne ovat mittauksissa nousseet räjähdysmäisesti merkittävimmäksi yksittäiseksi riskilajiksi; tuhansia yrityksiä ajautuu niiden vuoksi konkurssiin ja miljardeja häviää kyberrikollisuuden kitaan vuosittain. Vakuutusyhtiöiden rooli on ollut läpi historian toimia riskienhallinnan edistäjinä, eivätkä kyberriskit tee tähän poikkeusta. Yhtiöiden rooli hakee kuitenkin vielä lopullista muotoaan kyberriskien kehittyessä dynaamisesti ja kasvavien vakuutusmarkkinoiden pyrkiessä seuraamaan muutosta. Osapuolten yhteinen intressi on tietysti riskien mitigointi, mutta miten tavoitetila saavutetaan kybervakuuttamisen näkökulmasta onkin haastavampi kysymys.
Tämän tutkielman tarkoitus on syventyä kybervakuuttamiseen ja tarkemmin sen yhteen osa-alueeseen eli vakuutusyhtiöiden asettamiin kontrollivaatimuksiin. Kyberriskikontrolleilla pyritään pienentämään yrityksen riskitasoa ja suojautumaan mahdollisilta kyberriskeiltä. Niiden tavoitteena ei ole pelkästään pyrkiä keinoilla millä tahansa välttymään kyberhyökkäyksiltä, vaan myös nostamaan yrityksen valmiutta reagoida ja toipua mahdollisesta poikkeamatilanteista. Tutkielman tavoitteena on selvittää, minkälaisia vaatimuksia vakuutusyhtiöt asettavat pk-yrityksille ja mikä niiden rooli on isommassa kuvassa pk-yritysten kyberriskien hallinnan osalta. Tutkielma lähestyy käsiteltävää aihetta vakuutusyhtiöiden näkökulmasta. Tutkielma toteutetaan laadullisena tutkimuksena, joka palvelee parhaiten tavoitetta ymmärtää paremmin ilmiön taustaa ja kontrollien vaikutuksia. Teoriaosuus pohjautuu vakuutustieteen ja kyberturvallisuuden tieteenalojen kirjallisuuteen. Kyberriskien, pk-yritysten riskienhallinnan ja kontrollivaatimusten väliset suhteet pyritään määrittelemään mahdollisimman tarkasti, jotta haastatteluaineiston perusteella saatuja tuloksia voidaan peilata niitä vastaan. Empiriaosuuden aineisto on kerätty teemahaastatteluiden avulla ja analysoitu teoriasidonnaisella sisällönanalyysilla.
Kontrollivaatimusten voidaan ajatella olevan kaksiteräinen miekka kyberriskejä vastaan, toisaalta ne kertovat yritykselle vakuuttajan laajaan dataan perustuen vähimmäistason, jolla kyberturvan tulisi olla, mutta toisaalta ne voivat myös olla yrityksen liiketoimintaan epäsopivia ja vaatia yritykseltä joissain tilanteissa liian suuria resursseja niistä saatavaan hyötyyn nähden, jolloin riski saattaa jäädä kokonaan vakuuttamatta. Parhaimmillaan ne voivat motivoida ja asettaa standardin pk-yritystä kriittisen kyberturvan perustason saavuttamisessa, huonoimmillaan ne lannistavat ja hidastavat riskienhallinnan kehittymistä. Kontrollivaatimukset ovat konkreettinen mahdollisuus vakuutusyhtiöille vaikuttaa yritysten riskienhallinnan tekniseen ja hallinnolliseen tasoon ja isossa kuvassa myös toimia yhteiskunnallisena suunnannäyttäjänä, mutta tasapainon löytäminen vaatimustason ja riskinoton välillä on todellinen haaste.
Tutkielman tulosten perusteella voidaan todeta, että kybervakuuttaminen ja kontrollivaatimukset ovat tulleet pysyvästi jäädäkseen myös pk-sektorille, mutta kontrollitason vakiintumisesta ei voida vielä puhua. Vaatimukset vaikuttavat keventyvän vakuuttamisprosessin tehostamisen ja myynninedistämisen nimissä, jota pyritään paikkaamaan erilaisilla työkaluilla teknologian kehityksen myötä. Kontrolleilla on todistetusti merkittävä vaikutus kyberriskien toteutumisen todennäköisyyksiin, joten vakuuttajien valinnoilla tulee olemaan pidemmällä aikavälillä merkittävä vaikutus kybervakuuttamisen yleistyessä.
Tämän tutkielman tarkoitus on syventyä kybervakuuttamiseen ja tarkemmin sen yhteen osa-alueeseen eli vakuutusyhtiöiden asettamiin kontrollivaatimuksiin. Kyberriskikontrolleilla pyritään pienentämään yrityksen riskitasoa ja suojautumaan mahdollisilta kyberriskeiltä. Niiden tavoitteena ei ole pelkästään pyrkiä keinoilla millä tahansa välttymään kyberhyökkäyksiltä, vaan myös nostamaan yrityksen valmiutta reagoida ja toipua mahdollisesta poikkeamatilanteista. Tutkielman tavoitteena on selvittää, minkälaisia vaatimuksia vakuutusyhtiöt asettavat pk-yrityksille ja mikä niiden rooli on isommassa kuvassa pk-yritysten kyberriskien hallinnan osalta. Tutkielma lähestyy käsiteltävää aihetta vakuutusyhtiöiden näkökulmasta. Tutkielma toteutetaan laadullisena tutkimuksena, joka palvelee parhaiten tavoitetta ymmärtää paremmin ilmiön taustaa ja kontrollien vaikutuksia. Teoriaosuus pohjautuu vakuutustieteen ja kyberturvallisuuden tieteenalojen kirjallisuuteen. Kyberriskien, pk-yritysten riskienhallinnan ja kontrollivaatimusten väliset suhteet pyritään määrittelemään mahdollisimman tarkasti, jotta haastatteluaineiston perusteella saatuja tuloksia voidaan peilata niitä vastaan. Empiriaosuuden aineisto on kerätty teemahaastatteluiden avulla ja analysoitu teoriasidonnaisella sisällönanalyysilla.
Kontrollivaatimusten voidaan ajatella olevan kaksiteräinen miekka kyberriskejä vastaan, toisaalta ne kertovat yritykselle vakuuttajan laajaan dataan perustuen vähimmäistason, jolla kyberturvan tulisi olla, mutta toisaalta ne voivat myös olla yrityksen liiketoimintaan epäsopivia ja vaatia yritykseltä joissain tilanteissa liian suuria resursseja niistä saatavaan hyötyyn nähden, jolloin riski saattaa jäädä kokonaan vakuuttamatta. Parhaimmillaan ne voivat motivoida ja asettaa standardin pk-yritystä kriittisen kyberturvan perustason saavuttamisessa, huonoimmillaan ne lannistavat ja hidastavat riskienhallinnan kehittymistä. Kontrollivaatimukset ovat konkreettinen mahdollisuus vakuutusyhtiöille vaikuttaa yritysten riskienhallinnan tekniseen ja hallinnolliseen tasoon ja isossa kuvassa myös toimia yhteiskunnallisena suunnannäyttäjänä, mutta tasapainon löytäminen vaatimustason ja riskinoton välillä on todellinen haaste.
Tutkielman tulosten perusteella voidaan todeta, että kybervakuuttaminen ja kontrollivaatimukset ovat tulleet pysyvästi jäädäkseen myös pk-sektorille, mutta kontrollitason vakiintumisesta ei voida vielä puhua. Vaatimukset vaikuttavat keventyvän vakuuttamisprosessin tehostamisen ja myynninedistämisen nimissä, jota pyritään paikkaamaan erilaisilla työkaluilla teknologian kehityksen myötä. Kontrolleilla on todistetusti merkittävä vaikutus kyberriskien toteutumisen todennäköisyyksiin, joten vakuuttajien valinnoilla tulee olemaan pidemmällä aikavälillä merkittävä vaikutus kybervakuuttamisen yleistyessä.