Kybervakuutus: mitä vakuutusyhtiö tarkistaa ennen korvauksen maksua?

Kybervakuutus ei automaattisesti tarkoita, että korvaus maksetaan vahingon sattuessa. Vakuutusyhtiöt asettavat selkeitä tietoturvavaatimuksia — ja niiden laiminlyönti voi johtaa korvauksen pienenemiseen tai kokonaan hylkäämiseen. Tässä artikkelissa käymme läpi, mitä vakuutusyhtiöt käytännössä tarkistavat.

Kybervakuutus on hyvä alku — mutta ei riittävä yksinään

Kybervakuutus eli tietoturvavakuutus korvaa kyberhyökkäyksen, haittaohjelman tai tietomurron aiheuttamia kuluja: IT-asiantuntijatyötä järjestelmien palauttamiseksi, liiketoiminnan keskeytymisestä aiheutuvaa katteen menetystä, tietosuojaloukkauksen selvittämiskuluja sekä mahdollisia oikeudenkäyntikuluja.

Suomessa kybervakuutuksia tarjoavat muun muassa If, LähiTapiola, Turva ja OP. Vakuutuksen hinta riippuu yrityksen koosta, toimialasta ja valitusta turvatasosta.

Mutta vakuutus ei korvaa vahinkoa automaattisesti. Vakuutusyhtiöt arvioivat, oliko yritys noudattanut niin sanottuja suojeluohjeita ennen vahinkoa. Jos ohjeet on laiminlyöty, korvaus voi aleta merkittävästi tai jäädä kokonaan maksamatta.

Mitä suojeluohjeet tarkoittavat?

Jokainen vakuutusyhtiö määrittelee omat suojeluohjeensa, mutta käytännössä ne sisältävät samankaltaisia vaatimuksia. Seuraavat ovat yleisimpiä:

1. Monivaiheinen tunnistautuminen (MFA)

MFA eli kaksivaiheinen tunnistautuminen on noussut yhdeksi tärkeimmistä yksittäisistä vaatimuksista. Useat vakuutusyhtiöt edellyttävät MFA:ta erityisesti:

  • etäyhteyksiin (VPN, RDP)
  • sähköpostijärjestelmiin (esim. Microsoft 365, Google Workspace)
  • pilvipalveluihin
  • kriittisiin järjestelmiin

Merkittävä osa onnistuneista hyökkäyksistä hyödyntää varastettuja tai arvattuja tunnuksia. MFA estää suuren osan näistä hyökkäyksistä.

2. Ajantasaiset varmuuskopiot

Vakuutusyhtiöt vaativat tyypillisesti:

  • varmuuskopiointi vähintään viikoittain
  • varmuuskopiot tallennettuna erillään pääjärjestelmistä (ei samaan verkkoon tai laiteympäristöön)
  • kopioiden salaaminen
  • palautuksen testaamista säännöllisesti

Ransomware-hyökkäyksessä haittaohjelma usein salaa tai tuhoaa myös paikallisesti saatavilla olevat varmuuskopiot. Offsite- tai offline-varmuuskopiot ovat ainoa luotettava suoja.

3. Ohjelmistojen ja laitteiden ajantasaisuus

Haavoittuvuudet vanhentuneissa käyttöjärjestelmissä, ohjelmistoissa tai verkkolaitteissa ovat yksi yleisimmistä hyökkäysreiteistä. Vakuutusyhtiöt edellyttävät:

  • käyttöjärjestelmien ja sovellusten säännöllistä päivittämistä
  • tietoturvaohjelmistojen (virustorjunta, palomuuri) ylläpitämistä ja päivittämistä
  • elinkaarensa lopussa olevan ohjelmiston (end-of-life) poistamista käytöstä

4. Salasanakäytännöt

Tyypillisiä vaatimuksia ovat riittävä salasanan pituus ja monimutkaisuus, salasanojen säilyttäminen erillään laitteista, eri salasanojen käyttö yrityksen ja henkilökohtaisissa palveluissa sekä oletussalasanojen vaihtaminen kaikista laitteista ja järjestelmistä.

5. Tietoturvapolitiikka ja vastuuhenkilö

Osa vakuutusyhtiöistä edellyttää, että yrityksellä on kirjallinen tietoturvapolitiikka ja nimetty vastuuhenkilö tietoturva-asioille.

6. RDP-porttien hallinta

Etätyöpöytäyhteyksiin käytettävä RDP-protokolla on erittäin yleinen hyökkäyskohde. Vakuutusyhtiöt tarkastavat, onko RDP-portit suojattu tai rajoitettu asianmukaisesti.

Mitä tapahtuu korvaustilanteessa?

Korvaustilanteessa vakuutusyhtiö selvittää vahingon syyt ja sen, oliko yritys noudattanut suojeluohjeita. Käytännön prosessi menee usein näin:

  1. Yritys ilmoittaa vahingosta vakuutusyhtiölle mahdollisimman nopeasti
  2. Vakuutusyhtiön yhteistyökumppani (tyypillisesti kyberturvallisuusyritys) selvittää hyökkäyksen luonteen
  3. Vakuutusyhtiö arvioi, noudattiko yritys suojeluohjeita
  4. Jos ohjeet on laiminlyöty → korvaus voi alentua tai jäädä maksamatta

Tämä on se kohta, johon moni yritys törmää yllättyneenä. Vakuutus on otettu hyvässä uskossa, mutta suojeluohjeet ovat jääneet lukematta tai niitä ei ole käytännössä toteutettu.

Miten varmistaa vakuutusvalmius etukäteen?

Paras tapa selvittää yrityksesi vakuutusvalmius on tehdä se ennen vahinkoa. Käytännössä kannattaa:

  1. Lukea oman vakuutuksesi suojeluohjeet tarkkaan — ne löytyvät vakuutuskirjan liitteistä
  2. Tarkistaa MFA:n tilanne kaikissa kriittisissä järjestelmissä
  3. Testata varmuuskopioiden palautuminen — onko kopiot oikeasti käytettävissä vahinkotilanteessa?
  4. Dokumentoida tietoturvakäytännöt — vakuutusyhtiö voi pyytää näyttöä siitä, että ohjeet on noudatettu
  5. Tehdä tietoturvakartoitus, joka käy läpi nimenomaan ne osa-alueet, joita vakuutusyhtiöt tarkastavat

Hyvä tietoturvakartoitus sisältää erillisen vakuutusvalmius-osion, jossa tunnistetaan juuri ne puutteet, jotka vakuutusyhtiö tarkistaa korvaustilanteessa — ja kerrotaan, mitä dokumentteja tarvitaan.

Haluatko tarkistaa yrityksesi vakuutusvalmiuden? Katso tietoturvakartoituksen vakuutusvalmius-osio →

 

Scroll to Top