Kybervakuuttaminen – kun digitaalinen infrastruktuuri murtuu

Turo-Kimmo Lehtonen

Digitalisoituminen on tuottanut elämänmuotoomme uudenlaista haavoittuvuutta: datan omistamiseen, tuottamiseen, siirtämiseen ja varastoimiseen liittyy uhkia. Koneet ja yhteydet voivat hajota. Tätäkin merkittävämpänä ongelmana nähdään kuitenkin suoranainen rikollinen toiminta. Kun tietoja kaapataan kiristämistarkoituksessa tai yhteyksiä vaurioitetaan poliittisista syistä sekä omaisuus että henkilötiedot ovat vaarassa. Puhutaan kyberriskistä. Sitä vastaan suojautumista finanssialan tarjoamin keinoin nimitetään puolestaan kybervakuuttamiseksi.

Mistä tarve kybervakuuttamiselle kumpuaa?

Kybervakuuttamiselle on syntynyt tarve kahta kautta. Ensinnäkin kyberriskit liittyvät siihen, että paitsi arkinen vuorovaikutus ja työyhteydet myös kulutus ja viihde nojaavat nykyään suurelta osin digitaalisten laitteiden massamittaiseen käyttämiseen. Puhelimien ja tietokoneiden merkitys on kasvanut räjähdysmäisesti. Jos laitteet hajoavat tai yhteyksiin hyökätään, tällä voi olla mittavia seurauksia, joita vastaan on syytä varautua.

Toiseksi kyberriski sisältyy tapaamme säilöä ja tuottaa dataa. Samalla kun on rakennettu uudenlaisia kommunikaatiokeinoja, vanhat teknologiat ja elämänyhteydet postista kauppojen asiakasrekistereihin ja sairaalan potilastiedostoista koulujen oppilaslistoihin on digitalisoitu. Liiketalouden ja yhteiskunnallisen hallinnan perustana oleva tieto on muuttunut paperina tallennetusta omaisuudesta pilvipalveluihin säilötyiksi biteiksi. Sama on pätenyt jo pitkään arkitoimintoihin ostoksilla käymisestä pankkiasiointiin tai infrastruktuurien hallinnasta teollisiin prosesseihin. Tehostamisen kääntöpuolena mitä erilaisimpiin elämänalueisiin on alkanut kohdistua kyberriskejä. Jos sähköt katkeavat tai pilvipalveluun tulee vika, myös junaliikenne loppuu ja vesihuolto joutuu vaikeuksiin. 

Kiihtyvä digitalisaatio on tehnyt kybervakuuttamisesta tällä haavaa nopeimmin kasvavan haaran globaalissa vakuutusteollisuudessa. Varsinkin 2010-luvulla kysyntä ja tarjonta lisääntyivät vauhdilla. Kybervakuuttajat tekivät isoja voittoja, vaikka riskien hinnoittelua pidettiin vaikeana eikä asiakkaille aina ollut selvää, mistä he täsmälleen ottaen maksoivat ja minkälaista suojaa oli tarjolla. Kuluneen vuosikymmenen aikana tilanne on muuttunut.  Vaikka ala edelleen kasvaa kyberriskien ja -rikollisuuden lisääntyessä, sen liiketoiminnallinen kannattavuus on kärsinyt, ja osa vakuuttajista on alkanut vetää tarjontaansa pois markkinoilta. 

Vakuuttamisen tehtävä on turvata riskin ottamista, mikä pätee myös digitaalisten järjestelmien käyttämiseen. Järjestelmiin pitää voida luottaa, ja mikäli ongelmia on, vakuutuksen ottajan on voitava tukeutua siihen, että mahdolliset vahingot korvataan jälkikäteen. Helpoimmin tämä tapahtuu varautumispoolien eli vakuuttamisen avulla. 

Kybervakuuttamisen haasteet 

Kybervakuuttamisen kyvyllä tulla luotettavaksi infrastruktuuriksi, eli tueksi toisille infrastruktuureille, on kuitenkin useita erilaisia esteitä. 

Ensinnäkin kaiken yhteiselämän kiihkeän datafikaation aikana dataa kuitenkin puuttuu itse datafikaation riskeistä. Tilannetta on hyvä verrata vakiintuneisiin vakuuttamisen muotoihin, kuten henki- tai kotivakuuttamiseen. Näillä perinteisillä aloilla laskelmat tulevaisuuden uhkista perustuvat pitkiin historiallisiin aikasarjoihin ja vuosikausien mittaan kerättyihin aineistoihin. Kun riskien ajatellaan muuttuvan vain vähän, suurilla menneisyyden tapahtumia koskevilla luvuilla voidaan verrattain tarkasti arvioida, minkälaiset menetykset uhkaavat vakuutuspoolia: sydänkohtauksiin kuollaan melko vakaasti, eivätkä kotien tulipalot yhtäkkiä lisäänny.      

Digitalisaatio sitä vastoin kehittyy edelleen nopeasti. Niinpä se tuottaa uusia riskejä. Vanhat aineistot puolestaan eivät välttämättä auta ennustamaan tarkkaan sitä, minkälaisia korvausvaatimuksia tulevaisuudessa kohdataan. Tilannetta pahentaa systemaattinen datarikollisuus, joka itsessään kehittyy nopeasti ja jonka aiheuttamista harmeista ei ole koottuja rekistereitä. Osittain tietoa puuttuu myös siksi, että hyökkäysten kohteeksi joutuneet tahot peittelevät ulkopuolisilta heidän datahallintansa osoittautumisen haavoittuvaksi.

Toiseksi itse kyberriskin määritelmä elää edelleen. Onko kaikki digitalisoitu tai digitaalisesti toimiva omaisuus saman riskin alaista? Ajatusta voi verrata siihen, että kaikkia sähköllä käyviä laitteita ja sähkön käyttöön nojaavia toimintoja kodin arjesta tehtaiden pyörittämiseen vakuutettaisiin yhtäläisellä ”sähkövakuutuksella”. Vastaavasti voitaisiin kuvitella, että ”kynävakuutuksella” suojauduttaisiin kaikkea sellaista rikollisuutta vastaan, jossa käytetään hyväksi kyniä. Tällainen rinnastus havainnollistaa hyvin sitä, että kybervakuutustuotteilla turvataan valtavan heterogeenisiä uhkia. Riskien laskeminen ja luotettava hinnoittelu on tämänkin takia vaikeaa. Suojaa hakevien yritysten ja yhteisöjen on hankala luottaa niihin tuotteisiin, joita vakuuttajat heille tarjoavat. 

Kolmanneksi kun yhä kasvavaan datan kalastelu- ja kidnappaustoimintaan vastataan vakuutuksella, tämä saattaa jopa tuottaa rikollisuuden lisääntymistä. Asiasta puhutaan ”moraalikadon” (englanniksi moral hazard) termein. Yksittäisen yrityksen kannalta tärkeää on, että jos siihen kohdistuu kyberhyökkäys, sen toiminnot kuitenkin jatkuvat eivätkä sen asiakkaat koe haittaa. Niinpä osa vakuutustuotteista toimii niin, että jos data tulee kaapatuksi ja yritystä kiristetään, vakuutusyhtiö maksaa nopeasti lunnaat, eikä hyökkäyksen kohteeksi joutuneen yhtiön toiminta kärsi. Tämä toimintatapa kuitenkin luo ilmeisen moraalikadon tilanteen: kyberrikollisuudelle luodaan vakuutuksen avulla kannustin, kun sitä harjoittavat tahot tietävät, että hyökkäyksen kohteilla on mahdollisuus maksaa lunnaat nopeasti.

Ylikansalliset riskit ja vastuunjako

Koska digitalisaatio tuottaa ilmeisiä yhteiskunnallisia hyötyjä, on sen kehittämiseen laajasti jaettua kiinnostusta ja halua. Olemme kollektiivisesti entistä riippuvaisempia datan omistamisesta, tuottamisesta, säilyttämisestä ja siirtämisestä. Yhtenä ratkaisuna ongelmiin onkin esitetty valtiollisten tai Euroopan unionin kaltaisten ylikansallisten tahojen väliintuloa tai tuottamaa turvaa. On esimerkiksi ehdotettu, että kyberhyökkäyksistä ilmoittaminen olisi pakollista, ja pohdittu sitä, pitäisikö kaikkein suurimpien riskien taustalle synnyttää yksityisten vakuutuslaitosten sijaan valtiollisia pooleja. 

Yhtäältä siis datasta, numeromuotoiseksi laaditusta informaatiosta, on tullut yhä tärkeämpi omaisuuden laji. Toisaalta siihen kohdistuu uudenlaisia uhkia. Applen, Googlen, Amazonin ja Microsoftin kaltaisten jättimäisten toimijoiden tuottamat riskikeskittymät ovat ylikansallisia ja samalla tapaa vaikeasti hallittavia kuin vaikkapa terrorismin, luontokadon ja ilmastonmuutoksen tuottamat haasteet.      

Kuvaava esimerkki riskeistä on heinäkuussa 2024 tapahtunut laaja katkos, jonka taustalla oli Microsoftin palvelujen kautta levinnyt CrowdStrike-nimisen tietoturvajärjestelmien tuottajan virhe. Nopeasti levinnyt ongelma lamautti kansainväliset lentokentät ja lukuisia muita infrastruktuuritoimintoja. On epäselvää, miten tällaisissa ilmiöissä vastuu tulisi jakaa yksityishenkilöiden, yritysten, julkisyhteisöjen, vakuuttajien ja valtiollisten tahojen välillä. Minkälaista solidaarisuutta olisi syytä odottaa kenenkin taholta?

Lähteet:

Baker, Tom and Shortland, Anja (2023) ”Insurance and enterprise: cyber insurance for ransomware.” The Geneva Papers on Risk and Insurance. 48: 275–299.

Herr, T. (2021) Cyber insurance and private governance: The enforcement power of markets. Regulation & Governance 15: 98–114.

Wolff, J. (2022) Cyberinsurance Policy. Rethinking Risk in an Age of Ransomware, Computer Fraud, Data Breaches, and Cyber Attacks. The MIT Press, Cambridge, Mass.

Woods, Daniel W. (2023) ”A Turning Point for Cyber Insurance.” Communications of the ACM. 66 (3): 41–44.