Tietoturva ja kyberturvallisuus
Sampo-konsernille on ensiarvoisen tärkeää, että sen tietoturva ja kyberturvallisuus ovat riittävällä tasolla liiketoiminnan luonteeseen ja laajuuteen sekä teknologian kehitykseen nähden ja vastaavat finanssialan yhtiöiltä yleisesti odotettua tasoa.
Sampo-konserni on altis tietoturva- ja kyberturvallisuusriskeille, koska yhtiössä käsitellään paljon arkaluonteisia tietoja, ja sen toimintamaissa on tiukat tietosuojamääräykset. Näiden riskien hallinta on tärkeää asiakkaiden ja muiden sidosryhmien tietojen suojaamisen sekä yhtiön toiminnan varmistamisen ja jatkuvuuden kannalta.
Hallintotapa
Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja tietoturvaperiaatteet. Molemmat dokumentit käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi eri konserniyhtiöillä on täydentäviä, omaan liiketoimintaansa soveltuvia politiikkoja ja ohjeita.
Sampo-konserni tekee säännöllisiä riskianalyysejä ja jatkuvuussuunnittelua sekä ylläpitää tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva- ja kyberturvallisuusvalmius. Sampo-konserni mittaa suorituskykyään säännöllisesti ja on sitoutunut kehittämään toimintaansa jatkuvasti. Sampo-konserni edellyttää tietoturvaan ja kyberturvallisuuteen liittyvien vaatimusten noudattamista sekä konsernin sisäisiltä että ulkoisilta sidosryhmiltä (esim. kolmannen osapuolen tietojenkäsittelijät).
Kaikkien Sampo-konsernin työntekijöiden on noudatettava voimassa olevia tietoturva- ja kyberturvallisuusvaatimuksia toimimalla sisäisten sääntöjen ja ohjeiden mukaisesti, käyttämällä asianmukaisia työkaluja ja käyttäytymällä vastuullisesti. Sampo-konserni huolehtii siitä, että kaikille työntekijöille ja konsultteina työskenteleville työntekijöille on tarjolla sekä pakollista että vapaaehtoista koulutusta esimerkiksi e-koulutuksen, henkilökohtaisen koulutuksen, simulaatioiden ja intranet-artikkelien muodossa.
Tavoitteet ja päämäärät
Sampo-konsernin tavoitteena on suojata kaikkea tietoa sen arkaluonteisuuden ja tärkeyden perusteella sekä sovellettavia sääntöjä ja määräyksiä noudattaen.
Viranomaisille ilmoitetut tietoturva- ja kyberturvallisuuspoikkeamat
2023 | 2022 | 2021 | |
---|---|---|---|
Sampo-konserni | 0 | 1 | 1 |
Lisätietoa yhtiöittäin
Hallinnointi
Ifillä on kattava tietoturvan ja kyberturvallisuuden hallintomalli, johon kuuluu toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Yhtiön tietoturvapolitiikka ja -normit perustuvat ISO 27001 -standardiin. Niissä määritetään tietoturvan ja kyberturvallisuuden vähimmäisvaatimukset, joita kaikkien If-konsernin yhtiöiden ja niiden merkittävien alihankkijoiden ja yhteistyökumppaneiden edellytetään noudattavan. Riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.
Ifin tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Hän myös tukee hallitusta tietoturvan tilaan ja toteutukseen liittyvissä asioissa. Tietoturvajohtaja toimii toisessa linjassa ja raportoi suoraan riskienhallintajohtajalle. Ensimmäisen puolustuslinjan muodostavat tietohallintojohtajalle raportoiva IT-turvallisuuspäällikkö, joka on erikoistunut tieto- ja viestintäteknologian turvallisuuteen ja johtaa IT-turvallisuusasiantuntijoiden ja sovellustestaajien tiimiä, sekä IT-riskienhallinnan ja -turvallisuusvaatimusten asiantuntija.
Tietoturva- ja kyberturvallisuusriskeistä raportoidaan tietoturvasta ja kyberturvallisuudesta vastaavalle hallituksen ORSA-komitealle. Ifin riskiprofiilista ja pääomatilanteesta annetaan neljännesvuosittain yleiskatsaus ORSA-komitealle ja hallitukselle. Hallitukselle laaditaan kerran vuodessa tarkempi ORSA-raportti, joka sisältää kolmen vuoden riski- ja vakavaraisuusarvion. Tietoturvan valvontaa ja riskeihin liittyviä toimia koskevat tunnusluvut raportoidaan kuukausittain tietohallintojohtajalle ja keskeisille sidosryhmille, kuten IT-palvelupäällikölle, riskienhallintajohtajalle, jatkuvuuspäällikölle, riskienhallinnan ja raportoinnin henkilöstölle sekä IT-palvelujen tuotantohenkilöstölle.
Uusien ratkaisujen käyttöönottoon ja kriittisten sovellusten tai järjestelmien muutoksiin liittyvään muutoksenhallintaan sisältyy riippumattoman sisäisen asiantuntijaryhmän suorittama, riskiperusteista lähestymistapaa noudattava tietoturvatestaus. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat myös säännöllisesti sovellusten ja IT-infrastruktuurin tietoturvatestejä.
Henkilöstön koulutus
If järjestää kaikille uusille työntekijöille ja alihankkijoille tietoturva- ja kyberturvallisuuskoulutusta, jota täydennetään vuosittain verkkokoulutuksella, lähiopetuksella ja intranet-artikkeleilla. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, -roolit ja -vastuut, ajankohtaiset tietoturvariskit ja tietoturvapoikkeamista ilmoittaminen. Koko henkilöstön tietoturvatietoisuudesta huolehditaan intranet-artikkeleilla, webinaareilla ja säännöllisillä tietojenkalastelusimulaatioilla, jotka jäljittelevät todellisia hyökkäyksiä.
Kaikki työntekijät ja konsultit osallistuvat vuotuiseen tieto-turvaohjelmaan, joka sisältää verkkokoulutusta, verkkoseminaareja ja jatkuvaa tietojenkalastelukoulutusta.
Ulkoistettu tietojenkäsittely
Ifillä on käytössä menettelyjä tietoturvan varmistamiseksi ulkoistetussa tietojenkäsittelyssä. Se esimerkiksi noudattaa asianmukaista huolellisuutta yhteistyökumppanien valinnassa, sisällyttää tietoturvan alihankintasopimuksiinsa sekä seuraa alihankkijoidensa tietoturvaa ja tekee tarkastuksia. Ifin hankinta- ja ulkoistamisprosessit varmistavat, että riskit arvioidaan ja sopimusten tietoturvavaatimukset täyttyvät, ennen kuin sopimus ulkoisen toimittajan kanssa allekirjoitetaan. Sopimuspykälät sisältävät vaatimuksia, joilla varmistetaan, että tietoturva- ja kyberturvallisuustoimet ovat riittäviä ja että sopimusehtoja sovelletaan myös alihankkijoihin. Alihankkijoiden suoriutumista seurataan yhtiön toimitus- ja hallintofoorumeilla. If seuraa jatkuvasti yhtiön omaa ja sen keskeisten alihankkijoiden tietoturva-asemaa kolmannen osapuolen palvelulla, joka varoittaa tietoturvaloukkauksista ja -poikkeamista.
If arvioi kolmannen osapuolen tietojenkäsittelijöitä alun perin sopimusneuvottelujen yhteydessä. Arvioinnissa käytetään riskiarviointia, johon sisältyy vastapuolen arviointi. Riskiarviointi käydään läpi vuosittain ja siitä raportoidaan Ifin ulkoistamiskomitealle (Outsourcing Committee) ja hallitukselle tulosten ja riskien seurannan mahdollistamiseksi. Vuotuiseen riskinarviointiin sisältyy tietojen käsittelijän yleisen sopimusperusteisen suorituskyvyn tarkastelu sekä kysymyksiä mahdollisten poikkeamien esiintymisestä ja niiden mahdollisista seurauksista.
Lisäksi Ifillä on kolmannen osapuolen tietojen käsittelyä, jota hoitavat yhtiön kumppanit. Näissä tapauksissa tietojenkäsittelyä arvioidaan säännöllisesti osana sopimusten mukaista suorituskyvyn ja toiminnan seurantaa.
Auditointi
Ifin tietoturva- ja kyberturvallisuustarkastukset tehdään ja niistä raportoidaan tytäryhtiötasolla. Auditoinnit ovat riskiperusteisia ja kohdennetaan sisäisen tarkastuksen toimintasuunnitelmien mukaisesti, jotka kunkin Ifin tytäryhtiön hallitus on hyväksynyt. Ulkoiset tilintarkastajat tarkastavat kaikkien Ifin taloudelliseen raportointiin liittyvien keskeisten järjestelmien yleisen suojauksen lakisääteisten tilintarkastusten yhteydessä.
Raportointi
Ifin ICT-sovellukset, -järjestelmät ja -infrastruktuuri on suunniteltu kestäviksi ja suojattu kyberhyökkäyksiltä. Ulkoinen turvallisuuskeskus tarkkailee järjestelmän tapahtumia ja poikkeamia vuorokauden ympäri ja tukee Ifiä havaitsemalla tietoturvapoikkeamat ja reagoimalla niihin. Automaattisesti ja manuaalisesti raportoidut tietoturvapoikkeamat tallennetaan seurantajärjestelmään ja poikkeamia tutkiva tiimi aloittaa niiden selvityksen dokumentoidun ja hyväksytyn prosessin mukaisesti. Poikkeamia käsitellään kuukausittaisissa seurantakokouksissa ja niistä raportoidaan kuukausittain ja neljännesvuosittain johdolle ja hallitukselle.
Hallinnointi
Topdanmarkilla on tietoturvapolitiikka ja tietoturvan johtamisjärjestelmä, jotka molemmat perustuvat ISO 27001 -standardiin. Tietoturvapolitiikka on osa Topdanmarkin riskienhallintajärjestelmää ja koskee sekä yhtiön työntekijöitä että yhteistyökumppaneita.
Yhtiön hallitus hyväksyy tietoturvapolitiikan ja IT-valmiussuunnitelman vuosittain päivitetyn IT-riskiarvion perusteella. Merkittävät tai kriittiset operatiiviset IT-riskit, joihin sisältyy myös kyberriski, arvioidaan säännöllisesti, ja arvioinnin tulokset raportoidaan Topdanmarkin hallitukselle, johtoryhmälle, riskitoimikunnalle ja compliance-yksikölle. Topdanmarkin päivittäisestä tietoturvasta ja kyberturvallisuudesta vastaa tietoturvajohtaja, joka raportoi teknologia-, arkkitehtuuri- ja turvallisuusjohtajalle (Vice President of Technology, Architecture and Security). Tämä puolestaan raportoi yhtiön johtoryhmään kuuluvalle teknologiajohtajalle.
Topdanmark on valmistautunut tietoturva- ja kyberturvallisuusuhkiin monitasoisilla turvajärjestelmillä. Yhtiö on esimerkiksi panostanut uhkien varhaisen havaitsemisen ja poikkeamien hallinnan teknologioihin. Topdanmark tekee jatkuvasti haavoittuvuusarviointeja ja testaa uudet järjestelmät heikkouksien varalta ennen kuin ne otetaan käyttöön. Topdanmarkilla on IT- ja kyberrikollisuuden aiheuttamia liiketoiminnan keskeytyksiä varten kattava valmiussuunnitelma, jonka avulla liiketoiminta saadaan palautettua mahdollisimman nopeasti.
Topdanmarkin kyberturvallisuuslautakunta, jonka jäseniä ovat muun muassa teknologia-, arkkitehtuuri- ja turvallisuusjohtaja, operatiivinen IT-johtaja, tietosuojavastaava ja tietoturvajohtaja, arvioi kyberrikollisuudesta nousevaa riskiä sekä tarvittavan turvallisuustason saavuttamisen edellyttämiä toimenpiteitä säännöllisesti. Riskiä hallitaan ja minimoidaan esimerkiksi tekemällä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Kyberriskeistä ja niiden minimoimiseksi suunnitelluista toimista raportoidaan Topdanmarkin hallitukselle vuosittain.
Lisäksi Topdanmark vaatii ulkopuolisilta tietojen käsittelijöiltä riittäviä tietoturvatoimenpiteitä. Sama vaatimus koskee myös alihankkijoita.
Henkilöstön koulutus
Kaikille uusille työntekijöille annetaan perehdytys Topdanmarkin tietoturvapolitiikkaan. Topdanmarkilla on lisäksi erillinen tietoturvaa koskeva verkkokurssi. Kaikkien työntekijöiden ja konsulttien on suoritettava kurssi joka toinen vuosi. Topdanmarkin tietoturvapolitiikkaa rikkovalle työntekijälle voi aiheutua työsuhteeseen liittyviä seuraamuksia, vakavimpana irtisanominen.
Auditointi
Ulkopuoliset asiantuntijat tarkastavat Topdanmarkin tietojärjestelmät vuotuisen tilintarkastuksen yhteydessä. Näin varmistetaan, että tietojärjestelmistä vuosikertomukseen haettavat tiedot pitävät paikkansa ja että Topdanmark täyttää Tanskan finanssivalvontaviranomaisen asettamat tietoturva- ja tietotekniikkavaatimukset.
Hallinnointi
Hastingsilla on tietoturvaviitekehys, jonka avulla pyritään puuttumaan prosessien ja ihmisten haavoittuvuuksiin, vähentämään Hastingsin teknologia- ja datavarantojen monimutkaisuutta sekä sisällyttämään tietoturva rakenteelliseksi osaksi liiketoiminnan päätöksentekoa. Viitekehys pohjautuu ISO 27001-standardiin, ja sitä tukevat asianmukaiset politiikat ja prosessit.
Hastingsilla on käytössä toimintatavat, joilla seurataan tietoturva- ja kyberturvallisuustapahtumia ja -poikkeamia ja reagoidaan niihin. Riippumattomat toimijat validoivat ja testaavat toimintatavat säännöllisesti. Testauksen suorittavat yhtiön CBEST-sertifioidut kumppanit, ja se sisältää haavoittuvuusarviointeja ja tunkeutumistestejä sekä sisäisesti toteutettuja tietojenkalastelukampanjoita ja harjoituksia, joilla tarkastetaan poikkeamien hallintamenettelyjen sietokyky ja kestävyys.
Hastingsilla on erilliset tietoturva-, kyberturvallisuus-, tietosuoja- ja compliance-tiimit, joiden tarkoituksena on suojata ja tukea yhtiön liiketoimintaa, hallinnoida politiikkoja ja valvontakeinoja, arvioida riskejä ja estää luvaton tai sopimaton pääsy tietoihin. Hastings on aktiivisesti mukana koko toimialan kyberuhkien ja tietoturvauhkien tutkimuksessa ja kuuluu useisiin sääntelyviranomaisten perustamiin ja valtion virastojen, kuten Ison-Britannian kansallisen kyberturvallisuuskeskuksen tukemiin kyberkoordinointiryhmiin.
Henkilöstön koulutus
Hastings tarjoaa kaikille työntekijöille pakollisen koulutuksen ja tarvittaessa täydentävää kybertietoisuuskoulutusta. Yhtiö on säännöllisesti yhteydessä työntekijöihinsä, jotta he tuntevat uhat ja tietävät miten toimia ongelmatilanteissa.
Ulkoistettu tietojenkäsittely
Hastings arvioi kolmannen osapuolen tietojenkäsittelijät vähintään kerran vuodessa ja suuren volyymin ja/tai korkean riskin tietojenkäsittelijät useammin. Hastings käyttää seurantaan ja arviointiin ulkoista due diligence -palvelua. Lisäksi Hastingsilla on vakiintunut alihankkijoiden hallintaprotokolla, johon kuuluu säännöllisiä suorituskyvyn ja vaatimustenmukaisuuden arviointeja, mukaan lukien tarkastuskäynnit alihankkijoiden toimitiloihin tarpeen mukaan.
Raportointi
Hastingsilla on operatiivisia toimenpiteitä, joiden avulla seurataan ja reagoidaan tietoturva- ja kyberturvallisuuspoikkeamiin. Poikkeamista ja huolenaiheista raportoidaan keskitetylle tietoturvatiimille tutkintaa, dokumentointia ja tukea varten. Tietoturvajohtaja ja tarpeen mukaan muu johto liittyy mukaan eskalointiprosessiin osana yhtiönlaajuista tietosuojaloukkausten hallinnointiprosessia.
Hallinnointi
Sampo Oyj:n tietoturva- ja kyberturvallisuusjärjestelmä on integroitu Ifin IT-infrastruktuuriin ja yhtiö noudattaa Ifin tietoturvaan liittyvien tapahtumien hallinnointiprosessia. Lisäksi Sampo Oyj:llä on vahva sisäinen valvonta ja lisäresursseja yhtiön omiin tarpeisiin. Ennen uusien ratkaisujen käyttöönottoa ja kriittisten sovellusten tai järjestelmien muutoksia suoritetaan riskiarviointiprosessi. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat myös säännöllisesti tunkeutumistestejä sekä sovellusten ja IT-infrastruktuurin haavoittuvuusskannauksia. Sisäiset asiantuntijat sekä kolmannen osapuolen tietoturvapartnerit päivittävät jatkuvasti kyberuhkiin liittyvää tietoa ja jakavat tietoturvaohjeita yhtiön intranetissä.
Henkilöstön koulutus
Tietoturva ja kyberturvallisuus kuuluvat Sampo Oyj:n uusien työntekijöiden perehdytykseen. Kaikille työntekijöille järjestetään sisäisiä koulutustilaisuuksia kaksi kertaa vuodessa, ja työntekijöiden osallistumista koulutuksiin seurataan. Koulutustilaisuudet ja -materiaalit, ovat aina työntekijöiden käytettävissä.
Aiheeseen liittyvää tietoa:
Päivitetty