Tietoturva ja kyberturvallisuus

Sampo-konserni on altis tietoturva- ja kyberturvallisuusriskeille, koska yhtiössä käsitellään paljon arkaluonteisia tietoja, ja sen toimintamaissa on tiukat tietosuojamääräykset. Näiden riskien hallinta on tärkeää asiakkaiden ja muiden sidosryhmien tietojen suojaamisen sekä yhtiön toiminnan varmistamisen ja jatkuvuuden kannalta.

Hallintotapa

Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja tietoturvaperiaatteet. Molemmat dokumentit käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi jokaisella konserniyhtiöllä on täydentäviä, omaan liiketoimintaansa soveltuvia politiikkoja, ohjeita, prosesseja ja hallintorakenteita. Esimeriksi Ifissä riskienhallintajohtajalle suoraan raportoivalla tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Tietoturvajohtaja myös tukee Ifin hallitusta tietoturvan tilaan ja toteutukseen liittyvissä asioissa. IT-turvallisuuteen ja sovellustestaamiseen sekä IT-riskienhallintaan ja -turvallisuusvaatimusten noudattamiseen erikoistuneet asiantuntijatiimit raportoivat Ifin tietohallintojohtajalle. Tietoturva- ja kyberturvallisuusriskeistä raportoidaan neljännesvuosittain ja vuosittain tietoturvasta ja kyberturvallisuudesta vastaavalle Ifin hallituksen ORSA-komitealle sekä hallitukselle.

Sampo-konsernilla on kattava tietoturvan ja kyberturvallisuuden hallintomalli, johon kuuluu toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Konsernin tietoturvapolitiikat ja käytännöt pohjautuvat ISO 27001 -standardiin. Sampo-konserni tekee säännöllisiä riskianalyysejä ja jatkuvuussuunnittelua sekä ylläpitää tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva- ja kyberturvallisuusvalmius. Sampo-konserni mittaa suorituskykyään säännöllisesti ja on sitoutunut kehittämään toimintaansa jatkuvasti. Sampo-konserni edellyttää tietoturvaan ja kyberturvallisuuteen liittyvien vaatimusten noudattamista sekä konsernin sisäisiltä että ulkoisilta sidosryhmiltä (esim. merkittävät yhteistyökumppanit ja alihankkijat, kolmannen osapuolen tietojenkäsittelijät), joiden osalta riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.

Ennen uusien ratkaisujen tai palvelujen käyttöönottoa tai muutoksia kriittisiin järjestelmiin Sampo-konsernissa suoritetaan riskienarviointiprosessi. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat säännöllisesti tunkeutumistestausta (penetration testing) sekä sovellusten ja IT-infrastruktuurin tietoturvatestejä. Sisäiset asiantuntijat sekä kolmannen osapuolen tietoturvakumppanit päivittävät jatkuvasti kyberuhkiin liittyvää tietoa ja jakavat tietoturvaohjeita Sampo-konsernin sisäisissä kanavissa.

Henkilöstön koulutus

Kaikkien Sampo-konsernin työntekijöiden on noudatettava voimassa olevia tietoturva- ja kyberturvallisuusvaatimuksia toimimalla sisäisten sääntöjen ja ohjeiden mukaisesti, käyttämällä asianmukaisia työkaluja ja käyttäytymällä vastuullisesti. Sampo-konserni huolehtii siitä, että kaikille työntekijöille ja konsultteina työskenteleville työntekijöille on tarjolla sekä pakollista että vapaaehtoista koulutusta osana uusien työntekijöiden perehdytystä sekä vuosittain verkkokoulutuksen, henkilökohtaisen koulutuksen, simulaatioiden ja intranet-artikkelien muodossa. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, -roolit ja -vastuut, ajankohtaiset tietoturvariskit ja tietoturvapoikkeamista ilmoittaminen. Koko henkilöstön tietoturvatietoisuudesta huolehditaan intranet-artikkeleilla, verkkokoulutuksella, webinaareilla ja säännöllisillä tietojenkalastelusimulaatioilla, jotka jäljittelevät todellisia hyökkäyksiä.

Ulkoistettu tietojenkäsittely

Tietoturvan varmistamiseksi ulkoistetussa tietojenkäsittelyssä Sampo-konserni arvioi säännöllisesti kolmannen osapuolen tietojenkäsittelijöitä esimerkiksi noudattamalla asianmukaista huolellisuutta yhteistyökumppanien valinnassa, sisällyttämällä tietoturvan alihankintasopimuksiinsa sekä riskiarviointien ja -uudelleenarviointien avulla. Sampo-konsernin hankinta- ja ulkoistamisprosessit varmistavat, että riskit arvioidaan ja sopimusten tietoturvavaatimukset täyttyvät, ennen kuin sopimus ulkoisen toimittajan kanssa allekirjoitetaan. Sopimuspykälät sisältävät vaatimuksia, joilla varmistetaan, että tietoturva- ja kyberturvallisuustoimet ovat riittäviä ja että sopimusehtoja sovelletaan myös alihankkijoiden alihankkijoihin. Sampo-konserni seuraa jatkuvasti yhtiön omaa ja sen keskeisten alihankkijoiden tietoturva-asemaa käyttäen kolmannen osapuolen palvelua.

Sampo-konserni arvioi kolmannen osapuolen tietojenkäsittelijöitä sopimusneuvottelujen yhteydessä. Riskiarviointi käydään läpi vuosittain ja siihen sisältyy tietojen käsittelijän yleisen sopimusperusteisen suorituskyvyn tarkastelu sekä kysymyksiä mahdollisten poikkeamien esiintymisestä ja niiden mahdollisista seurauksista. Lisäksi Sampo-konsernilla on kolmannen osapuolen tietojen käsittelyä, jota hoitavat yhtiön kumppanit. Näissä tapauksissa tietojenkäsittelyä arvioidaan säännöllisesti osana sopimusten mukaista suorituskyvyn ja toiminnan seurantaa.

Auditointi

Sampo-konsernissa toteutetaan tietoturva- ja kyberturvallisuusauditointeja säännöllisesti. Auditointitoimet ovat riskiperusteisia ja ne kohdennetaan sisäisen tarkastuksen toimintasuunnitelmien mukaisesti. Ulkoiset tilintarkastajat tarkastavat kaikkien Sampo-konsernin taloudelliseen raportointiin liittyvien keskeisten järjestelmien yleisen suojauksen lakisääteisten tilintarkastusten yhteydessä.

Raportointi

Sampo-konsernin ICT-sovellukset, -järjestelmät ja -infrastruktuuri on suunniteltu kestäviksi ja suojattu kyberhyökkäyksiltä. Tietoturva- ja kyberturvallisuustapahtumia ja -poikkeamia tarkkaillaan, tallennetaan seurantajärjestelmään ja selvitetään jatkuvasti dokumentoidun ja hyväksytyn prosessin mukaisesti. Poikkeamia käsitellään ja niistä raportoidaan säännöllisesti johdolle ja hallitukselle, kunkin konserniyhtiön prosessien mukaisesti.