Tietoturva ja kyberturvallisuus
Olennaisuus
Sampo-konsernin yhtiöille on ensiarvoisen tärkeää, että niiden tietoturva ja kyberturvallisuus on riittävällä tasolla liiketoiminnan luonteeseen ja laajuuteen sekä teknologian kehitykseen nähden ja vastaa finanssialan yhtiöiltä yleisesti odotettua tasoa.
Konserniyhtiöt ovat alttiita tietoturva- ja kyberturvallisuusriskeille, koska yhtiöt käsittelevät paljon arkaluonteisia tietoja ja niiden toimintamaissa on tiukat tietosuojamääräykset. Näiden riskien hallinta on tärkeää asiakkaiden ja muiden sidosryhmien tietojen suojaamisen sekä konserniyhtiöiden toiminnan varmistamisen ja jatkuvuuden kannalta.
Konsernin hallintotapa
Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja tietoturvaperiaatteet. Molemmat dokumentit käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi eri konserniyhtiöillä on täydentäviä, omaan liiketoimintaansa liittyviä politiikkoja ja ohjeita.
Sampo-konsernin yhtiöt ovat sitoutuneita tekemään säännöllisiä riskianalyysejä ja jatkuvuussuunnittelua sekä ylläpitämään tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva- ja kyberturvallisuusvalmius. Konserniyhtiöt mittaavat suorituskykyään säännöllisesti ja ovat sitoutuneet kehittämään toimintaansa jatkuvasti. Sampo-konserni edellyttää tietoturvaan ja kyberturvallisuuteen liittyvien vaatimusten noudattamista sekä konsernin sisäisiltä että ulkoisilta sidosryhmiltä (esim. kolmannen osapuolen tietojenkäsittelijät).
Kaikkien Sampo-konsernin työntekijöiden on noudatettava tiukimpia mahdollisia vaatimuksia tietoturvan ja kyberturvallisuuden osalta toimimalla sisäisten sääntöjen ja ohjeiden mukaisesti, käyttämällä asianmukaisia työkaluja ja käyttäytymällä vastuullisesti. Sampo-konsernin yhtiöt huolehtivat siitä, että kaikille työntekijöille ja konsultteina työskenteleville tilapäistyöntekijöille tarjotaan sopivaa koulutusta.
Konsernin tavoitteet ja päämäärät
Sampo-konsernin tavoitteena on suojata kaikkea tietoa sen arkaluonteisuuden ja tärkeyden perusteella sekä sovellettavia sääntöjä ja määräyksiä noudattaen.
Viranomaisille ilmoitetut tietoturva- ja kyberturvallisuuspoikkeamat
Sampo-konserni
| 2022 | 2021 | 2020 | |
| If | 1 | 1 | 1 |
| Topdanmark | 0 | 0 | 0 |
| Hastings | 0 | 0 | - |
| Mandatum | 0 | 0 | 0 |
| Sampo Oyj | 0 | 0 | 0 |
| Sampo-konserni | 1 | 1 | 1 |
Tietoturva konserniyhtiöissä
Hallinnointi
Ifillä on kattava tietoturvan ja kyberturvallisuuden hallintomalli, johon kuuluu toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Yhtiön tietoturvapolitiikka ja -normit perustuvat ISO 27001 -standardiin. Niissä määritetään tietoturvan ja kyberturvallisuuden vähimmäisvaatimukset, joita kaikkien If-konsernin yhtiöiden ja niiden merkittävien alihankkijoiden ja yhteistyökumppaneiden edellytetään noudattavan. Riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.
Ifin tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Hän myös tukee hallitusta tietoturvan tilaan ja toteutukseen liittyvissä asioissa. Tietoturvajohtaja toimii toisessa linjassa ja raportoi suoraan riskienhallintajohtajalle. Ensimmäisen puolustuslinjan muodostavat tietohallintojohtajalle raportoiva IT-turvallisuuspäällikkö, joka on erikoistunut tieto- ja viestintäteknologian turvallisuuteen ja johtaa IT-turvallisuusasiantuntijoiden ja sovellustestaajien tiimiä, sekä IT-riskienhallinnan ja -turvallisuusvaatimusten asiantuntija.
Tietoturva- ja kyberturvallisuusriskeistä raportoidaan tietoturvasta ja kyberturvallisuudesta vastaavalle hallituksen ORSA-komitealle. Ifin riskiprofiilista ja pääomatilanteesta annetaan neljännesvuosittain yleiskatsaus ORSA-komitealle ja hallitukselle. Hallitukselle laaditaan kerran vuodessa tarkempi ORSA-raportti, joka sisältää kolmen vuoden riski- ja vakavaraisuusarvion. Tietoturvan valvontaa ja riskeihin liittyviä toimia koskevat tunnusluvut raportoidaan kuukausittain tietohallintojohtajalle ja keskeisille sidosryhmille, kuten IT-palvelupäällikölle, riskienhallintajohtajalle, jatkuvuuspäällikölle, riskienhallinnan ja raportoinnin henkilöstölle sekä IT-palvelujen tuotantohenkilöstölle.
Uusien ratkaisujen käyttöönottoon ja kriittisten sovellusten tai järjestelmien muutoksiin liittyvään muutoksenhallintaan sisältyy riippumattoman sisäisen asiantuntijaryhmän suorittama, riskiperusteista lähestymistapaa noudattava tietoturvatestaus. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat myös säännöllisesti sovellusten ja IT-infrastruktuurin tietoturvatestejä.
Henkilöstön koulutus
If järjestää kaikille uusille työntekijöille ja alihankkijoille tietoturva- ja kyberturvallisuuskoulutusta, jota täydennetään vuosittain verkkokoulutuksella, lähiopetuksella ja intranet-artikkeleilla. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, -roolit ja -vastuut, ajankohtaiset tietoturvariskit ja tietoturvapoikkeamista ilmoittaminen. Koko henkilöstön tietoturvatietoisuudesta huolehditaan intranet-artikkeleilla, webinaareilla ja säännöllisillä tietojenkalastelusimulaatioilla, jotka jäljittelevät todellisia hyökkäyksiä.
Kaikki työntekijät ja konsultit osallistuvat vuotuiseen tieto-turvaohjelmaan, joka sisältää verkkokoulutusta, verkkoseminaareja ja jatkuvaa tietojenkalastelukoulutusta.
Ulkoistettu tietojenkäsittely
Ifillä on käytössä menettelyjä tietoturvan varmistamiseksi ulkoistetussa tietojenkäsittelyssä. Se esimerkiksi noudattaa asianmukaista huolellisuutta yhteistyökumppanien valinnassa, sisällyttää tietoturvan alihankintasopimuksiinsa sekä seuraa alihankkijoidensa tietoturvaa ja tekee tarkastuksia. Ifin hankinta- ja ulkoistamisprosessit varmistavat, että riskit arvioidaan ja sopimusten tietoturvavaatimukset täyttyvät, ennen kuin sopimus ulkoisen toimittajan kanssa allekirjoitetaan. Sopimuspykälät sisältävät vaatimuksia, joilla varmistetaan, että tietoturva- ja kyberturvallisuustoimet ovat riittäviä ja että sopimusehtoja sovelletaan myös alihankkijoihin. Alihankkijoiden suoriutumista seurataan yhtiön toimitus- ja hallintofoorumeilla. If seuraa jatkuvasti yhtiön omaa ja sen keskeisten alihankkijoiden tietoturva-asemaa kolmannen osapuolen palvelulla, joka varoittaa tietoturvaloukkauksista ja -poikkeamista.
If arvioi kolmannen osapuolen tietojenkäsittelijöitä alun perin sopimusneuvottelujen yhteydessä. Arvioinnissa käytetään riskiarviointia, johon sisältyy vastapuolen arviointi. Riskiarviointi käydään läpi vuosittain ja siitä raportoidaan Ifin ulkoistamiskomitealle (Outsourcing Committee) ja hallitukselle tulosten ja riskien seurannan mahdollistamiseksi. Vuotuiseen riskinarviointiin sisältyy tietojen käsittelijän yleisen sopimusperusteisen suorituskyvyn tarkastelu sekä kysymyksiä mahdollisten poikkeamien esiintymisestä ja niiden mahdollisista seurauksista.
Lisäksi Ifillä on kolmannen osapuolen tietojen käsittelyä, jota hoitavat yhtiön kumppanit. Näissä tapauksissa tietojenkäsittelyä arvioidaan säännöllisesti osana sopimusten mukaista suorituskyvyn ja toiminnan seurantaa.
Auditointi
Ifin tietoturva- ja kyberturvallisuustarkastukset tehdään ja niistä raportoidaan tytäryhtiötasolla. Auditoinnit ovat riskiperusteisia ja kohdennetaan sisäisen tarkastuksen toimintasuunnitelmien mukaisesti, jotka kunkin Ifin tytäryhtiön hallitus on hyväksynyt. Ulkoiset tilintarkastajat tarkastavat kaikkien Ifin taloudelliseen raportointiin liittyvien keskeisten järjestelmien yleisen suojauksen lakisääteisten tilintarkastusten yhteydessä.
Raportointi
Ifin ICT-sovellukset, -järjestelmät ja -infrastruktuuri on suunniteltu kestäviksi ja suojattu kyberhyökkäyksiltä. Ulkoinen turvallisuuskeskus tarkkailee järjestelmän tapahtumia ja poikkeamia vuorokauden ympäri ja tukee Ifiä havaitsemalla tietoturvapoikkeamat ja reagoimalla niihin. Automaattisesti ja manuaalisesti raportoidut tietoturvapoikkeamat tallennetaan seurantajärjestelmään ja poikkeamia tutkiva tiimi aloittaa niiden selvityksen dokumentoidun ja hyväksytyn prosessin mukaisesti. Poikkeamia käsitellään kuukausittaisissa seurantakokouksissa ja niistä raportoidaan kuukausittain ja neljännesvuosittain johdolle ja hallitukselle.
Hallinnointi
Topdanmarkilla on tietoturvapolitiikka ja tietoturvan johtamisjärjestelmä, jotka molemmat perustuvat ISO 27001 -standardiin. Tietoturvapolitiikka on osa Topdanmarkin riskienhallintajärjestelmää ja koskee sekä yhtiön työntekijöitä että yhteistyökumppaneita.
Yhtiön hallitus hyväksyy tietoturvapolitiikan ja IT-valmiussuunnitelman vuosittain päivitetyn IT-riskiarvion perusteella. Merkittävät tai kriittiset operatiiviset IT-riskit, joihin sisältyy myös kyberriski, arvioidaan säännöllisesti, ja arvioinnin tulokset raportoidaan Topdanmarkin hallitukselle, johtoryhmälle, riskitoimikunnalle ja compliance-yksikölle. Topdanmarkin päivittäisestä tietoturvasta ja kyberturvallisuudesta vastaa tietoturvajohtaja, joka raportoi teknologia-, arkkitehtuuri- ja turvallisuusjohtajalle (Vice President of Technology, Architecture and Security). Tämä puolestaan raportoi yhtiön johtoryhmään kuuluvalle teknologiajohtajalle.
Topdanmark on valmistautunut tietoturva- ja kyberturvallisuusuhkiin monitasoisilla turvajärjestelmillä. Yhtiö on esimerkiksi panostanut uhkien varhaisen havaitsemisen ja poikkeamien hallinnan teknologioihin. Topdanmark tekee jatkuvasti haavoittuvuusarviointeja ja testaa uudet järjestelmät heikkouksien varalta ennen kuin ne otetaan käyttöön. Topdanmarkilla on IT- ja kyberrikollisuuden aiheuttamia liiketoiminnan keskeytyksiä varten kattava valmiussuunnitelma, jonka avulla liiketoiminta saadaan palautettua mahdollisimman nopeasti.
Topdanmarkin kyberturvallisuuslautakunta, jonka jäseniä ovat muun muassa teknologia-, arkkitehtuuri- ja turvallisuusjohtaja, operatiivinen IT-johtaja, tietosuojavastaava ja tietoturvajohtaja, arvioi kyberrikollisuudesta nousevaa riskiä sekä tarvittavan turvallisuustason saavuttamisen edellyttämiä toimenpiteitä säännöllisesti. Riskiä hallitaan ja minimoidaan esimerkiksi tekemällä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Kyberriskeistä ja niiden minimoimiseksi suunnitelluista toimista raportoidaan Topdanmarkin hallitukselle vuosittain.
Lisäksi Topdanmark vaatii ulkopuolisilta tietojen käsittelijöiltä riittäviä tietoturvatoimenpiteitä. Sama vaatimus koskee myös alihankkijoita.
Henkilöstön koulutus
Kaikille uusille työntekijöille annetaan perehdytys Topdanmarkin tietoturvapolitiikkaan. Topdanmarkilla on lisäksi erillinen tietoturvaa koskeva verkkokurssi. Kaikkien työntekijöiden ja konsulttien on suoritettava kurssi joka toinen vuosi. Topdanmarkin tietoturvapolitiikkaa rikkovalle työntekijälle voi aiheutua työsuhteeseen liittyviä seuraamuksia, vakavimpana irtisanominen.
Auditointi
Ulkopuoliset asiantuntijat tarkastavat Topdanmarkin tietojärjestelmät vuotuisen tilintarkastuksen yhteydessä. Näin varmistetaan, että tietojärjestelmistä vuosikertomukseen haettavat tiedot pitävät paikkansa ja että Topdanmark täyttää Tanskan finanssivalvontaviranomaisen asettamat tietoturva- ja tietotekniikkavaatimukset.
Hallinnointi
Hastingsilla on tietoturvaviitekehys, jonka avulla pyritään puuttumaan prosessien ja ihmisten haavoittuvuuksiin, vähentämään Hastingsin teknologia- ja datavarantojen monimutkaisuutta sekä sisällyttämään tietoturva rakenteelliseksi osaksi liiketoiminnan päätöksentekoa. Viitekehys pohjautuu ISO 27001-standardiin, ja sitä tukevat asianmukaiset politiikat ja prosessit.
Hastingsilla on käytössä toimintatavat, joilla seurataan tietoturva- ja kyberturvallisuustapahtumia ja -poikkeamia ja reagoidaan niihin. Riippumattomat toimijat validoivat ja testaavat toimintatavat säännöllisesti. Testauksen suorittavat yhtiön CBEST-sertifioidut kumppanit, ja se sisältää haavoittuvuusarviointeja ja tunkeutumistestejä sekä sisäisesti toteutettuja tietojenkalastelukampanjoita ja harjoituksia, joilla tarkastetaan poikkeamien hallintamenettelyjen sietokyky ja kestävyys.
Hastingsilla on erilliset tietoturva-, kyberturvallisuus-, tietosuoja- ja compliance-tiimit, joiden tarkoituksena on suojata ja tukea yhtiön liiketoimintaa, hallinnoida politiikkoja ja valvontakeinoja, arvioida riskejä ja estää luvaton tai sopimaton pääsy tietoihin. Hastings on aktiivisesti mukana koko toimialan kyberuhkien ja tietoturvauhkien tutkimuksessa ja kuuluu useisiin sääntelyviranomaisten perustamiin ja valtion virastojen, kuten Ison-Britannian kansallisen kyberturvallisuuskeskuksen tukemiin kyberkoordinointiryhmiin.
Henkilöstön koulutus
Hastings tarjoaa kaikille työntekijöille pakollisen koulutuksen ja tarvittaessa täydentävää kybertietoisuuskoulutusta. Yhtiö on säännöllisesti yhteydessä työntekijöihinsä, jotta he tuntevat uhat ja tietävät miten toimia ongelmatilanteissa.
Ulkoistettu tietojenkäsittely
Hastings arvioi kolmannen osapuolen tietojenkäsittelijät vähintään kerran vuodessa ja suuren volyymin ja/tai korkean riskin tietojenkäsittelijät useammin. Hastings käyttää seurantaan ja arviointiin ulkoista due diligence -palvelua. Lisäksi Hastingsilla on vakiintunut alihankkijoidenhallintaprotokolla, johon kuuluu säännöllisiä suorituskyvyn ja vaatimustenmukaisuuden arviointeja, mukaan lukien tarkastuskäynnit alihankkijoiden toimitiloihin tarpeen mukaan.
Raportointi
Hastingsilla on operatiivisia toimenpiteitä, joiden avulla seurataan ja reagoidaan tietoturva- ja kyberturvallisuuspoikkeamiin. Poikkeamista ja huolenaiheista raportoidaan keskitetylle tietoturvatiimille tutkintaa, dokumentointia ja tukea varten. Tietoturvajohtaja ja tarpeen mukaan muu johto liittyy mukaan eskalointiprosessiin osana yhtiönlaajuista tietosuojaloukkausten hallinnointiprosessia.
Hallinnointi
Mandatumin tietoturvan hallintajärjestelmä on sertifioitu ISO/IEC 27001:2013 -standardin mukaisesti. Sertifikaatin myöntäjä auditoi järjestelmän vuosittain. Yhtiö on mukauttamassa tietoturvariskien hallintamalliaan operatiivisten riskien hallintamallin osaksi. Mandatum on lisäksi määrittänyt tunnusluvut ja riskinottohalukkuuden, ja sen riskitaksonomiassa on erillinen kategoria kyberriskeille.
Mandatum kehittää tietoturvaa ja kyberturvallisuutta systemaattisesti ja johdon hyväksymän tietoturvastrategian mukaisesti. Jatkuvasti muuttuvan uhkaympäristön perusteella strategiaan voidaan tarvittaessa tehdä muutoksia. Strategian ensisijaisena tavoitteena on varmistaa johdon tietoisuus tietoturvan tilasta, määritellä kehitystoimien painopisteet ja varmistaa niiden riittävä resursointi.
Mandatumin päivittäinen tietoturva- ja kyberturvallisuusjohtaminen perustuu Mandatum Lifen ja MAMin hallituksien vuosittain hyväksymään tietoturvapolitiikkaan. Politiikka koskee kaikkia Mandatumin työntekijöitä ja sidosryhmien edustajia, jotka käsittelevät yhtiön tietoja työtehtävissään. Politiikan vaatimukset sisältyvät myös alihankkijoiden, palveluntarjoajien ja muiden ulkoisten sidosryhmien kanssa tehtäviin sopimuksiin. Politiikka liittyy läheisesti muihin Mandatumin sisäisiin politiikkoihin, kuten yksityiskohtaisempia ohjeita sisältävään tiedonhallintapolitiikkaan ja tietosuojapolitiikkaan. Täydentäviä ohjeita ovat esimerkiksi internetin, tietoverkon ja sähköpostin käyttöperiaatteet, käyttövaltuusperiaatteet, lokikirjaamisen periaatteet, pilvipalveluiden käytön periaatteet, salausta koskevat periaatteet ja Mandatumin tietoturvallisuuden hallintajärjestelmä muiden ohjeiden ja käytäntöjen lisäksi.
Mandatumin ensimmäisellä ja toisella puolustuslinjalla on omat tietoturvaorganisaationsa. Operatiivisesta tieto-turvatyöstä vastaa Business Technology -yksikkö, joka suunnittelee ja toteuttaa tieto- ja kyberturvallisuuteen liittyvät tekniset ja hallinnolliset ratkaisut. Tietoturvan strateginen ja taktinen hallinta sekä muiden yksiköiden seuranta ja tukeminen on keskitetty riskienhallintatoimintoon, jossa sitä johtaa tietoturvajohtaja.
Tietoturvan ja kyberturvallisuuden tasoa arvioidaan jatkuvasti, ja prosesseja ja järjestelmiä koskevia testejä tehdään säännöllisesti. Tietoturva- ja kyberriskejä seurataan aktiivisesti, ja niistä raportoidaan neljännesvuosittain yhtiön tietoturva- ja kyberriskien komitealle.
Henkilöstön koulutus
Jokaisella Mandatumin työntekijällä ja yhtiön nimissä toimivalla henkilöllä on velvollisuus noudattaa yhtiön tietoturvapolitiikkaa, -periaatteita ja -ohjeita ja varmistaa, että niihin liittyvää lainsäädäntöä noudatetaan. Työntekijöiden tietoturvatietoisuus ja -osaaminen varmistetaan koulutuksella ja ohjeilla. Verkkokoulutuksen suoritusastetta seurataan säännöllisesti. Verkkokoulutuksen lisäksi tietyille tiimeille ja yksiköille tarjotaan tarvittaessa räätälöityä koulutusta.
Ulkoisten kumppaneiden riittävät tietoturvatiedot ja -osaaminen pyritään varmistamaan sopimuksilla, ohjeilla ja tarvittaessa koulutuksella.
Ulkoistettu tietojenkäsittely
Mandatum valvoo ja tarkastaa kolmannen osapuolen tietojenkäsittelijöitä tekemällä riskiperusteisia seurantatarkastuksia vähintään vuosittain. Yhtiö käyttää valvonnassa muun muassa erilaisia työkaluja ja palveluja, jotka tarjoavat riskiluokituksia (esim. riskiluokitusalustat). Lisäksi kolmannen osapuolen tietojenkäsittelijöiden palvelun tasoa seurataan säännöllisesti, tyypillisesti kuukausittain tai neljännesvuosittain.
Raportointi
Tietoturvan tai kyberturvallisuuden epäillyistä rikkomuksista, väärinkäytöksistä tai puutteista tietoturvassa ja kyberturvallisuudessa ilmoitetaan raportointijärjestelmään tai suoraan joko tietoturvapäällikölle tai tietoturvatiimille. Ilmoitetut ongelmatilanteet käsitellään viipymättä tietosuojan ja tietoturvan poikkeamien hallintaprosessin mukaisesti ja ohjataan tarvittaessa kriisinhallintatiimille.
Sampo Oyj:n tietoturva- ja kyberturvallisuusjärjestelmä on integroitu Ifin IT-infrastruktuuriin. Lisäksi Sampo Oyj:llä on vahva sisäinen valvonta ja lisäresursseja yhtiön omiin tarpeisiin. Sampo Oyj päivittää kyberuhkiin liittyvää tietoa jatkuvasti ja tietoturvaohjeita usein yhtiön intranetissä.
Tietoturva ja kyberturvallisuus kuuluvat Sampo Oyj:n uusien työntekijöiden perehdytykseen. Kaikille työntekijöille järjestetään sisäisiä koulutustilaisuuksia kaksi kertaa vuodessa, ja työntekijöiden osallistumista koulutuksiin seurataan. Koulutustilaisuudet ja -materiaalit, ovat aina työntekijöiden käytettävissä.
Aiheeseen liittyvää tietoa:
Päivitetty