Tietoturva ja kyberturvallisuus

Olennaisuus

Sampo-konsernin yhtiöille on ensiarvoisen tärkeää, että niiden tietoturva ja kyberturvallisuus on riittävällä tasolla liiketoiminnan luonteeseen ja laajuuteen sekä teknologian kehitykseen nähden ja vastaa finanssialan yhtiöiltä yleisesti odotettua tasoa.  

Konserniyhtiöt ovat alttiita tietoturva- ja kyberturvallisuusriskeille, koska yhtiöt käsittelevät paljon arkaluonteisia tietoja ja niiden toimintamaissa on tiukat tietosuojamääräykset. Näiden riskien hallinta on tärkeää asiakkaiden ja muiden sidosryhmien tietojen suojaamisen sekä konserniyhtiöiden toiminnan varmistamisen ja jatkuvuuden kannalta. 

Konsernin hallintotapa

Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja tietoturvaperiaatteet. Molemmat dokumentit käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi eri konserniyhtiöillä on täydentäviä, omaan liiketoimintaansa liittyviä politiikkoja ja ohjeita.

Sampo-konsernin yhtiöt ovat sitoutuneita tekemään säännöllisiä riskianalyysejä ja jatkuvuussuunnittelua sekä ylläpitämään tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva- ja kyberturvallisuusvalmius. Konserniyhtiöt mittaavat suorituskykyään säännöllisesti ja ovat sitoutuneet kehittämään toimintaansa jatkuvasti. Sampo-konserni edellyttää tietoturvaan ja kyberturvallisuuteen liittyvien vaatimusten noudattamista sekä konsernin sisäisiltä että ulkoisilta sidosryhmiltä (esim. kolmannen osapuolen tietojenkäsittelijät).

Kaikkien Sampo-konsernin työntekijöiden on noudatettava tiukimpia mahdollisia vaatimuksia tietoturvan ja kyberturvallisuuden osalta toimimalla sisäisten sääntöjen ja ohjeiden mukaisesti, käyttämällä asianmukaisia ​​työkaluja ja käyttäytymällä vastuullisesti. Sampo-konsernin yhtiöt huolehtivat siitä, että kaikille työntekijöille ja konsultteina työskenteleville tilapäistyöntekijöille tarjotaan sopivaa koulutusta. 

Konsernin tavoitteet ja päämäärät

Sampo-konsernin tavoitteena on suojata kaikkea tietoa sen arkaluonteisuuden ja tärkeyden perusteella sekä sovellettavia sääntöjä ja määräyksiä noudattaen. 

Viranomaisille ilmoitetut tietoturva- ja kyberturvallisuuspoikkeamat
Sampo-konserni

  2022 2021 2020
If 1 1 1
Topdanmark 0 0 0
Hastings 0 0 -
Mandatum* 0 0 0
Sampo Oyj 0 0 0
Sampo-konserni 1 1 1

* Mandatum oli osa Sampo-konsernia 30.9.2023 asti.

Lisätietoa yhtiöittäin

Hallinnointi

Ifillä on kattava tietoturvan ja kyberturvallisuuden hallintomalli, johon kuuluu toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Yhtiön tietoturvapolitiikka ja -normit perustuvat ISO 27001 -standardiin. Niissä määritetään tietoturvan ja kyberturvallisuuden vähimmäisvaatimukset, joita kaikkien If-konsernin yhtiöiden ja niiden merkittävien alihankkijoiden ja yhteistyökumppaneiden edellytetään noudattavan. Riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.

Ifin tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Hän myös tukee hallitusta tietoturvan tilaan ja toteutukseen liittyvissä asioissa. Tietoturvajohtaja toimii toisessa linjassa ja raportoi suoraan riskienhallintajohtajalle. Ensimmäisen puolustuslinjan muodostavat tietohallintojohtajalle raportoiva IT-turvallisuuspäällikkö, joka on erikoistunut tieto- ja viestintäteknologian turvallisuuteen ja johtaa IT-turvallisuusasiantuntijoiden ja sovellustestaajien tiimiä, sekä IT-riskienhallinnan ja -turvallisuusvaatimusten asiantuntija.

Tietoturva- ja kyberturvallisuusriskeistä raportoidaan tietoturvasta ja kyberturvallisuudesta vastaavalle hallituksen ORSA-komitealle. Ifin riskiprofiilista ja pääomatilanteesta annetaan neljännesvuosittain yleiskatsaus ORSA-komitealle ja hallitukselle. Hallitukselle laaditaan kerran vuodessa tarkempi ORSA-raportti, joka sisältää kolmen vuoden riski- ja vakavaraisuusarvion. Tietoturvan valvontaa ja riskeihin liittyviä toimia koskevat tunnusluvut raportoidaan kuukausittain tietohallintojohtajalle ja keskeisille sidosryhmille, kuten IT-palvelupäällikölle, riskienhallintajohtajalle, jatkuvuuspäällikölle, riskienhallinnan ja raportoinnin henkilöstölle sekä IT-palvelujen tuotantohenkilöstölle.

Uusien ratkaisujen käyttöönottoon ja kriittisten sovellusten tai järjestelmien muutoksiin liittyvään muutoksenhallintaan sisältyy riippumattoman sisäisen asiantuntijaryhmän suorittama, riskiperusteista lähestymistapaa noudattava tietoturvatestaus. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat myös säännöllisesti sovellusten ja IT-infrastruktuurin tietoturvatestejä. 

Henkilöstön koulutus

If järjestää kaikille uusille työntekijöille ja alihankkijoille tietoturva- ja kyberturvallisuuskoulutusta, jota täydennetään vuosittain verkkokoulutuksella, lähiopetuksella ja intranet-artikkeleilla. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, -roolit ja -vastuut, ajankohtaiset tietoturvariskit ja tietoturvapoikkeamista ilmoittaminen. Koko henkilöstön tietoturvatietoisuudesta huolehditaan intranet-artikkeleilla, webinaareilla ja säännöllisillä tietojenkalastelusimulaatioilla, jotka jäljittelevät todellisia hyökkäyksiä.

Kaikki työntekijät ja konsultit osallistuvat vuotuiseen tieto-turvaohjelmaan, joka sisältää verkkokoulutusta, verkkoseminaareja ja jatkuvaa tietojenkalastelukoulutusta. 

Ulkoistettu tietojenkäsittely

Ifillä on käytössä menettelyjä tietoturvan varmistamiseksi ulkoistetussa tietojenkäsittelyssä. Se esimerkiksi noudattaa asianmukaista huolellisuutta yhteistyökumppanien valinnassa, sisällyttää tietoturvan alihankintasopimuksiinsa sekä seuraa alihankkijoidensa tietoturvaa ja tekee tarkastuksia. Ifin hankinta- ja ulkoistamisprosessit varmistavat, että riskit arvioidaan ja sopimusten tietoturvavaatimukset täyttyvät, ennen kuin sopimus ulkoisen toimittajan kanssa allekirjoitetaan. Sopimuspykälät sisältävät vaatimuksia, joilla varmistetaan, että tietoturva- ja kyberturvallisuustoimet ovat riittäviä ja että sopimusehtoja sovelletaan myös alihankkijoihin. Alihankkijoiden suoriutumista seurataan yhtiön toimitus- ja hallintofoorumeilla. If seuraa jatkuvasti yhtiön omaa ja sen keskeisten alihankkijoiden tietoturva-asemaa kolmannen osapuolen palvelulla, joka varoittaa tietoturvaloukkauksista ja -poikkeamista.

If arvioi kolmannen osapuolen tietojenkäsittelijöitä alun perin sopimusneuvottelujen yhteydessä. Arvioinnissa käytetään riskiarviointia, johon sisältyy vastapuolen arviointi. Riskiarviointi käydään läpi vuosittain ja siitä raportoidaan Ifin ulkoistamiskomitealle (Outsourcing Committee) ja hallitukselle tulosten ja riskien seurannan mahdollistamiseksi. Vuotuiseen riskinarviointiin sisältyy tietojen käsittelijän yleisen sopimusperusteisen suorituskyvyn tarkastelu sekä kysymyksiä mahdollisten poikkeamien esiintymisestä ja niiden mahdollisista seurauksista.

Lisäksi Ifillä on kolmannen osapuolen tietojen käsittelyä, jota hoitavat yhtiön kumppanit. Näissä tapauksissa tietojenkäsittelyä arvioidaan säännöllisesti osana sopimusten mukaista suorituskyvyn ja toiminnan seurantaa. 

Auditointi

Ifin tietoturva- ja kyberturvallisuustarkastukset tehdään ja niistä raportoidaan tytäryhtiötasolla. Auditoinnit ovat riskiperusteisia ja kohdennetaan sisäisen tarkastuksen toimintasuunnitelmien mukaisesti, jotka kunkin Ifin tytäryhtiön hallitus on hyväksynyt. Ulkoiset tilintarkastajat tarkastavat kaikkien Ifin taloudelliseen raportointiin liittyvien keskeisten järjestelmien yleisen suojauksen lakisääteisten tilintarkastusten yhteydessä. 

Raportointi

Ifin ICT-sovellukset, -järjestelmät ja -infrastruktuuri on suunniteltu kestäviksi ja suojattu kyberhyökkäyksiltä. Ulkoinen turvallisuuskeskus tarkkailee järjestelmän tapahtumia ja poikkeamia vuorokauden ympäri ja tukee Ifiä havaitsemalla tietoturvapoikkeamat ja reagoimalla niihin. Automaattisesti ja manuaalisesti raportoidut tietoturvapoikkeamat tallennetaan seurantajärjestelmään ja poikkeamia tutkiva tiimi aloittaa niiden selvityksen dokumentoidun ja hyväksytyn prosessin mukaisesti. Poikkeamia käsitellään kuukausittaisissa seurantakokouksissa ja niistä raportoidaan kuukausittain ja neljännesvuosittain johdolle ja hallitukselle.

Hallinnointi

Topdanmarkilla on tietoturvapolitiikka ja tietoturvan johtamisjärjestelmä, jotka molemmat perustuvat ISO 27001 -standardiin. Tietoturvapolitiikka on osa Topdanmarkin riskienhallintajärjestelmää ja koskee sekä yhtiön työntekijöitä että yhteistyökumppaneita.

Yhtiön hallitus hyväksyy tietoturvapolitiikan ja IT-valmiussuunnitelman vuosittain päivitetyn IT-riskiarvion perusteella. Merkittävät tai kriittiset operatiiviset IT-riskit, joihin sisältyy myös kyberriski, arvioidaan säännöllisesti, ja arvioinnin tulokset raportoidaan Topdanmarkin hallitukselle, johtoryhmälle, riskitoimikunnalle ja compliance-yksikölle. Topdanmarkin päivittäisestä tietoturvasta ja kyberturvallisuudesta vastaa tietoturvajohtaja, joka raportoi teknologia-, arkkitehtuuri- ja turvallisuusjohtajalle (Vice President of Technology, Architecture and Security). Tämä puolestaan raportoi yhtiön johtoryhmään kuuluvalle teknologiajohtajalle.

Topdanmark on valmistautunut tietoturva- ja kyberturvallisuusuhkiin monitasoisilla turvajärjestelmillä. Yhtiö on esimerkiksi panostanut uhkien varhaisen havaitsemisen ja poikkeamien hallinnan teknologioihin. Topdanmark tekee jatkuvasti haavoittuvuusarviointeja ja testaa uudet järjestelmät heikkouksien varalta ennen kuin ne otetaan käyttöön. Topdanmarkilla on IT- ja kyberrikollisuuden aiheuttamia liiketoiminnan keskeytyksiä varten kattava valmiussuunnitelma, jonka avulla liiketoiminta saadaan palautettua mahdollisimman nopeasti.

Topdanmarkin kyberturvallisuuslautakunta, jonka jäseniä ovat muun muassa teknologia-, arkkitehtuuri- ja turvallisuusjohtaja, operatiivinen IT-johtaja, tietosuojavastaava ja tietoturvajohtaja, arvioi kyberrikollisuudesta nousevaa riskiä sekä tarvittavan turvallisuustason saavuttamisen edellyttämiä toimenpiteitä säännöllisesti. Riskiä hallitaan ja minimoidaan esimerkiksi tekemällä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Kyberriskeistä ja niiden minimoimiseksi suunnitelluista toimista raportoidaan Topdanmarkin hallitukselle vuosittain.

Lisäksi Topdanmark vaatii ulkopuolisilta tietojen käsittelijöiltä riittäviä tietoturvatoimenpiteitä. Sama vaatimus koskee myös alihankkijoita. 

Henkilöstön koulutus

Kaikille uusille työntekijöille annetaan perehdytys Topdanmarkin tietoturvapolitiikkaan. Topdanmarkilla on lisäksi erillinen tietoturvaa koskeva verkkokurssi. Kaikkien työntekijöiden ja konsulttien on suoritettava kurssi joka toinen vuosi. Topdanmarkin tietoturvapolitiikkaa rikkovalle työntekijälle voi aiheutua työsuhteeseen liittyviä seuraamuksia, vakavimpana irtisanominen. 

Auditointi

Ulkopuoliset asiantuntijat tarkastavat Topdanmarkin tietojärjestelmät vuotuisen tilintarkastuksen yhteydessä. Näin varmistetaan, että tietojärjestelmistä vuosikertomukseen haettavat tiedot pitävät paikkansa ja että Topdanmark täyttää Tanskan finanssivalvontaviranomaisen asettamat tietoturva- ja tietotekniikkavaatimukset.

Hallinnointi

Hastingsilla on tietoturvaviitekehys, jonka avulla pyritään puuttumaan prosessien ja ihmisten haavoittuvuuksiin, vähentämään Hastingsin teknologia- ja datavarantojen monimutkaisuutta sekä sisällyttämään tietoturva rakenteelliseksi osaksi liiketoiminnan päätöksentekoa. Viitekehys pohjautuu ISO 27001-standardiin, ja sitä tukevat asianmukaiset politiikat ja prosessit.

Hastingsilla on käytössä toimintatavat, joilla seurataan tietoturva- ja kyberturvallisuustapahtumia ja -poikkeamia ja reagoidaan niihin. Riippumattomat toimijat validoivat ja testaavat toimintatavat säännöllisesti. Testauksen suorittavat yhtiön CBEST-sertifioidut kumppanit, ja se sisältää haavoittuvuusarviointeja ja tunkeutumistestejä sekä sisäisesti toteutettuja tietojenkalastelukampanjoita ja harjoituksia, joilla tarkastetaan poikkeamien hallintamenettelyjen sietokyky ja kestävyys.  

Hastingsilla on erilliset tietoturva-, kyberturvallisuus-, tietosuoja- ja compliance-tiimit, joiden tarkoituksena on suojata ja tukea yhtiön liiketoimintaa, hallinnoida politiikkoja ja valvontakeinoja, arvioida riskejä ja estää luvaton tai sopimaton pääsy tietoihin. Hastings on aktiivisesti mukana koko toimialan kyberuhkien ja tietoturvauhkien tutkimuksessa ja kuuluu useisiin sääntelyviranomaisten perustamiin ja valtion virastojen, kuten Ison-Britannian kansallisen kyberturvallisuuskeskuksen tukemiin kyberkoordinointiryhmiin.  

Henkilöstön koulutus

Hastings tarjoaa kaikille työntekijöille pakollisen koulutuksen ja tarvittaessa täydentävää kybertietoisuuskoulutusta. Yhtiö on säännöllisesti yhteydessä työntekijöihinsä, jotta he tuntevat uhat ja tietävät miten toimia ongelmatilanteissa.

Ulkoistettu tietojenkäsittely

Hastings arvioi kolmannen osapuolen tietojenkäsittelijät vähintään kerran vuodessa ja suuren volyymin ja/tai korkean riskin tietojenkäsittelijät useammin. Hastings käyttää seurantaan ja arviointiin ulkoista due diligence -palvelua. Lisäksi Hastingsilla on vakiintunut alihankkijoiden hallintaprotokolla, johon kuuluu säännöllisiä suorituskyvyn ja vaatimustenmukaisuuden arviointeja, mukaan lukien tarkastuskäynnit alihankkijoiden toimitiloihin tarpeen mukaan.

Raportointi

Hastingsilla on operatiivisia toimenpiteitä, joiden avulla seurataan ja reagoidaan tietoturva- ja kyberturvallisuuspoikkeamiin. Poikkeamista ja huolenaiheista raportoidaan keskitetylle tietoturvatiimille tutkintaa, dokumentointia ja tukea varten. Tietoturvajohtaja ja tarpeen mukaan muu johto liittyy mukaan eskalointiprosessiin osana yhtiönlaajuista tietosuojaloukkausten hallinnointiprosessia.

Hallinnointi

Sampo Oyj:n tietoturva- ja kyberturvallisuusjärjestelmä on integroitu Ifin IT-infrastruktuuriin ja yhtiö noudattaa Ifin tietoturvaan liittyvien tapahtumien hallinnointiprosessia. Lisäksi Sampo Oyj:llä on vahva sisäinen valvonta ja lisäresursseja yhtiön omiin tarpeisiin. Ennen uusien ratkaisujen käyttöönottoa ja kriittisten sovellusten tai järjestelmien muutoksia suoritetaan riskiarviointiprosessi. Erikoistuneet kolmannen osapuolen tietoturvatestaajat suorittavat myös säännöllisesti tunkeutumistestejä sekä sovellusten ja IT-infrastruktuurin haavoittuvuusskannauksia. Sisäiset asiantuntijat sekä kolmannen osapuolen tietoturvapartnerit päivittävät jatkuvasti kyberuhkiin liittyvää tietoa ja jakavat tietoturvaohjeita yhtiön intranetissä.

Henkilöstön koulutus

Tietoturva ja kyberturvallisuus kuuluvat Sampo Oyj:n uusien työntekijöiden perehdytykseen. Kaikille työntekijöille järjestetään sisäisiä koulutustilaisuuksia kaksi kertaa vuodessa, ja työntekijöiden osallistumista koulutuksiin seurataan. Koulutustilaisuudet ja -materiaalit, ovat aina työntekijöiden käytettävissä.

Päivitetty