Käytössäsi on vanha selainversio

Huomioithan, että sivusto ei välttämättä toimi oikein vanhentuneella selaimella. Suosittelemme selaimen päivittämistä tai toisen selaimen käyttämistä.

Tällä sivustolla käytetään evästeitä parhaan käyttäjäkokemuksen tarjoamiseksi. Jatkamalla sivuston selailua hyväksyt evästeiden käytön. Halutessasi voit muuttaa selaimesi asetuksia. Lisätietoja tietosuojailmoituksessamme.

Hyväksyn

Tietoturva ja kyberturvallisuus

Sampo-konsernin yhtiöt ovat alttiita tietoturva- ja kyberturvallisuusriskeille, koska yhtiöt käsittelevät paljon arkaluonteisia tietoja ja niiden toimintamaissa on tiukat tietosuojamääräykset. Näiden riskien hallinta on tärkeää asiakkaiden ja muiden sidosryhmien tietojen suojaamisen sekä konserniyhtiöiden toiminnan varmistamisen ja jatkuvuuden kannalta.

Sampo-konsernin yhtiöt ovat sitoutuneet tekemään säännöllisiä riskianalyysejä, suorittamaan jatkuvuussuunnittelua ja ylläpitämään tehokkaita sisäisiä prosesseja, laadukkaita järjestelmiä ja infrastruktuuria, joiden avulla varmistetaan tietoturva- ja kyberturvallisuusvalmius. Sampo-konserni edellyttää tietoturvaan ja kyberturvallisuuteen liittyvien vaatimusten noudattamista sekä konsernin sisäisiltä että ulkoisilta sidosryhmiltä.

Sampo-konsernin yhtiöt pyrkivät aina varmistamaan asiakkaille tarjoamiensa palvelujen turvallisuuden. Konserniyhtiöille on ensiarvoisen tärkeää, että niiden tietoturva ja kyberturvallisuus on riittävällä tasolla liiketoiminnan luonteeseen ja laajuuteen sekä teknologian kehitykseen nähden ja vastaa finanssialan yhtiöiltä yleisesti odotettua tasoa. Tietoturvan ja kyberturvallisuuden konsernitason ohjeasiakirja on Sampo-konsernin toimintaperiaatteet. Lisäksi eri konserniyhtiöillä on yksityiskohtaisempia, omaan liiketoimintaansa liittyviä politiikkoja ja ohjeita.

Kaikkien Sampo-konsernin yhtiöiden on ilmoitettava merkittävistä tietoturvapoikkeamista paikallisille viranomaisille vuosittain ja heti poikkeaman tapahduttua. Vuoden 2020 aikana tehtiin yksi ilmoitus Viron finanssivalvonnalle.

Viranomaisille ilmoitetut tietoturva- ja kyberturvallisuuspoikkeamat, Sampo-konserni 2020 2019 2018
If 1 0 2
Topdanmark 0 0 0
Mandatum Life 0 0 0
Sampo Oyj 0 0 0
Sampo-konserni* 1 0 2

* Pois lukien Hastings

If

Ifillä on kattava tietoturvan ja kyberturvallisuuden hallintomalli, johon kuuluu toimintaperiaatteet, standardit, roolit ja vastuut, valvontamenettelyt sekä raportointirakenteet. Yhtiön tietoturvapolitiikka ja -normit perustuvat ISO 27001 -standardiin. Niissä määritetään tietoturvan ja kyberturvallisuuden vähimmäisvaatimukset, joita kaikkien If-konsernin yhtiöiden ja niiden merkittävien alihankkijoiden ja yhteistyökumppaneiden edellytetään noudattavan. Riskejä ja vaatimusten noudattamista arvioidaan säännöllisesti. Rikkomukset voivat johtaa kurinpitotoimiin.

Kaikille uusille työntekijöille järjestetään tietoturva- ja kyberturvallisuuskoulutusta, jota täydennetään vuosittain verkkokoulutuksella, lähiopetuksella, intranet-artikkeleilla ja säännöllisillä tietojenkalastelusimulaatioilla. Koulutuksen aiheita ovat esimerkiksi tietoturvavaatimukset, -roolit ja -vastuut, ajankohtaiset tietoturvariskit ja tietoturvapoikkeamista ilmoittaminen.

Ifin tietoturvajohtajalla on kokonaisvastuu Ifin tietoturvasta ja kyberturvallisuudesta. Hän myös tukee hallitusta tietoturvan tilaan ja toteutukseen liittyvissä asioissa. Tietoturvajohtaja toimii toisessa linjassa ja raportoi suoraan riskienhallintajohtajalle ja tietosuojayksikölle. Tämä vahvistaa liiketoimintatietoihin liittyvien riskien ja vaatimustenmukaisuuden hallintaa. Ensimmäisen puolustuslinjan muodostavat tietohallintojohtajalle raportoiva IT-turvallisuuspäällikkö, joka on erikoistunut tieto- ja viestintäteknologian turvallisuuteen ja johtaa IT-turvallisuusasiantuntijoiden ja sovellustestaajien tiimiä, sekä IT-riskienhallinnan ja -turvallisuusvaatimusten asiantuntija.

Tietoturva- ja kyberturvallisuusriskeistä raportoidaan yhtiön operatiivisten riskien komitealle liiketoiminta- ja IT-organisaatioiden säännöllisen riskiraportoinnin osana. Täysimääräinen raportti laaditaan puolivuosittain, ja mahdollisista uusista merkittävistä riskeistä tai niiden muutoksista raportoidaan neljännesvuosittain. Lisäksi näistä riskeistä raportoidaan yhtiön riskienhallintatoiminnon koordinoiman raportoinnin puitteissa Ifin hallitukselle, toimitusjohtajalle sekä tietoturvasta ja kyberturvallisuudesta vastaavalle hallituksen riski- ja vakavaraisuuskomitealle (ORSA-komitea). Ifin riskiprofiilista ja pääomatilanteesta annetaan neljännesvuosittain yleiskatsaus ORSA-komitealle ja hallitukselle. Hallitukselle laaditaan kerran vuodessa tarkempi ORSA-raportti, joka sisältää kolmen vuoden riski- ja vakavaraisuusarvion. Tietoturvan valvontaa ja riskeihin liittyviä toimia koskevat tunnusluvut raportoidaan kuukausittain tietohallintojohtajalle ja keskeisille sidosryhmille, kuten IT-palvelupäällikölle, riskienhallintajohtajalle, jatkuvuuspäällikölle, riskienhallinnan ja raportoinnin henkilöstölle sekä IT-palvelujen tuotantohenkilöstölle.

Ifillä on käytössä menettelyjä tietoturvan varmistamiseksi ulkoistetussa tietojenkäsittelyssä. Se esimerkiksi noudattaa asianmukaista huolellisuutta yhteistyökumppanien valinnassa, sisällyttää tietoturvan alihankintasopimuksiin sekä seuraa alihankkijoidensa tietoturvaa ja tekee tarkastuksia. Ifin hankinta- ja ulkoistamisprosessit varmistavat, että riskit arvioidaan ja sopimusten tietoturvavaatimukset täyttyvät, ennen kuin sopimus ulkoisen toimittajan kanssa allekirjoitetaan. Toimittajien suoriutumista seurataan yhtiön toimitus- ja hallintofoorumeilla. If seuraa jatkuvasti yhtiön omaa ja sen keskeisten alihankkijoiden tietoturva-asemaa kolmannen osapuolen palvelulla, joka varoittaa tietoturvaloukkauksista ja -poikkeamista.

Ifin ICT-sovellukset, -järjestelmät ja -infrastruktuuri on suunniteltu kestäviksi ja suojattu kyberhyökkäyksiltä. Ulkoinen turvallisuuskeskus tarkkailee järjestelmän tapahtumia ja poikkeamia vuorokauden ympäri ja tukee Ifiä havaitsemalla tietoturvapoikkeamat ja reagoimalla niihin.

Uusien ratkaisujen käyttöönottoon ja kriittisten sovellusten tai järjestelmien muutoksiin liittyvään muutoksenhallintaan sisältyy riippumattoman sisäisen asiantuntijaryhmän suorittama, riskiperusteista lähestymistapaa noudattava tietoturvatestaus. Tietoturvatestejä tilataan säännöllisesti myös ulkopuolisilta asiantuntijoilta.

Ifin tietoturva- ja kyberturvallisuustarkastukset tehdään ja niistä raportoidaan tytäryhtiötasolla. Ifin konsernitason sisäinen tarkastus kuitenkin auditoi tietoturvan ja kyberturvallisuuden hallinnointia vuosittain. Auditoinnit ovat riskiperusteisia ja kohdennetaan sisäisen tarkastuksen toimintasuunnitelmien mukaisesti, jotka kunkin Ifin tytäryhtiön hallitus on hyväksynyt. Riippumattomat tilintarkastajat tarkastavat kaikkien Ifin taloudelliseen raportointiin liittyvien keskeisten järjestelmien yleisen suojauksen lakisääteisten tilintarkastusten yhteydessä.

Kahden viime vuoden aikana tehdyt riippumattomat katsaukset ja auditoinnit ovat vahvistaneet, että Ifin kyberturvallisuuden ja järjestelmien kestävyyden maturiteetti on alan keskiarvoa parempi.

Topdanmark

Topdanmarkilla on tietoturva- ja kyberturvallisuusvalmiuden varmistamiseksi tietoturvapolitiikka ja tietoturvan johtamisjärjestelmä, jotka molemmat perustuvat ISO 27001 -standardiin. Tietoturvapolitiikka on osa Topdanmarkin riskienhallintajärjestelmää ja koskee sekä yhtiön työntekijöitä että yhteistyökumppaneita.

Yhtiön hallitus hyväksyy tietoturvapolitiikan ja IT-valmiussuunnitelman vuosittain päivitetyn IT-riskiarvion perusteella. Merkittävät tai kriittiset operatiiviset IT-riskit, joihin sisältyy myös kyberriski, arvioidaan säännöllisesti, ja arvioinnin tulokset raportoidaan Topdanmarkin hallitukselle, johtoryhmälle, riskitoimikunnalle ja compliance-yksikölle. Topdanmarkin päivittäisestä tietoturvasta ja kyberturvallisuudesta vastaa tietoturvajohtaja, joka raportoi teknologia-, arkkitehtuuri- ja turvallisuusjohtajalle (Vice President of Technology, Architecture and Security). Tämä puolestaan raportoi yhtiön johtoryhmään kuuluvalle teknologiajohtajalle.

Topdanmark on valmistautunut tietoturva- ja kyberturvallisuusuhkiin monitasoisilla turvajärjestelmillä. Yhtiö on esimerkiksi panostanut uhkien varhaisen havaitsemisen ja poikkeamien hallinnan teknologioihin. Topdanmark tekee jatkuvasti haavoittuvuusarviointeja ja testaa uudet järjestelmät heikkouksien varalta ennen kuin ne otetaan käyttöön. Topdanmarkilla on IT- ja kyberrikollisuuden aiheuttamia liiketoiminnan keskeytyksiä varten kattava valmiussuunnitelma, jonka avulla liiketoiminta saadaan palautettua mahdollisimman nopeasti.

Erilaisissa riskiskenaarioissa erityisesti kyberrikollisuuden uhka on Topdanmarkissa lisääntynyt. Topdanmarkin kyberturvallisuuslautakunta, jonka jäseniä ovat mm. teknologia-, arkkitehtuuri- ja turvallisuusjohtaja, operatiivinen IT-johtaja, tietosuojavastaava ja tietoturvajohtaja, arvioi riskiä sekä tarvittavan turvallisuustason saavuttamisen edellyttämiä toimenpiteitä säännöllisesti. Riskiä hallitaan ja minimoidaan esimerkiksi tekemällä yhteistyötä ulkopuolisten asiantuntijoiden kanssa. Kyberriskeistä ja niiden minimoimiseksi suunnitelluista toimista raportoidaan Topdanmarkin hallitukselle vuosittain.

Ulkopuoliset asiantuntijat tarkastavat Topdanmarkin tietojärjestelmät vuotuisen tilintarkastuksen yhteydessä. Näin varmistetaan, että tietojärjestelmistä vuosikertomukseen haettavat tiedot pitävät paikkansa ja että Topdanmark täyttää Tanskan finanssivalvontaviranomaisen asettamat tietoturva- ja tietotekniikkavaatimukset.

Kaikille uusille työntekijöille annetaan perehdytys Topdanmarkin tietoturvapolitiikkaan. Topdanmarkilla on lisäksi erillinen tietoturvaa koskeva verkkokurssi. Kaikkien työntekijöiden ja konsulttien on suoritettava kurssi vuosittain. Topdanmarkin tietoturvapolitiikkaa rikkovalle työntekijälle voi aiheutua työsuhteeseen liittyviä seuraamuksia, vakavimpana irtisanominen.

Hastings

Hastings Groupilla (Hastings) on ISO27001-standardiin pohjautuva tietoturvaviitekehys, jota kehitetään jatkuvasti. Viitekehystä tukevat asianmukaiset politiikat ja prosessit. Viitekehyksellä pyritään puuttumaan prosessien ja ihmisten haavoittuvuuksiin, vähentämään Hastingsin teknologia- ja datavarantojen monimutkaisuutta sekä sisällyttämään tietoturva rakenteelliseksi osaksi liiketoiminnan päätöksentekoa.

Hastingsilla on käytössä myös operatiivisia menetelmiä tietomurtojen ja kyberhyökkäysten seuraamiseksi ja niihin reagoimiseksi. Menetelmät validoidaan ja testataan säännöllisesti ja riippumattomasti käyttäen haavoittuvuusarviointeja ja penetraatiotestausta. Tähän kuuluvat tietojenkalastelukampanjat ja -harjoitukset, joilla tutkitaan organisaation sietokykyä sekä tapausten hallintamenettelyjen toimivuutta.

Hastingsilla on erilliset tietoturva-, kyberturvallisuus-, tietosuoja- ja compliance-tiimit, joiden tarkoituksena on suojata ja tukea yhtiön liiketoimintaa, hallinnoida politiikkoja ja valvontakeinoja, arvioida riskejä ja estää luvaton tai sopimaton pääsy tietoihin. Hastings on aktiivisesti mukana koko toimialan kyberuhkien ja tietoturvauhkien tutkimuksessa ja toimii jäsenenä alan viranomaisten tukemissa kybervasteen koordinointiryhmissä.

Hastings tukee työntekijöitään, jotta he voivat omalla toiminnallaan suojella organisaatiota. Yhtiö tarjoaa kaikille työntekijöille pakollisen koulutuksen ja tarvittaessa täydentävää kybertietoisuuskoulutusta. Hastings on säännöllisesti yhteydessä työntekijöihinsä, jotta he tuntevat uhat ja tietävät miten toimia ongelmatilanteissa.

Mandatum Life

Mandatum Life kehittää tietoturvaa ja kyberturvallisuutta systemaattisesti ja johdon hyväksymän tietoturvastrategian mukaisesti, jatkuvasti muuttuva uhkaympäristö huomioiden. Strategian ensisijaisena tavoitteena on varmistaa johdon tietoisuus tietoturvan tilasta, määritellä kehitystoimien painopisteet ja varmistaa niiden riittävä resursointi. Vuonna 2020 strategia päivitettiin vuosille 2021–2022. Päivitetty strategia painottaa turvallisuusarkkitehtuurin seuranta- ja kehittämisvalmiuksien tehostamista.

Mandatum Lifen päivittäinen tietoturva- ja kyberturvallisuusjohtaminen perustuu yhtiön hallituksen vuosittain hyväksymään tietoturvapolitiikkaan. Politiikka koskee kaikkia Mandatum Lifen työntekijöitä ja sidosryhmien edustajia, jotka käsittelevät yhtiön tietoja työtehtävissään. Politiikan vaatimukset sisältyvät myös alihankkijoiden, palveluntarjoajien ja muiden ulkoisten sidosryhmien kanssa tehtäviin sopimuksiin. Politiikka liittyy läheisesti muihin Mandatum Lifen sisäisiin politiikkoihin, kuten yksityiskohtaisempia ohjeita sisältävään tiedonhallintapolitiikkaan, joka korostaa tietojen luottamuksellisuuden ja asiakkaiden luottamuksen näkökohtia.

Tietoturvapäällikön vetämä tietoturvatiimi vastaa tietoturvan operatiivisesta hallinnasta ja valvoo yhtiön kyberturvallisuutta. Tietoturvan ja kyberturvallisuuden tasoa arvioidaan jatkuvasti, ja prosesseja ja järjestelmiä koskevia testejä tehdään säännöllisesti. Tietoturva- ja kyberriskejä seurataan aktiivisesti, ja niistä raportoidaan neljännesvuosittain yhtiön operatiivisten riskien komitealle.

Jokaisella Mandatum Lifen työntekijällä ja yhtiön nimissä toimivalla henkilöllä on velvollisuus noudattaa yhtiön tietoturvapolitiikkaa, -periaatteita ja -ohjeita ja varmistaa, että niihin liittyvää lainsäädäntöä noudatetaan. Työntekijöiden tietoturvatietoisuus ja -osaaminen varmistetaan koulutuksella ja ohjeilla. Ulkopuolisten kumppaneiden riittävät tietoturvatiedot ja -osaaminen pyritään varmistamaan sopimuksilla, ohjeilla ja tarvittaessa koulutuksella. Yhtiö myös edistää työntekijöiden tietoisuutta tietoturva-asioista informoimalla henkilöstöä säännöllisesti esimerkiksi henkilötietojen kalastelusta ja identiteettivarkauksista.

Tietoturvan tai kyberturvallisuuden epäillyistä rikkomuksista, väärinkäytöksistä tai puutteista tietoturvassa ja kyberturvallisuudessa ilmoitetaan joko tietoturvapäällikölle tai tietoturvatiimille. Työntekijät voivat tehdä ilmoituksia myös intranetin sisäisen ilmoituskanavan kautta. Ilmoitetut ongelmatilanteet käsitellään tietosuojan ja tietoturvan poikkeamien hallintaprosessin mukaisesti ja ohjataan tarvittaessa kriisinhallintatiimille.

Lisätietoa on saatavilla Sampo-konsernin yritysvastuuraportissa, s. 41.

Päivitetty 23.9.2021