Blogi

Kyberriskit huomioitava, jotta rahoitusvakaus säilyy

Aleksi Grym
Kirjoittaja
Neuvonantaja

Finanssiala on äärimmäisen verkottunut kokonaisuus, jossa jokainen toimija on riippuvainen lukuisista muista toimijoista. Tämä kävi selvästi ilmi vuoden 2008 finanssikriisissä, jossa yksittäisen pankin, vakuutusyhtiön tai muun toimijan konkurssi, tai edes sen uhka, saattoi lamauttaa kokonaisen markkinan tai toimialan osan.

Finanssialan verkottuneisuus on merkittävää paitsi maiden rajojen sisäpuolella myös maiden rajojen yli. Finanssikriisin seurauksena alettiin puhua systeemisistä riskeistä, joilla tarkoitetaan yksittäisten toimijoiden tai koko rahoitusjärjestelmän toimintakyvyn vaarantumista sen seurauksena, että yhden rahoitusalan toimijan toimintakyky heikkenee.

Finanssikriisin aikana huomioi keskittyi toimijoiden liiketaloudellisiin riskeihin. Finanssialan digitalisaation myötä huolenaiheeksi ovat nousseet myös operatiiviset systeemiset riskit, niiden joukossa erityisesti kyberriskit. Yksittäisen finanssialan toimijan toimintakyky voi vaarantua paitsi liiketaloudellisista syistä myös silloin, jos kyberriski toteutuu. Tämä häiriö puolestaan saattaa levitä muualle rahoitusjärjestelmään ja vaarantaa kokonaisen markkinan toiminnan.

Kyberriskillä tarkoitetaan yleensä organisaation tietojärjestelmiin kohdistuvaa, haitallisen tapahtuman uhkaa. Useimmiten haitallinen tapahtuma on seurausta rikollisesta toiminnasta kuten palvelunestohyökkäyksestä.

Taloudelliset systeemiset riskit ovat seurausta esimerkiksi liian suuresta riskinotosta, kun taas systeeminen kyberriski voi johtua esimerkiksi toisiinsa kytkeytyneiden tietojärjestelmien teknisistä haavoittuvuuksista. Yhteistä molemmille riskeille on, että pahimmassa tapauksessa menetetään luottamus rahoitusjärjestelmän toimivuuteen.

Systeemiseen kyberriskiin on alettu kiinnittää entistä enemmän huomiota sekä alan kansainvälisissä keskusteluissa että viranomaiskeskustelussa. Muun muassa Taloudellisen yhteistyön ja kehityksen järjestö (OECD) ja Kansainvälinen valuuttarahasto (IMF) ovat viime vuosina julkaisseet raportteja aiheesta. Lisäksi Euroopan järjestelmäriskikomitea (ESRB) on tänä vuonna perustanut kyberriskejä varten oman työryhmän, jonka työhön myös Suomen Pankki osallistuu.

Keskusteltaessa kyberriskeistä yksittäisen organisaation tasolla tai koko rahoitusjärjestelmän tasolla käsitteissä on eroja. Organisaatiotasolla kyberuhkia ja niiden torjuntaa ajatellaan usein lineaarisesti: uhkia ennakoidaan ja jos niitä ilmenee, ne halutaan havaita mahdollisimman nopeasti. Lopulta niiden aiheuttamasta vahingosta pyritään palautumaan nopeasti. Laajemmalla rahoitusjärjestelmän tasolla taas ajatellaan verkostomaisesti: systeemisiä kyberriskejä varten toimijoiden välisiä riippuvuuksia kartoitetaan ja tätä kautta yritetään luoda varajärjestelmiä tai kahdentaa rahoitusjärjestelmän kannalta kriittisiä toimintoja. Haitan ilmettyä tarkoitus on samanaikaisesti palautua ja taata rahoitusjärjestelmän vakaa toiminta.

Kun finanssitoimiala digitalisoituu, kyberriskien systeeminen ulottuvuus nousee yhä tärkeämmäksi teemaksi. Tiedonjaon merkitys eri toimijoiden ja viranomaisten välillä korostuu, jotta voidaan muodostaa oikea tilannekuva ja mitoittaa ja kohdentaa oikeanlaiset vastatoimet ja vähentää näin systeemisiä riskejä.

Uuden maksupalveludirektiivin myötä finanssipalveluja aletaan tuottaa yhä useampien yritysten toimesta, mikä tekee järjestelmästä entistä monimutkaisemman. Pankit ja muut toimijat avaavat teknisiä rajapintoja helpottaakseen tiedonvaihtoa, mikä lisää myös haavoittuvuuskohtien määrää järjestelmätasolla. Finanssipalveluja käytetään ja tuotetaan yhä enemmän reaaliaikaisesti ja vuorokauden ympäri, jolloin myös kyberriskeihin reagointi vaatii entistä enemmän nopeutta ja valppautta.

Vaikka haasteita riittää, voidaan niihin jo varautua. Koska systeemiset kyberriskit muistuttavat rahoitusalan vakausriskejä, niiden analysoinnissa ja valvonnassa voidaan hyödyntää olemassa olevia yhteisiä menetelmiä ja yhteistä osaamista. Kuten rahoitusalan digitalisaatiossa, myös kyberturvallisuustyössä korostuu IT-alan osaamisen ja rahoitusalan osaamisen yhteensovittaminen sekä toimialan ja viranomaisten välinen saumaton yhteistyö.

Blogiartikkeleita voi kommentoida eurojatalous.fi-sivuston ulkopuolisen Disqus-palvelun kautta. Kommentoidessasi hyväksyt Disqus-palvelun säännöt, jotka tulevat hyväksyttäväksi lisätessäsi kommentin. Suomen Pankki moderoi keskustelua.

Takaisin ylös