Kirjoittajan arkistot: Kim Ruokonen

Tietoja Kim Ruokonen

Underwriter Kim Ruokonen pohtii yritysten turvallisuuteen ja riskienhallintaan liittyviä ajankohtaisia ilmiöitä sekä yritysten toimintaympäristöön vaikuttavia riskejä. Hänellä on pitkä kokemus yritysten riskienhallinnan konsultoinnista ja suuryritysten omaisuus- ja keskeytysriskien vakuuttamisesta.

Tunnista vihollisesi kybermaailmassa

Yhdysvalloissa FBI on pitkään kamppaillut kyberrikollisuutta vastaan. He jakavat kyberrikolliset yleensä neljään eri ryhmään. Kaikilla ryhmillä on omat motivaatiot toiminnallensa.

  1. Valtiolliset toimijat

Valtiolliset toimijat etsivät hyödyllistä informaatiota muiden valtioiden salaisuuksista tai hakevat omalle teollisuudelleen hyötyä muiden maiden yritysten liikesalaisuuksista. He voivat myös hakea poliittista, sotilaallista tai taloudellista etua itselleen. Tavoitteena voi olla myös aiheuttaa harmia itselleen vastaisille tahoille estämällä ja vaikeuttamalla niiden toimintaa verkossa. Aseina ovat palvelunestohyökkäykset, tiedon tuhoaminen ja manipulointi, väärän tiedon jakaminen sekä trollaus.

  1. Rikolliset

Rikollisten motivaatio kybermaailmassa sama on kuten perinteisessäkin rikollisuudessa eli raha. Keinot ovat usein samankaltaisia kuin valtioiden käyttämät menetelmät, joissain tapauksissa rikollisten menetelmät ovat olleet jopa valtioiden menetelmiä kehittyneempiä. Joskus näiden kahden ero onkin häviävän pieni.

  1. Haktivistit

Haktivistien tavoitteen on saada lähetettyä poliittinen viesti. He eivät etsi toiminnallansa voittoa vaan haluavat aiheuttaa hämminkiä ja nostaa esille tiettyjen toimialojen tai yritysten toimintaa omien tarkoitusperiensä tueksi. Työkalut eivät tavallisesti ole niin kehittyneitä kuin valtioilla ja rikollisilla.

  1. Sisäpiiriläiset

Neljännen joukon muodostavat sisäpiiriläiset, eli omat työntekijät. Joillakin voi olla toimintaansa motiivina vahingoittaa työnantajaansa, mutta useimmissa tapauksessa kyse on ajattelemattomuudesta, välinpitämättömyydestä tai hölmöydestä. He avaavat sähköpostin liitetiedostoja, vierailevat nettisivuilla jossa ei pitäisi käydä ja klikkaavat mainosbannereita joita ei pitäisi klikata. Näin he päästävät haitalliset virukset ja ohjelmat omaan sisäverkkoonsa.

Haluatko polttaa työpaikkasi uudestaan

Tulitöistä aiheutuu vuosi vuodelta vähemmän vahinkoja. Tietenkin vuosissa on eroja. mutta kokonaisuutena vahinkojen määrät ovat tulleet alaspäin. Kun tulityökoulutus aloitettiin 90-luvun alussa, oli tulityöt syttymissyynä suurvahingoissa Finanssialan Keskusliiton tilaston mukaan yli 20 % tapauksissa. Joka viides suuri, yli 200 000 € vahingot aiheuttanut tulipalo aiheutui tulitöistä.

Nyt tulityökorttikoulutuksen ansiosta tulityöt aiheuttavat alle 5 % vahingoista. Noin 200 suurpalovahingosta ne aiheuttavat ”vain” noin kymmenen tapausta. Suurpaloista korvataan vuosittain noin 100 miljoonaa euroa, se on noin puolet kaikista korvatuista palovahingoista.

Riskit eivät kuitenkaan ole poistuneet, palokunta käy sammuttamassa tulitöistä aiheutuneita vahinkoja noin 150 kertaa vuodessa, eli kolmisen kertaa viikossa. Kymmenkunta suurpaloa ja 140 muuta tulipaloa ovat vain jäävuoren huippu. Tapaturmapyramidin periaatteella niiden alla piileskelee tuhansia vaaratilanteita ja lukemattomia puutteita ja laiminlyöntejä ohjeiden noudattamisessa sekä muussa turvallisuudessa. Tähän massaan osuu havaintoni tilapäisten tulityöpaikkojen turvallisuuspuutteista, jotka ovat mielestäni lisääntyneet. (kts. aikaisempi blogini)

Oli puhumassa otsikolla ”haluatko polttaa työpaikkasi” Suomen palopäällystöliiton tulitöiden kurssinjohtajapäivillä. Kuulijat olivat kanssani yhtä mieltä siitä, että tulitöiden lupamalli on muuttunut entistä enemmän pelkäksi byrokratiaksi. Luvat myönnetään liian usein työpöydän äärestä käymättä tulityöpaikalla. Tilapäisiä tulityöpaikkoja käydään tarkastamassa liian harvoin töiden aikana eikä mahdollisia puutteita suojauksissa käsitellä muiden vaaratilanteiden mukaisesti.

Luvan myöntäjän tulisi jollain tapaa varmistaa että vaaditut toimenpiteet on toteutettu ennen töiden aloittamista. Puutteet tulitöiden suojauksissa tulisi käsitellä vaaratilanneilmoituksina työtekijän esimiehen kanssa. Useammasta puutteesta tai törkeästä laiminlyönnistä pitäisi poistaa kokonaan työmaalta. Työpaikan polttamisessa tulee olla aina nollatoleranssi.

Safety ja security tappeli, kumpi voitti

Työmatkallani Moskovaan huomasin taas jälleen, että turvallisuus merkitsee Venäjällä hieman eri asiaa kuin Suomessa. Siellä turvallisuuspäällikkö vastaa lähinnä vartioinnista ja toimii vartijoiden esimiehenä. Suomessa turvallisuuspäällikön toimenkuva on laajempi ja kattaa lähes kaikki turvallisuuden osa-alueet.

Englanniksi turvallisuudesta käytetään kahta eri termiä: safety ja security. Venäjällä turvallisuuspäällikkö onkin enemmän pelkkä security manager ja Suomessa toimenkuva on laajempi: safety and security manager.

Turvallisuuden safety puoli voidaan määrittää siten, että sillä pyritään estämään kaikenlaisia ei-toivottuja tapahtumia, tapaturmia tai omaisuusvahinkoja. Yhteistä niille on että ne syntyvät vahingossa, huolimattomuuden tai muun epähuomion tai epäonnen takia, kukaan ei halua niiden tapahtuvan.

Turvallisuuden security-puoli taas yrittää estää tapahtumia, jotka syntyvät aikomuksesta tai toimista joilla on jokin motiivi, yleensä taloudellinen. Yrityksen kustannuksella koetetaan saada omaa taloudellista etua, joko varastamalla yrityksen omaisuutta tai muutoin vaikuttamalla sen liiketoimintaan siten, että tekijä itse hyötyy asiasta. Motiivi tosin voi olla myös maineen mustamaalaus tai oman agendan saaminen esille toisen kustannuksella.

Safety estää siis tahattomia epäonnisia sattumuksia ja security sellaisia tilanteita, joissa taustalla on jokin motiivi, jonka vuoksi ne tehdään. Turvallisuuden molempia puolia tarvitaan ja riippuu yrityksen riskeistä ja toimiympäristöstä kumpi niistä on painavammin esillä.

Venäjällä silmiin pistää vartijoiden suuri määrä. Niitä tulee tuotantolaitoksissa ja toimipaikoissa vastaan lähes kaikkialla. Suomessa vartijoihin törmää päiväsaikaan pelkästään vastaanotossa ja porteilla. Päivällähän paikalla ovat työntekijät.

Haluatko polttaa työpaikkasi?

Tulitöiden toimintamalli on rapautunut ja hyvästä tavasta on muodostumassa pakollinen byrokratia, jota noudatetaan vain vaadittavan paperisodan takia.

Tilapäiset tulityöpaikat, joita olen viime aikoina tarkastanut, ovat melkein kaikki pääsääntöisesti vastoin annettuja ja hyväksi havaittuja ohjeita ja määräyksiä.
– alkusammutuskalusto ei ole asianmukaista tai sitä ei ole lainkaan
– ylimääräistä palokuormaa ei ole siivottu tulityöpaikalta, jopa öljyisiä rättejä on lojunut maassa
– suojaukset ovat puutteellisia tai niitä ei löydy
– tulityövartiointi työn aikana on olematonta ja kipinät putoilevat alempiin kerroksiin ja kulkeutuvat kauas tulityöpaikalta.

Olenkin ottanut tavaksi aina kierroksella tarkastaa jokaisen vastaan tulevan tilapäisen tulityöpaikan, taas viimeksi löytyi huomautettavaa.

Tulitöiden suojeluohjeiden laiminlyönti tulee aina ottaa vakavasti ja siitä pitäisi laatia vaaratilanneilmoitus. Ilmoitus tulee käsitellä tulityöntekijän esimiehen kanssa. Toistuvien laiminlyöntien tulee johtaa sanktioihin.

Tulitöiden suojeluohjeessa vaaditaan yhteistä tulityön tekijän ja luvan myöntäjän laatimaa vaaranarviointia ja tulityöpaikan tarkastamista. Jos nuo vaatimukset täytettäisiin asianmukaisesti ja niiden edellyttämät toimenpiteet tehtäisiin, uskon, että useimmilta laiminlyönneiltä vältyttäisiin.

Tulitöiden suojeluohjeen laiminlyönti voi johtaa mahdollisen vahingonkorvauksen pienentämiseen tai jopa korvauksen epäämiseen.

Mind the gaps

Kansainvälisen toiminnan vakuuttamisessa tärkeintä ei ole millä tavalla vakuutukset on tehty, tärkeintä että vakuutusturva eri maissa on yhdenmukainen: kattaa samat riskit ja takaa saman turvan. Tällöin yrityksen vakuutuksista vastaava risk manager voi olla varma, että vahingon sattuessa vakuutusturva korvaa vahingot sovitusti ja yhtiön vastuulle jää vain sen itse päättämä omavastuu. Paikallisesti hankittu vakuutusturva on helppo ja toimiva vaihtoehto, jos kansainvälistä toimintaa ei ole kovin laajasti ja yksiköiden toiminta ei ole toisistaan riippuvaista.

Jos toiminta on laajaa, tapahtuu useissa maissa ja/tai kohteiden toiminta on riippuvainen toisistaan, kannattaa vakuutusturva tehdä kansainvälisenä vakuutusohjelmana. KV-ohjemassa kaikki maat vakuutetaan yhdellä sopimuksella, samoin ehdoin ja turvin. Vakuutukselle laaditaan suomalainen päävakuutus eli master policy ja sille omat ehdot. Kohteet vakuutetaan paikallisesti mahdollisimman samankaltaisella turvalla. Tällä tavalla varmistetaan kattava yhden mukainen vakuutusturva.

Päävakuutukseen otetaan mukaan lisäturvana ehto joka korvaa paikallisten vakuutusten mahdolliset eroavaisuudet päävakuutuksesta, master policystä. Tämä DIC/DIL (differences in conditions, differences in limits) ehto korvaa mahdolliset poikkeamat, jotka voivat johtua esimerkiksi paikallisesta lainsäädännöstä. Tällöin korvaus maksetaan emoyhtiölle kotimaahan. Paikallisen turvan tulee olla kuitenkin mahdollisimman lähellä päävakuutusta, koska kaikkiin maihin ei vakuutuskorvausta voi maksaa suoraan Suomesta ja yhtiön omat siirrot voidaan katsoa verotettavaksi tuloksi.

Päävakuutukseen voi myös ottaa muita lisäturvia ja laajennuksia kattamamaan esimerkiksi yhtiön sisäisiä liiketoiminnallisia riippuvuuksia tai riippuvuuksia tärkeistä toimittajista tai asiakkaista. Näin saadaan katettua koko yhtiön liiketoiminta ja sitä mahdollisesti uhkaavat tuotannon ja toiminnan katkokset. Näiden riippuvuuksien vakuuttaminen ilman keskitettyä ohjelmaratkaisua ei ole käytännössä mahdollista.

Risk managerin on tärkeä tuntea oman yhtiö toiminta ja liiketoiminnan periaatteet. Tärkeimpien ja kriittisten tuotantolaitosten tulee olla tuttuja ja niissä olevien riskien tiedossa. Suurin kohde tai tuotantolinja ei ole välttämättä tuloksen ja koko yhtiön kannalta tärkein. Eri kohteiden arvioimisessa ja riskien tunnistamisessa hyvä ja helppo keino on hyödyntää vakuutusyhtiöiden riskienhallinnan asiantuntijoita ja heidän laatimiaan yhdenmukaisia raportteja.

Pohjola tarjoaa asiakkailleen laajan kansainvälisen verkoston, jonka kautta Suomessa sovittu vakuutusturva saadaan voimaan yli 150 maassa. Sen avulla saadaan voimaan yhdenmukaiset ja paikallista lainsäädäntöä noudattavat vakuutukset. Samalla varmistutaan, että kaikki paikalliset verot ja muut sen luonteiset maksut tulevat hoidetuksi. Vahinkojen korvaukset sujuvat ja suurissa ja vaikeissa vahingoissa vahinkoa hoitamaan nimetään Pohjolan oma erityisasiantuntija. Pohjolan riskienhallinnan asiantuntijat ovat tottuneet toimimaan kansainvälisesti ja ovat usein jossain päin maailmaa tarkastuskäynneillä.

Ilmastonmuutos on jo täällä

Jäätiköt sulavat Alpeilla, Andeilla, Himalajalla, Afrikassa ja kaikkialla muualla missä niitä on. Koralliriutat Australiassa ja Karibialla ovat vaikeuksissa. Tyynen meren lohen vaellusreitit ovat muuttuneet. Kanadassa ja Englannissa tulvii. Metsät palavat Kaliforniassa ja Australiassa. Viini kypsyy nopeammin ja muuttolinnut palaavat Suomeen aikaisemmin.

Muutoksia ilmastossa on nähtävissä ympäri maailmaa. Sääilmiöiden ääripäiden taajuus on kasvanut ja ääri-ilmiöt ovat vuosi vuodelta rankempia. Ennätyshelteitä seuraa ennätystulvat ja niitä ennätysmyrskyt ja ennätyskuivuus. Ilmastonmuutos ei ole enää kaukainen uhka vaan se tapahtuu nyt ja sen voi tuntea kaikkialla.

Yritykset ovat keskittyneet siihen, mitä pitäisi tehdä ilmastonmuutoksen estämiseksi ja Suomessa on paljon sen eteen tehtykin. Nyt on aika jo pohtia, miten muutoksen vaikutuksiin tulee varautua. Kansainvälisissä omaisuusvakuutuksissa ei sään ääri-ilmiöille saa enää automaattisesti täyttä turvaa. Vakuutusyhtiöt rajoittavat vastuitaan jälleenvakuuttajien perässä.

Suomessa vakuutukset korvaavat vielä rankkasateista ja myrskystä aiheutuneita merivesi- ja vesistötulvavahinkoja, mikäli vedenpinnan nousu on ollut poikkeuksellista. Eli sellaisia tapahtumia, joiden esiintymistodennäköisyys on kerran 50 vuodessa tai harvemmin. Puolivuosisataa taaksepäin tilastoissa voi näyttää aika tavalla erilaiselta kuin tulevan 50 vuoden ennuste.

Nyt on jo korkea aika varautua ilmastonmuutoksen vaikutuksiin sen lisäksi että toimitaan sen estämiseksi, tai pikemminkin rajoittamiseksi. Omien ja avainkumppaneiden tuotantolaitosten sijainnit tulee olla tiedossa ja ilmastonmuutoksen vaikutukset niiden toimintaympäristöön pitää tietää. Riskejä täytyy hajauttaa mahdollisuuksien mukaan ja vakuutusturvan tulee olla ajan tasalla ja riittävä.

Ilmastonmuutos on jo täällä!