Kyberturvallisuus pankkien riskienhallinnassa
Jokisalo, Juho (2024-04-12)
Kyberturvallisuus pankkien riskienhallinnassa
Jokisalo, Juho
(12.04.2024)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
suljettu
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2024041618540
https://urn.fi/URN:NBN:fi-fe2024041618540
Tiivistelmä
Koko ajan digitalisoituvassa maailmassa myös pankkiala on murroksessa. Digitalisaatio tuo uusien liikemahdollisuuksien vastapainoksi myös haasteita ja uhkia. Kyberriskiä pidetään yhtenä merkittävimmistä riskeistä liiketoiminnalle nykypäivänä. Onnistuessaan kyberhyökkäykset voivat aiheuttaa merkittävää vahinkoa pankkitoiminnalle, joka pohjimmiltaan perustuu luottamukseen.
Tämä kandidaatintutkielma keskittyy tutkimaan kyberturvallisuuden roolia pankkien riskienhallinnassa ja liiketoiminnassa. Tutkielmassa tarkastellaan, miten kyberturvallisuus vaikuttaa pankkien liiketoimintaan, ja miten pankit voivat parantaa kyberturvallisuutta osana kokonaisvaltaista riskienhallintaa. Tutkielman lähestymistapana on kvalitatiivinen kirjallisuuskatsaus, jossa keskitytään erityisesti kyberuhkiin, niiden merkitykseen pankkitoiminnalle, aiheeseen liittyvään sääntelyyn, sekä kyberriskien hallintaan ja integroimiseen riskienhallintaprosesseihin. Tutkielma päättyy tulosten analyysiin, yhteenvetoon ja johtopäätöksiin, jotka tiivistävät keskeiset tulokset ja esittävät jatkotutkimusehdotuksia tulevalle tutkimukselle aiheeseen liittyen.
Tutkielmassa havaitaan kyberturvallisuuden olevan monimutkainen kenttä teknisiä ja ei-teknisiä uhkia, ja miten erilaisia pankkeja uhkaavat kyberuhat voivat keskenään olla. Monimuotoisien kyberuhkien takia myös kyberuhkien haittavaikutukset voivat olla monenlaisia, aina lievimpänä pidetystä kilpailullisesta haitasta vakavimpana pidettyyn uhkaan taloudellista vakautta kohtaan. Tutkielmassa havaitaan myös, että pankkien liiketoiminnassa on tärkeää ottaa huomioon toimialaan liittyvä sääntely niin riskienhallinnan, kuin kyberturvallisuudenkin puolelta.
Kyberuhkien riskienhallintaan ei havaita olevan pankkialalla mitään omaa tiettyä säädöstä, eikä vain yhtä tiettyä tapaa järjestää riskienhallintaprosessi. Kyberturvallisuuden riskienhallintaa voidaan tutkielman havaintojen mukaan lähteä rakentamaan yhdistelemällä standardeja, säädöksiä ja viitekehyksiä sekä riskienhallintaan, että kyberturvallisuuteen liittyen. Näistä esimerkkeinä toimivat etenkin ISO 31000- ja ISO/IEC 27000 -standardisarjat, ERM, sekä NIST:n kehittämä kyberturvallisuuden viitekehys, ja siihen liittyvä CIS Controls. Kvantitatiivisen tutkimuksen, sekä laajasti käytettyjen ja toimiviksi todettujen kvantitatiivisten mallien puute nousee esiin alan kirjallisuudessa. Tutkielman havainnoissa korostuu monitasoinen lähestymistapa kyberriskien hallintaan sisältäen niin tekniset toimenpiteet, oikeudelliset ja sääntelytoimenpiteet, kuin organisatoriset vastatoimet. Kyberuhkien monimuotoisuuden takia myös niiden hallintakeinot täytyvät olla monipuolisia, jotta eri keinoilla voidaan hallita keskenään hyvin erilaisia kyberriskejä.
Tämä kandidaatintutkielma keskittyy tutkimaan kyberturvallisuuden roolia pankkien riskienhallinnassa ja liiketoiminnassa. Tutkielmassa tarkastellaan, miten kyberturvallisuus vaikuttaa pankkien liiketoimintaan, ja miten pankit voivat parantaa kyberturvallisuutta osana kokonaisvaltaista riskienhallintaa. Tutkielman lähestymistapana on kvalitatiivinen kirjallisuuskatsaus, jossa keskitytään erityisesti kyberuhkiin, niiden merkitykseen pankkitoiminnalle, aiheeseen liittyvään sääntelyyn, sekä kyberriskien hallintaan ja integroimiseen riskienhallintaprosesseihin. Tutkielma päättyy tulosten analyysiin, yhteenvetoon ja johtopäätöksiin, jotka tiivistävät keskeiset tulokset ja esittävät jatkotutkimusehdotuksia tulevalle tutkimukselle aiheeseen liittyen.
Tutkielmassa havaitaan kyberturvallisuuden olevan monimutkainen kenttä teknisiä ja ei-teknisiä uhkia, ja miten erilaisia pankkeja uhkaavat kyberuhat voivat keskenään olla. Monimuotoisien kyberuhkien takia myös kyberuhkien haittavaikutukset voivat olla monenlaisia, aina lievimpänä pidetystä kilpailullisesta haitasta vakavimpana pidettyyn uhkaan taloudellista vakautta kohtaan. Tutkielmassa havaitaan myös, että pankkien liiketoiminnassa on tärkeää ottaa huomioon toimialaan liittyvä sääntely niin riskienhallinnan, kuin kyberturvallisuudenkin puolelta.
Kyberuhkien riskienhallintaan ei havaita olevan pankkialalla mitään omaa tiettyä säädöstä, eikä vain yhtä tiettyä tapaa järjestää riskienhallintaprosessi. Kyberturvallisuuden riskienhallintaa voidaan tutkielman havaintojen mukaan lähteä rakentamaan yhdistelemällä standardeja, säädöksiä ja viitekehyksiä sekä riskienhallintaan, että kyberturvallisuuteen liittyen. Näistä esimerkkeinä toimivat etenkin ISO 31000- ja ISO/IEC 27000 -standardisarjat, ERM, sekä NIST:n kehittämä kyberturvallisuuden viitekehys, ja siihen liittyvä CIS Controls. Kvantitatiivisen tutkimuksen, sekä laajasti käytettyjen ja toimiviksi todettujen kvantitatiivisten mallien puute nousee esiin alan kirjallisuudessa. Tutkielman havainnoissa korostuu monitasoinen lähestymistapa kyberriskien hallintaan sisältäen niin tekniset toimenpiteet, oikeudelliset ja sääntelytoimenpiteet, kuin organisatoriset vastatoimet. Kyberuhkien monimuotoisuuden takia myös niiden hallintakeinot täytyvät olla monipuolisia, jotta eri keinoilla voidaan hallita keskenään hyvin erilaisia kyberriskejä.