S-Pankin verkko­pankki­ongelma on vuoden pahin tietoturvavirhe, sanoo asiantuntija: ”Epäilys jää kytemään”

Ihmisille on vakuutettu, että pankkitunnusten kautta tehtävä todentaminen on aina luotettavaa ja aina toimivaa. S-Pankin ongelma voi vaikuttaa myös pankkien asiakkaiden oikeusturvaan.

S-Pankki tiedotti tiistaina vakavasta neljä kuukautta jatkuneesta tietoturvaongelmasta.

13.9. 18:10

Tiistaina julkisuuteen kerrottu S-Pankin järjestelmähäiriö on tietoturva-asiantuntija Petteri Järvisen mukaan vuoden pahin tietoturvallisuusmoka.

Lue lisää: S-Pankissa paljastui vakava häiriö: Sadat pääsivät toisten verkkopankkeihin – ”Häiriötä hyödynnettiin väärinkäytöksiin”

”Tämä ei ole pelkästään tavallinen moka, vaan se liittyy tietoyhteiskunnan palveluihin. Olemme tottuneet pitämään pankkitunnuksia todentamisen kivijalkoina, jotka toimivat aina ja ovat aina luotettavia. Kaikki muut palvelut rakentuvat niiden varaan, kuten Kela-asiointi tai Omakanta sekä pankkien omat rahansiirtopalvelut.”

Verkkopankkitunnistukseen liittyvät ongelmat siis nakertavat nyky-yhteiskunnan perustuksia. Kansalaiset ovat Järvisen mukaan tietyllä tapaa siis pankkien omien tunnistusjärjestelmien vankeja.

”Pankeilla on korotettu vastuu tunnistuksen luotettavuudesta, koska ne ovat halunneet pitää tunnistuksen itsellään ja kehittää sitä varten kukin omat menetelmänsä.”

Virheen tekee Järvisen mukaan vakavammaksi se, ettei S-Pankki ollut huomannut sitä moneen kuukauteen.

”Vähän samahan oli [psykoterapiakeskus] Vastaamon tapauksessakin, he eivät huomanneet, että asiakastietokanta oli varastettu. Se teki ongelmasta ikään kuin tuplasti suuremman kuin pelkkä varkaus oli.”

Ongelmallista on Järvisen mukaan myös se, ettei tämänkaltaisista tietoturvaongelmista kerrota yksityiskohtia julkisuuteen. Spekuloiden hän pitää käsittämättömänä, ettei S-Pankki ollut ottanut esimerkiksi asiakkaiden ilmoituksia väärinkäytöksistä vakavasti. Ongelma on tällöin laajemmissa prosesseissa, ei pelkästään ohjelmisto-bugissa.

”Tässä tapauksessa edes uhrien ilmoitukset eivät ole havahduttaneet pankkia, vaan he kertovat, että vasta ulkopuolinen valkohattuhakkeri havaitsi väärinkäytön. Mielestäni tämä on käsittämätöntä.”

S-Pankin järjestelmähäiriö herättää Järvisen mukaan kysymysmerkkejä myös muiden pankkien sekä mobiilivarmenteita tarjoavien operaattoreiden palveluiden turvallisuutta kohtaan.

”Tämä heittää varjon muidenkin pankkien tunnistukseen, että ovatko ne luotettavia. Asiakkaat ovat tottuneet luottamaan niihin ehdottomasti, koska on sanottu niiden olevan pomminvarmoja. Tähän asti tällaista isompaa tapausta ei ole tullut julkisuuteen, mutta jatkossa epäilys jää kytemään.”

Pahinta koko tapauksessa on, ettei tavallinen kansalainen pysty Järvisen mukaan tekemään mitään.

”Olemme pankkien armoilla ja vieläpä, kun niillä on tiedotus- ja tiedon ylivoima. Kuluttajina ja asiakkaina emme voi kyseenalaistaa, jos pankki sanoo asian olevan näin ja lokeissamme lukee näin. Mahdollisissa riitatilanteissa emme voi kiistää pankkien antamia tietoja.”

Huijausten uhrien asema on Järvisen mukaan mahdollisesti muuttumassa, koska tähän asti on voitu luottaa pankin tietojen pitävän kutinsa.

”Kyllähän tämä jatkossa herättää epäilyn siitä, onko pankkikaan aina oikeassa ja miten asiakkaiden oikeusvarmuudesta huolehditaan tapauksissa, joissa esimerkiksi tili on tyhjennetty ja asiakas väittää, ettei hän ole tehnyt mitään väärin.”

”Tällä on sitä kautta kauaskantoisia seurauksia.”

Myös pankkeja valvova Finanssivalvonta (Fiva) pitää S-Pankin verkkopankin tunnustautumisen häiriötä vakavana.

”Kyse on vakavasta asiasta, koska jotkut asiakkaat ovat menettäneet jopa varojaan järjestelmävirheen ja oikeudettomien maksutapahtumien johdosta”, sanoo johtava lakimies Sanna Atrila Fivasta.

Fivan asiantuntijat eivät muista samantyyppistä järjestelmävikaa tapahtuneen Suomessa aikaisemmin.

”Luonnehtisin häiriötä poikkeukselliseksi. Vastaavaa ei ole käsitykseni mukaan aiemmin tapahtunut”, Atrila sanoo.

S-Pankin järjestelmäviasta tekee poikkeuksellisen se, että tunnistusvirhe mahdollisti väärinkäytösten ja oikeudettomien maksutapahtumisen tekemisen joidenkin S-Pankin asiakkaiden tileiltä.

S-Pankki joutuu tekemään järjestelmähäiriöstä raportin Fivalle. Pankin täytyy raportoida viranomaisille kattavasti, mitä on tapahtunut ja miten pankki varmistaa sen, ettei vastaavaa häiriötä tapahdu enää.

Maksupalvelulain mukaan S-Pankki on korvausvelvollinen asiakkailleen järjestelmävirheestä.

”Pankin täytyy palauttaa oikeudettomat maksut asiakkaan tilille mahdollisimman pian. Asiakkaan asema on siten turvattu, ja he eivät vastaa pankin järjestelmän virheistä”, Atrila sanoo.

S-Pankki on saanut viime vuosina ainakin kaksi isoa seuraamusmaksua viranomaisilta.

Viime vuonna pankki sai lähes 1,7 miljoonaan euron maksun epäilyttävien toimeksiantojen tunnistamis- ja raportoimisprosessien puutteista osakevälityksessä.

Vuonna 2019 Fiva määräsi S-Pankille lähes miljoonaan euron seuraamusmaksun asiakkaiden tuntemisprosesseihin liittyvistä puutteista.

Seuraa ja lue artikkeliin liittyviä aiheita