Yritystilaus tunnistettu

Voit käyttää palvelun kaikkia sisältöjä vapaasti. Jos haluat kommentoida, kirjaudu sisään henkilökohtaisella Mediatunnuksella.

Pääkirjoitus 19.9.2022 Sukanvarsitietoturvalle ei voi antaa minkäänlaista sijaa

S-pankin tietoturvan aukko tarjosi 16-vuotiaalle pojalle mahdollisuuden elää hetken aikaa ylellistä elämää. Poliisin mukaan pääepäilty apureineen oli saanut haltuunsa 940 000 euroa, joita kului matkusteluun, ostoksiin ja rahapeleihin.

Asianomistajia jutussa on noin 200 eri puolilla Suomea. Törkeitä maksuvälinepetoksia epäillyt olivat tehtailleet 53, joiden lisäksi yrityksiksi jääneitä törkeitä maksuvälinepetoksi, tietomurtoja tai identiteettivarkauksia on paljastunut 150.

Tietoturva-aukko oli syntynyt järjestelmähäiriöstä, joka liittyi verkkopankkitunnuksilla tunnistautumiseen. Häiriö ajoittui huhtikuun loppupuolelta elokuun alkupäiviin asti (Kauppalehti 15.9.).

On mahdollista, että S-pankki suhtautuu tietoturvaan kilpailijoitaan löperömmin.

Yksi käsittämättömimmistä yksityiskohdista kokonaisuudessa on se, että S-pankki ei ollut tietoturva-aukkoa huomannut. Asiakkaat olivat kyllä havainneet, että rahoja oli tililtä mystisesti kadonnut ja että luottoakin oli heidän tietämättään nostettu ja viety. S-pankkia asiakkaiden hätä ei kuitenkaan ollut julkisuuten kerrotun perusteella havahduttanut.

Tietoturva-asiantuntija Petteri Järvinen arvioi aiheellisesti tapauksen heittävän varjon myös muiden pankkien tunnistuksen luotettavuuteen (Helsingin Sanomat 13.9.).

On mahdollista, että S-pankki suhtautuu tietoturvaan kilpailijoitaan löperömmin. Sellaiseen epäilyyn antavat aihetta seuraamusmaksut, joita Finanssvalvonta on antanut kaksikin kertaa.

Vuoden 2019 joulukuussa Finanssivalvonta huomautti puutteista asiakkaan tuntemisessa. Samassa yhteydessä viranomainen totesi S-pankin tietojärjestelmissä ja prosesseissa olleen puutteita. Seuraamusmaksu oli 980 000 euroa. Finanssivalvonta määräsi myös viime vuonna S-pankille 1,65 miljoonan euron seuraamusmaksun, koska pankki oli laiminlyönyt asiakkaidensa kaupankäynnin valvonnan järjestämisen EU:n markkinoiden väärinkäyttöasetuksen edellyttämällä tavalla. Finanssivalvonta huomautti, ettei S-pankki ollut investoinut automaattiseen kaupankäynnin valvontajärjestelmään, mikä oli hyödyttänyt pankkia taloudellisesti.

Sääntely velvoittaa rahoitusalan toimijoita tinkimättömään tietoturvaan. S-pankin tapaus osoittaa, että niin sääntelyyn kuin sen valvontaan on syytä. Halvalle sukanvarsitietoturvalle ei voi antaa minkäänlaista sijaa.