”Käsittämätöntä, ettei S-pankki huomannut tietoturva-aukkoa” – suomalaisen tietoyhteiskunnan kivijalka horjahteli kuukausia

S-Pankki on kertonut, että pieni osa sen asiakkaista pääsi käsiksi toisten asiakkaiden tilitietoihin huhti-elokuussa ennen kuin häiriö korjattiin. Kuva: Nina Kaverinen

S-Pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi huhti–elokuun välisenä aikana järjestelmähäiriö, joka koski noin muutaman sadan hengen suuruista joukkoa.

Ennen häiriön korjausta rajatulla joukolla S-Pankin asiakkaita oli mahdollisuus tietyissä tilanteissa kirjautua toisen asiakkaan verkkopankkiin.

Pankkitunnuksia on pidetty tietokirjailija Petteri Järvisen mukaan suomalaisen tietoyhteiskunnan kivijalkana 25 vuoden ajan.

”Kun sitten selviää, että neljän kuukauden ajan ollutta tietoturva-aukkoa pankki ei ole huomannut itse lainkaan, vaan tiedon on kertonut heille joku pankin ulkopuolinen – onhan se ihan käsittämätöntä”, Järvinen sanoo.

Hän luokittelee tapauksen periaatteessa yhtä vakavaksi kuin Vastaamossa pari vuotta sitten tapahtuneen tietovuodon.

”Tämä saa varmasti alan toimijat, pankit ja vakuutusyhtiöt ja monet muutkin skarppaamaan ja miettimään, ovatko nämä asiat meillä kunnossa. Mainevahinko on aivan tavaton.”

Järvinen pitää erikoisena, ettei S-Pankin teknisen järjestelmän vikaa havaittu aiemmin.

”Havainnointi ja seuranta on oleellinen osa tietoturvaa. Nykyään klassisen tietoturvan puolella käytetään tekoälyä, joka havaitsee anomalioita tietovirrassa, jos siinä havaitaan poikkeamia.”

Häiriöiden taustalla vaikuttaa osin tietojärjestelmähankintojen nykykäytäntö.

”Tilanne on mennyt aika kummalliseksi siinä, että ohjelmistopuolella käytetään kriittisissäkin paikoissa aika paljon ulkopuolisia komponentteja, joiden sisälle ei itsekään nähdä eikä tiedetä, mitä siellä on.”

Jos komponentissa on virhe, saattaa Järvisen mukaan kestää vuosia ennen kuin se paljastuu. Yleensä pankit havaitsevat vian nopeasti ja ne korjataan pikavauhtia.

Järvisen mukaan verkkopankit ovat yhä varsin turvallisia, joskin mikään ei ole täysin aukotonta.

Jokaisen kannattaa hänen mukaansa tarkkailla tilitapahtumia ja tarvittaessa ottaa yhteyttä pankkiin.

”Jos pankki sanoo, että asiakas on ollut huolimaton, se pitää tarvittaessa kiistää. Ei pidä uskoa siihen, että pankki on aina oikeassa.”

S-Pankin häiriötä hyödynnettiin myös väärinkäytöksiin, kuten luvattomiin maksuihin ja kolmansien osapuolten verkkopalveluihin kirjautumiseen. Poliisi on aloittanut rikosten tutkinnan.

Verkkopankkitunnuksilla tunnistautuminen on nyt turvallista, S-Pankki tiedottaa.

Tapahtunutta asiakkailleen pahoitellut S-Pankki korvaa asiakkailleen kaikki häiriöstä johtuneet välittömät taloudelliset vahingot.