S-pankin verkkopankissa on kesän aikana ollut poikkeuksellinen häiriötilanne, jossa osa asiakkaista on päässyt kirjautumaan toisten asiakkaiden verkkopankkiin huhtikuun lopun ja elokuun alun välisenä aikana.
Häiriö koski yhteensä muutaman sadan asiakkaan joukkoa, ja sitä hyödynnettiin pienissä määrin myös luvattomiin maksuihin ja kolmansiin verkkopalveluihin kirjautumiseen.
– Häiriö kosketti kokonaisuudessaan muutamaa sataa asiakasta. Heistä pieni joukko kirjautui toisen asiakkaan tietoihin, ja vielä pienempi joukko oli se, joka näitä väärinkäytöksiä teki, kertoo S-pankin digitaalisten palveluiden kehittämisestä vastaava johtaja Carl-Edvard Holmberg.
S-Pankki on tehnyt poliisille tutkintapyynnön ja lupaa korvata asiakkailleen koituneet välittömät taloudelliset vahingot. Poliisi selvittää tapahtumien kulkua ja sitä, ovatko häiriötä hyväksikäyttäneet henkilöt syyllistyneet rikokseen. Holmberg ei avaa tarkalleen, kuinka suurista vahingoista on kyse.
Pankki on kuitenkin yhteydessä kaikkiin niihin asiakkaisiin, joihin häiriö on vaikuttanut.
Tieto ongelmasta tuli valkohattuhakkerilta
Verkkopankin häiriö johtui tarkalleen yksittäisen ohjelmistokomponentin virhetoiminnasta. Tiedon häiriöstä välitti pankille niin kutsuttu valkohattuhakkeri, jonka tehtävänä on etsiä haavoittuvuuksia ja pitää huolta tietoturvasta.
Osa asiakkaista ehti kuitenkin päästä käsiksi toistensa verkkopankkeihin kolmen kuukauden ajan. Holmbergin mukaan ongelman havaitsemisessa kesti, koska se koski hyvin pientä joukkoa S-pankin asiakkaista.
S-pankki selvittää nyt tapahtumien kulkua yhdessä poliisin kanssa. Tähän mennessä on pystytty sulkemaan pois se vaihtoehto, että ohjelmistoa olisi sabotoitu S-pankin sisältä, Holmberg sanoo.
– Olemme tehneet erittäin kattavaa tutkintaa ja päivittäneet tietoja viranomaiselle ja poliisille. Kyseessä ei ole S-pankin sisältä tapahtunut väärinkäytös.
Asiakkaiden tietoja ei ole vuotanut
Verkkopankkiin kirjautumiseen tarvitaan lähtökohtaisesti käyttäjätunnus ja salasana. Holmberg ei avaa tarkemmin, miten asiakkaat ovat käytännössä päätyneet näkemään toistensa tietoja.
Tietovuodosta tai kyberhyökkäyksestä ei hänen mukaansa kuitenkaan ole kyse.
– Verkkopankkitunnukset tai asiakkaiden luottokorttitiedot eivät ole vaarantuneet ja verkkopalveluiden käyttö on turvallista. Käymme tapahtumien kulun läpi poliisin kanssa, enkä pysty sitä tässä tarkemmin avaamaan.
S-pankki pahoittelee tapahtunutta ja on yhteydessä kaikkiin asiakkaisiin, joita häiriö on koskenut. Järjestelmähäiriö esiintyi tarkalleen 20. huhtikuuta – 5. elokuuta välisenä aikana, ja se on nyt korjattu.
Finanssivalvonta: poikkeuksellinen ja vakava tapahtuma
Pankkeja valvovan Finanssivalvonnan (Fiva) johtava lakimies Sanna Atrila pitää S-pankin järjestelmähäiriötä poikkeuksellisena ja vakavana tilanteena. Hän ei muista historiasta yhtäkään vastaavaa häiriötä, jossa asiakkaat olisivat päässeet tällä tavalla käsiksi toistensa pankkitietoihin.
Atrila ei kommentoi yksityiskohtia asian selvittämisen ollessa kesken, mutta sanoo, että tapahtunut käydään läpi tarkasti, kuten muutkin pankkitoiminnan häiriötilanteet. Fiva vaatii S-pankilta selvitystä asiasta.
– Finanssivalvonta varmistaa omalta osaltaan, että pankin järjestelmät ovat sillä tasolla, ettei tällaista mahdollisuutta rikoksille pääse käymään, ja että vastaavat häiriöt ylipäätään voidaan välttää, Atrila sanoo.
Hän muistuttaa, että asiakkaita suojaa vakavissakin häiriötilanteissa laki.
– Meillä on asiakkaiden näkökulmasta hyvä kuluttajansuoja. Pankki on luonnollisesti velvollinen korvaamaan kaikki järjestelmähäiriöstä aiheutuneet oikeudettomat maksutapahtumat pikimmiten.
Juttua päivitetty 13.9. klo 13.16: Päivitetty kauttaaltaan ja lisätty Carl-Edvard Holmbergin kommentit.
Juttua päivitetty 13.9. klo 16.51: lisätty Finanssivalvonnan kommentit.