16-vuotias poika yrittää ensin ilmoittaa löytämästään aukosta, mutta päätyy lopulta itse viemään rahat. S-Pankki saa erikoisesta tapauksesta
---
Lokakuussa 2020 S-Pankki tilaa verkkopankkinsa tunnistautumispalveluun uuden ominaisuuden johtavalta pankkialan it-palveluita tuottavalta yhtiöltä. Pankki on ulkoistanut tietojärjestelmänsä useille toimittajille, jotka puolestaan saattavat käyttää omia kumppaneitaan. Toimeksiantoon liittyy asiakkaan tunnistaminen verkkopankissa. Ja juuri siinä tehdään kriittinen virhe. Virhe jää huomaamatta, vaikka S-Pankki testaa koodia itse ja testauttaa sitä myös ohjelmistotoimittajallaan sekä ulkopuolisella tietoturvayhtiöltä. Piilevä virhe mahdollistaa kirjautumisen toisen asiakkaan verkkopankkiin ja luvattomien maksujen tekemisen sekä kirjautumisen toisen nimellä myös kolmansien osapuolten verkkopalveluihin. Vakavan tunnistautumiseen liittyvän haavoittuvuuden sisältävä koodi otetaan käyttöön 20.4.2022. Finanssivalvonnan mukaan pankin suureen asiakasmäärään kohdistuu nyt yksityiselämän suojan ja taloudellisesti merkittävien väärinkäytösten riski. S-Pankin mukaan virhe kuitenkin ilmeni vain rajatulle asiakasjoukolle rajatussa hyvin epätyypillisessä ja monimutkaisessa käyttötapauksessa – eikä silloinkaan ollut toistettavissa joka kerta. Ensimmäisten viikkojen ajan kaikki sujuikin hyvin. Yhteydenotto asian tiimoilta saadaan vasta toukokuun alussa.
---
Toukokuussa 16-vuotias poika ottaa yhteyttä S-Pankkiin ja kertoo, että hän kykenee kirjautumaan mobiilisovelluksella toisen henkilön tilille. Asiakkaan yhteydenotosta tehdään riskienhallinnan poikkeamailmoitus, johon kirjataan kuvaus luvattoman kirjautumisen etenemisestä. Päivä on ilmeisesti torstai 5.5.2022. Asiakaspalvelija välittää tapauksesta ilmoituksen it-osastolle kolmen pankkipäivän kuluttua, eli ilmeisesti vasta seuraavalla viikolla – ja useamman pyynnön jälkeen. It-osastolle lähetetty ilmoitus ei sisällä yhtä tarkkaa tapahtumakuvausta kuin alkuperäinen kirjaus, eikä it-osasto jostain syystä selvitä oma-aloitteisesti lisää. Ensimmäisessä yhteydenotossaan nuori on kuitenkin sanonut olevansa asiasta niin varma, että tulee asiakaspalvelupisteelle näyttämään havaintonsa. Ja lupauksensa mukaisesti hän saapuukin alueosuuskaupan asiointipisteelle, siis mitä ilmeisimmin jonkun eteläisessä Suomessa sijaitsevan Prisman yhteydessä toimivan S-Pankin asiakaspalveluun. Siellä hän kertoo, miten on päässyt kirjautumaan äitinsä verkkopankkiin. Tälläkin kertaa asiakaspalvelu kirjaa uuden riskienhallinnan poikkeamailmoituksen – it-osastolle tätä ilmoitusta ei ilmeisesti kuitenkaan välitetä. Yksityiskohdat jäävät osittain salatuissa dokumenteissa epäselväksi. Mutta sitten tapahtuu yllättävä käänne. Sama nuori ottaa vielä kolmannenkin kerran yhteyttä – ja nyt hän peruu tekemänsä ilmoitukset. Jälkeenpäin voi ajatella, että tämän viimeistään olisi pitänyt herättää epäilykset. Näin ei kuitenkaan käynyt. Syyttäjä vahvistaa Ylelle, että tämä haavoittuvuudesta ilmoittanut – ja sitten ilmoituksensa perunut – nuori on sama henkilö, jota jota nyt syytetään rikoksista.
---
Touko-, kesä- ja heinäkuun aikana asiakkaat tekevät S-Pankille ja poliisille lukuisia ilmoituksia tileiltään tehdyistä oikeudettomista maksutapahtumista. Tutkintaa johtanut rikoskomisario kertoo myöhemmin Helsingin Sanomille, että noita rahoja käytettiin mm. uhkapeleihin, matkustamiseen, velkojen maksuun, kryptovaluuttoihin, huumeisiin ja Louis Vuittonin laukkujen kaltaisiin luksustuotteisiin. Tässä vaiheessa tietoa on pankissa kuitenkin vasta vähän. Ilmoituksia tutkitaan, mutta tapaukset eivät sisällä riittävän yksilöivää informaatiota haavoittuvuuden löytymiseksi. Petollisia rahansiirtoja on vaikea tunnistaa järjestelmien lokeista, koska kirjautuminen näyttää tapahtuneen oikeilla tunnuksilla. Käynnissä saattaa siis olla jotain, joka ei ole tavallista pankkitunnusten kalastelua. Viimeistään heinäkuun 12. päivänä pankissa keskustellaan siitä havainnosta, että moni asiakas ei kertomansa mukaan ole antanut tunnuksiaan kenellekään ulkopuoliselle. S-Pankissa halutaan varmistaa ”järjestelmävirheen skenaario”, mutta tämäkin tutkinta tuottaa vesiperän. Pankin lokitietojen kerrotaan olleen ristiriidassa keskenään.
---
Elokuun kolmantena päivänä S-Pankin asiakaspalveluun tulee ratkaiseva yhteydenotto. Toinenkin henkilö on löytänyt haavoittuvuuden. Virallisissa dokumenteissa tätä henkilöä kutsutaan ”asiakkaaksi”, mutta kyseessä on niin kutsuttu valkohattuhakkeri, joka etsii yritysten järjestelmistä tietoturva-aukkoja löytöpalkkiota vastaan. S-Pankki käynnisti jo vuonna 2018 tällaisen bug bounty -ohjelman – ensimmäisenä pankkina Suomessa. Nyt tämä valkohattuhakkeri kertoo S-Pankille, miten havaitsi haavoittuvuuden tietoturvassa. Viestejä vaihdetaan vielä muutaman päivän ajan ennen kuin tieto välitetään it-asiantuntijalle. Finanssivalvonnan mukaan S-Pankki hidasteli vielä tässäkin vaiheessa – pankin mukaan se reagoi heti, kun sillä oli riittävät tiedot. Vakava ohjelmistovirhe poistetaan käytöstä 5.8.2022.
---
Testauksen riittävyyden lisäksi viranomaisten ja S-Pankin keskeinen näkemysero liittyy siihen, miksi 16-vuotiaan pojan ilmoitus kaikui kuuroille korville – ja miksi haavoittuvuutta ei löydetty vaikka pankki sai yhä uusia ilmoituksia luvattomista rahansiirroista. Finanssivalvonnan mukaan S-Pankin menettely oli osittain törkeän huolimatonta. Sen mukaan tapausta ei voi kuitata yksittäisten työntekijöiden inhimilliseksi erehdykseksi, koska asian selvittelyyn osallistui useita tahoja yhtiön sisällä. Valvojan tulkinnan mukaan kyse oli puutteista ja laiminlyönneistä S-Pankin toimintatavoissa ja riskien hallinnan prosesseissa. Esimerkiksi työntekijöille annetussa ohjeistuksessa ei Finanssivalvonnan mukaan kerrottu, että sama tapahtuma voi edellyttää erillistä kiireellistä ilmoitusta suoraan it-osastolle. Lisäksi ei käynyt ilmi, että it-osasto – tai kukaan muukaan – saisi asiakkaiden yhteydenottoja tai asiakaspalvelun antamia vastauksia suoraan tietoonsa. S-Pankin mukaan tapaukseen vaikuttivat nimenomaan juuri yksittäisten työntekijöiden inhimilliset virhearviot turvallisuusriskin tunnistamisessa, merkittävyyden arvioinnissa ja sisäisessä viestinnässä. Pankin mukaan sen prosessit olivat asianmukaiset, ja myös asiakaspalvelulla oli yksityiskohtaiset ohjeet.
---







