Mikä aiheutti S-Pankin valtavan tietoturvamokan? Tässä ovat suurimmat kysymysmerkit – ja näin pankki vastaa

Poliisi uskoo, että vika mahdollisti rikossarjan, jossa 16- ja 23-vuotiaiden miesten epäillään vieneen pankin asiakkaiden tileiltä noin 940 000 euroa ja lisäksi tehtailleen heidän nimissään pikavippi- ja lainahakemuksia.

Maksuvälinepetosten uhreja on yli 50. Noin 150 henkilön tileille on poliisin mukaan tunkeuduttu ilman, että rahoja olisi viety. Kokonaisuudessaan rikoshyöty on kivunnut jo yli miljoonaan euroon. Nuoret miehet ovat poliisin mukaan käyttäneet rahoja "makeaan elämään".

Nuorukaiset eivät kuitenkaan ole syypäitä S-Pankin kirjautumispalveluista löydettyyn haavoittuvuuteen. He vain hyödynsivät löytämäänsä puutetta. Poliisi ei silti epäile pankkia asiassa mistään rikoksesta.

Lue myös: Tämä S-Pankin miljoonapuhalluksesta tiedetään nyt: Yksi uhreista menetti puoli miljoonaa euroa – epäillyt nuoret ovat poliisin mukaan ”pehmenneet”

Mikä tietoturvafiaskon taustalla sitten on?

Ja mistä tiedetään, kauanko S-Pankin asiakkaiden varat ovat olleet uhattuna?

MTV Uutiset kysyi pankilta vastauksia suurimpiin kysymyksiin.

Vastaukset antoi S-Pankin digitaalisten palveluiden kehittämisestä vastaava johtaja Carl-Edvard Holmberg puhelimitse.

Pankin mukaan kirjautumiseen liittyvä tietoturvaongelma havaittiin 5. elokuuta. Oliko pankki saanut tätä ennen asiakkailta ilmoituksia, joissa olisi kerrottu päästyn muiden asiakkaiden tileille vahingossa?

– Ei mitään ilmoituksia, joista tämä häiriö olisi ollut tunnistettavissa. Ei, koska jos niin olisi käynyt, olisimme totta kai huomanneet ongelman ja ryhtyneet heti toimenpiteisiin.

Saiko pankki ennen 5. elokuuta asiakkailta ilmoituksia, jossa kerrottiin tililtä siirretyn rahaa pois luvatta?

– Erilaisia reklamaatioita luonnollisesti tulee ajan myötä koko ajan ja niihin suhtaudutaan erittäin vakavasti, ja ne tutkitaan huolellisesti meidän prosessiemme mukaisesti.

– Viides elokuuta korjasimme häiriön. Teimme viranomaisille ensimmäiset ilmoitukset, joiden aikarajat tulevat erilaisista ohjeistuksista, ja sitten aloitimme kattavan tutkinnan asian selvittämiseksi. Kun meillä oli tarpeeksi tietoa tapahtuneesta, niin me teimme poliisille tutkintapyynnön.

Pankki on kertonut, että tietoturvaongelma alkoi 20. huhtikuuta. Mistä tiedetään, ettei ongelmaa ollut ennen sitä?

– Luonnollisesti olemme löytäneet tämän häiriön juurisyyn, joka on yksittäisen komponentin virheellinen toiminta. Siitä tiedämme.

Onko tämä virheellinen ohjelmistokomponentti ollut ulkoisen tahon toimittama palvelu?

– Meillä on useita toimittajia, keneltä ostamme palveluita, mutta pankkina me kannamme itse tapahtuneesta vastuun.

Pankin mukaan tietoturvapoikkeama mahdollisti väärät kirjautumiset muutaman sadan hengen kokoiselle joukolle. Miten tämä joukko on pystytty rajaamaan, ja mistä tiedetään, etteivät väärät kirjautumiset olleet mahdollisia muille?

– Olemme pystyneet tutkimaan dataa meidän lokeista, ja kun tunsimme tämän häiriön syyn, sitä kautta pääsimme selvittämään, keitä asiakkaita se koski ja mitä maksutapahtumia se koski.

Miten on ylipäätään mahdollista, että pankkipalveluista paljastuu näin merkittävä tietoturvaongelma? Puhutaan kuitenkin kaikista arkaluontoisimmista asioista ja tiedoista. Ihmisten pankkiasioista ja vahvasta tunnistautumisesta.

– Jokainen tapaus on ehdottomasti liikaa. Otamme meidän kaikkien palveluidemme turvallisuuden erittäin vakavasti, mikä tarkoittaa, että meillä on tarkat prosessit, joilla varmennumme palveluidemme turvallisuudesta. Käytämme myös ulkoisia tahoja palveluidemme laadun ja tietoturvan varmistamiseksi.

– Näistä huolimatta tämä erittäin valitettava häiriö oli mahdollinen. Mitä tästä seuraa? Tulemme käymään tapahtuneen syyt läpi juurta jaksain.

Aikooko S-Pankki tiedottaa ongelmien juurisyistä täsmällisemmin myöhemmässä vaiheessa?

– Tulemme avaamaan tapahtuman taustat tarvittavilta osin.

Mitä tarkoittaa "tarvittavilta osin"?

– En osaa sanoa tarkalla tasolla, miten syvällisesti voimme näitä tietoturva-asioita avata, mutta tulemme avaamaan niitä sillä tasolla, että saadaan riittävä ymmärrys siitä, miten suojaamme palveluitamme.