S-pankki sai ilmoituksen haavoittuvuudesta valkohattuhakkerilta 3. elokuuta – asiakkailta ei tullut sellaista ilmoitusta, josta ongelma olisi tunnistettu, sanoo johtaja

S-pankissa olleen haavoittuvuuden havaitsi niin sanottu valkohattuhakkeri, kertoo pankin digitaalisten palveluiden kehittämisestä vastaava johtaja Carl-Edvard Holmberg. Pankki sai ilmoituksen asiasta 3. elokuuta. Kyse on bug bounty -ohjelmasta, jossa yritys maksaa hakkereille siitä, että he havainnoivat yrityksen tietoturvaa ja raportoivat havaitsemistaan ongelmista.

–  Saimme valkohattuhakkerilta ilmoituksen, että meidän järjestelmässä on tällainen potentiaalinen ongelma. Sitten ryhdyimme itse tutkimaan, mistä tämä johtuu, teimme tarvittavat korjaukset ja tietoturvatestaukset ja tuotantoon viennin. Häiriö saatiin pois järjestelmästä 5. elokuuta, Holmberg sanoo STT:lle.

Holmbergin mukaan ongelman korjaamisen yhteydessä pankille selvisi, mistä se johtui. Hänen mukaansa syytä tai ongelman laatua ei voi vielä avata julkisuudessa keskeneräisen poliisitutkinnan takia. Hän ei myöskään kommentoi, milloin S-pankki teki asiassa tutkintapyynnön poliisille.

Poliisi tiedotti tällä viikolla, että S-pankin asiakkaiden tileiltä on tehty oikeudettomia siirtoja hyväksikäyttäen tietojärjestelmässä ollutta haavoittuvuutta. Epäilty rikoshyöty on noin miljoonan euron luokkaa. Poliisi epäilee asiassa muun muassa tietomurtoa ja törkeää maksuvälinepetosta. Pääepäillyt ovat 16- ja 23-vuotiaita.

Holmbergin mukaan haavoittuvuus oli olemassa 20. huhtikuuta ja 5. elokuuta välisen ajan, ja tietomurto ja asiakkaiden tileille tunkeutumiset ovat tapahtuneet tällöin.

"Ei pystytty tunnistamaan tällaista häiriötä"

Helsingin Sanomat haastatteli pankin asiakasta, joka huomasin tililleen tunkeudutun jo toukokuussa. Varoja nostettiin useassa erässä, luottoa siirrettiin tilille ja tiliä tyhjennettiin. Asiakkaan mukaan hän oli yhteydessä sekä poliisiin että S-pankkiin.

Holmberg ei kommentoi, kuinka moni epäiltyjen rikosten uhreista oli jo kesän aikana yhteydessä pankkiin. Entä miksi pankki ei reagoinut asiakkaiden ilmoituksiin ja ryhtynyt toimiin jo aikaisemmin?

–  Sellaista ilmoitusta, josta me olisimme tunnistaneet tämän, ei ole tullut. Niistä ei pystynyt tunnistamaan tällaista häiriötä, hän sanoo.

Tietosuojavaltuutettu on ilmoittanut tutkivansa, onko S-pankki huolehtinut asianmukaisesti asiakkaiden tietojen suojaamisesta ja miten pankki on reagoinut tietoturvaloukkaukseen.

Holmbergin mukaan pankki on tavoittanut kaikki asiakkaat, joita väärinkäytökset koskevat. Iso osa taloudellisista vahingoista on korvattu ja loput tullaan korvaamaan, hän sanoo.

Holmberg vakuuttaa, että asia tullaan selvittämää perin pohjin. Hän pahoittelee tapahtunutta pankin asiakkaille.

–  Valitettavasti tällainen häiriö oli mahdollinen. Tulemme käymään kaikki tapahtuneeseen johtaneet syyt läpi. Olen omasta puolestani ja pankin puolesta syvästi pahoillani.