Finanssialan valvoja selvitti verkko- ja mobiilipankkien sekä mobiilimaksamisen suojaa huijauksia ja maksuvälinerikoksia vastaan. Tässä kolme menetelmää, joilla pankit voisivat lisätä maksamisen turvallisuutta. Oma vastuunsa on myös palvelun käyttäjällä.
Suomessa toimivat pankit ovat tunnistaneet ja toteuttaneet verkkomaksamisen turvallisuuden pääosin asianmukaisesti, sanoo toimistopäällikkö Jussi Terho Finanssivalvonnasta. Terho seuraa työssään kyberturvallisuutta sekä finanssialan yritysten tieto- ja viestintäteknologian riskienhallintaa.
Terhon mukaan finanssialan yritykset ovat saaneet toimia verkossa melko rauhassa, muutamia pankkeihin tehtyjä palvelunestohyökkäyksiä ja yksittäisiä tieto- ja maksujärjestelmien häiriöitä lukuunottamatta.
”Heinäkuussa nähty maailmanlaajuinen häiriö työasemissa ei sekään aiheuttanut merkittäviä ongelmia finanssisektorillla Suomessa”, hän sanoo.
Pankit tekevät jo nyt paljon huijausten torjumiseksi, mutta aina on parannettavaa. Terho listaa kolme suositusta maksamisen turvallisuuden lisäämiseksi:
- Valvontaa voi tehostaa antamalla verkko- tai mobiilipankkia käyttävälle asiakkaalle mahdollisuuden asettaa tilisiirtoihinsa nykyistä monipuolisempia turvarajoituksia. ”Tällaisia rajoituksiahan on jo käytössä esimerkiksi korttimaksamisessa”, Terho huomauttaa.
- Maksujen seurantaa tulee kehittää, jotta pankki voi entistä tarkemmin pysäyttää asiakkaan aikaisemmasta maksuhistoriasta poikkeavat maksut.
- Pankin pitää tiedottaa lisää palveluiden turvallisuusuhkista ja opastaa asiakkaita käyttämään sähköisiä palveluita turvallisesti.
”Verkkorikollisuuden lisääntyessä myös asiakkaan on aina syytä olla aina terveen epäluuloinen. Varo klikkailemasta linkkejä viesteissä, joissa houkutellaan maksuihin tai muuhun verkkoasiointiin”, sanoo Terho.
Isot pankit ja vakuutusyhtiöt varautuvat hyökkäyksiin
Finanssivalvonta selvitti, miten suuret finanssisektorin toimijat Suomessa ovat varautuneet kyberhyökkäyksiin.
”Merkittävät toimijat ovat varmistaneet kykynsä sietää toimintahäiriöitä sekä normaali- että poikkeusoloissa. Yksittäisiä puutteita jatkuvuus- ja toipumissuunnitelmissa havaittiin. Valvottavat pyrkivät nyt korjaamaan niitä”, sanoo Terho.
Myös Euroopan Keskuspankki testasi vuonna 2024 valvomiensa pankkien kykyä sietää kyberhäiriöitä. EKP:n stressitesteihin osallistui 109 pankkia. Testeissä arvoitiin pankkien kykyä toimia vakavassa kyberhyökkäyksessä ja palautua siitä.
Käytäntöjä löytyi, mutta myös parannettavaa. Tulokset otetaan huomioon, kun arvioidaan testattujen pankkien vakavaraisuutta.
Päättääkö tekoäly lainastasi?
Vuoden 2025 tammikuussa (17.1.2025) aletaan soveltaa sääntelyä, joka koskee finanssialan digitaalisen häiriönsietokyvyn parantamista ja tekoälyn käyttöä. DORA-niminen (Digital Operational Resilience Act) asetus tuo alan yrityksille vaatimuksia tieto- ja viestintätekniikan riskien hallinnasta.
EU haluaa muun muassa valvoa, miten finanssiala käyttää tekoälyä liiketoiminnassaan. EU:ssa kehitetyn tekoälyn tulee olla luotettavaa ja sillä pitää suojata ihmisten perusoikeuksia. Siksi tekoälyjärjestelmät luokitellaan niiden sisältämien riskien mukaan ja järjestelmille asetetaan riskeihin suhteutetut vaatimukset.
Esimerkki riskipitoisesta järjestelmästä voisi olla esimerkiksi tekoäly, joka arvioi lainan hakijan luottokelpoisuutta – tai tekoäly, joka tutkii henkivakuutuksen ottajan terveystietoja.
Lähde: Finanssivalvonnan lehdistötilaisuus verkossa 12.9.2024
Satu Alavalkama