veronmaksajat.fi

Pankki lähetti minulle kaimani tiliotteet – onko sähköposti jopa tieto­turvan heikoin lenkki?

Antti Oksanen

Taloudesta taittaen

Antti Oksanen on Taloustaidon päätoimittaja. Seuraa X:ssä @Aoksanen

Sain pankilta sähköpostia. Yksityiseen Gmail-osoitteeseeni tullut viesti piti sisällään myös pankin asiakkaan usean kuukauden tiliotteet.  

Palveluneuvojan lähettämä viesti oli vaan tarkoitettu kokonaan toiselle, suunnilleen samannimiselle henkilölle kuin allekirjoittanut. Ei kuitenkaan sille Ari Oksaselle, jonka kanta-asiakasviestit ovat niin ikään tulleet suurelta kauppaketjulta virheellisesti minulle jo vuosien ajan.  

Tällaista on digitalisoituneen asiakashallinnan ja -viestinnän arki. Viestivolyymit ovat valtavia, joten sekaan mahtuu sekä asiakkaiden että asiakaspalvelijoiden tietämättömyyttä, mokailua ja sähläämistä.  

Isoissa organisaatioissa kyse on myös piittaamattomuudesta ohjeista tai henkilöstön koulutuksen puutteesta. Yksilötason virheet ovat pieniä mutta seuraukset vakavia, kun pankkisalaisuus murtuu.   

Media on täynnä uutisia palvelunestohyökkäyksistä nettisivustoille ja verkkorikollisten yrityksistä kalastella henkilötietoja. Työntekijöiden tai taviskäyttäjien huolimattomuudesta koituvat virheet jäävät vähälle huomiolle, koska ne ovat jopa nolompia kuin huijauslinkkien klikkaaminen.  

Onko arkinen sähköpostailu jopa tietoturvan heikoin linkki, kun ihmiset kirjoittavat osoitteensa väärin verkkolomakkeille tai tavaavat sen väärin puhelimessa?  

Yllä mainitussa pankin tapauksessa asiakas on todennäköisesti vaatimalla vaatinut tiliotteitaan omaan sähköpostiinsa. Vastaanottajat menevät helposti sekaisin, sillä esimerkiksi Gmail ei välitä pisteistä tai muista välimerkeistä, jos kirjaimet ennen osoitteen @-merkkiä ovat muuten samat.  

Jo talonpoikaisjärki sanoo, että luottamukselliset dokumentit tulisi toimittaa asiakkaille vain verkkopankin viestisovelluksessa ja ulkoiseen osoitteeseen vähintään turvasähköpostina. 

Sähköpostiasioinnin turvallisuus nousee entistä kriittisemmäksi asiaksi, kun Suomi siirtyy nykyisen hallitusohjelman mukaisesti digitaalisten palveluiden ensisijaisuuteen viranomaiskanavana.  

Lainsäädäntömuutosten yhteydessä selvitetään kustannustehokasta tapaa toimittaa viranomaisposti yksityisiin sähköpostiosoitteisiin. Sovitaanko jo tässä vaiheessa, ettei luottamuksellisia viranomaisviestejä lähetetä suoraan gmaileihin ja hotmaileihin?  

Ratkaisu ei ole palata analogiseen menneisyyteen ja esimerkiksi kirjeiden lähettämiseen. Sataprosenttista tietoturvaa ei ole olemassa millään toimialalla. Virheitä ja aukkoja on joka kanavassa. 

Pankeilta, kaupalta ja muilta massiivisten asiakastietojen haltijoilta on kuitenkin lupa edellyttää korkean tason laatua ja tietoturvaa kaikessa asiakasviestinnässä.  

Resursseista ei voi olla kyse, kun katsoo vaikka juuri pankkien viime vuosien ennätystuloksia, korkokatteen siivittäminä. Tietojärjestelmien ja niiden käyttäjien osaamisen varmistaminen kaikissa asiakasrajapinnoissa on yritysten ydinbisnestä. 

Ilmoitin muuten asianomaiselle pankkivirkailijalle asiakastietojen kulkeutumisesta väärälle henkilölle, mutta mitään vastausta tai selitystä virhelähetyksestä ei koskaan tullut. Odottelen edelleen.  

Antti Oksanen



__________________________________________________________

Blogissa on julkaistu 5.11.2024 alla oleva teksti. Pahoittelemme virhettä. Yllä oikea 6.11.2024 julkaistu versio.

Aiempi versio: Pankki lähetti minulle kaimani tiliotteet – onko sähköposti jopa tieto­turvan heikoin lenkki?

Sain pankilta sähköpostia. Yksityiseen Gmail-osoitteeseeni tullut viesti piti sisällään myös pankin asiakkaan usean kuukauden tiliotteet.

Palveluneuvojan lähettämä viesti oli vaan tarkoitettu kokonaan toiselle, suunnilleen samannimiselle henkilölle kuin allekirjoittanut. Ei kuitenkaan sille Ari Oksaselle, jonka kanta-asiakasviestit ovat niin ikään tulleet suurelta kauppaketjulta virheellisesti minulle jo vuosien ajan. 

Tällaista on digitalisoituneen asiakashallinnan ja -viestinnän arki. Viestivolyymit ovat valtavia, joten sekaan mahtuu sekä asiakkaiden että asiakaspalvelijoiden tietämättömyyttä, mokailua ja sähläämistä. 

Isoissa organisaatioissa kyse on tyypillisesti piittaamattomuudesta ohjeista tai henkilöstön koulutuksen puutteesta. Yksilötason virheet ovat pieniä mutta seuraukset vakavia, jos yksityisyydensuoja vaarantuu.

Media on täynnä uutisia palvelunestohyökkäyksistä nettisivustoille ja verkkorikollisten yrityksistä kalastella henkilötietoja. Työntekijöiden tai taviskäyttäjien huolimattomuudesta koituvat virheet jäävät vähälle huomiolle, koska ne ovat jopa nolompia kuin huijauslinkkien klikkaaminen. 

Onko arkinen sähköpostailu jopa tietoturvan heikoin linkki, kun ihmiset kirjoittavat osoitteensa väärin verkkolomakkeille tai tavaavat sen väärin puhelimessa? 

Yllä mainitussa pankin tapauksessa asiakas on todennäköisesti vaatimalla vaatinut tiliotteitaan omaan sähköpostiinsa. Vastaanottajat menevät helposti sekaisin, sillä esimerkiksi Gmail ei välitä pisteistä tai muista välimerkeistä, jos kirjaimet ennen osoitteen @-merkkiä ovat muuten samat. 

Pankkien tulisi toimittaa luottamukselliset dokumentit asiakkailleen vain verkkopankkinsa viestisovelluksessa tai ulkoiseen osoitteeseen vähintään turvasähköpostina.

Sähköpostiasioinnin turvallisuus nousee entistä kriittisemmäksi asiaksi, kun Suomi siirtyy nykyisen hallitusohjelman mukaisesti digitaalisten palveluiden ensisijaisuuteen viranomaiskanavana. 

Lainsäädäntömuutosten yhteydessä selvitetään kustannustehokasta tapaa toimittaa viranomaisposti yksityisiin sähköpostiosoitteisiin. Sovitaanko jo tässä vaiheessa, ettei luottamuksellisia viranomaisviestejä lähetetä suoraan gmaileihin ja hotmaileihin? 

Ratkaisu ei ole palata analogiseen menneisyyteen ja esimerkiksi kirjeiden lähettämiseen. Pankkialan legendaarisen verkkopankkijohtajan Bo Haraldin sanoin sataprosenttista tietoturvaa ei ole olemassa. Virheitä ja aukkoja on joka kanavassa.

Pankeilta, kaupalta ja muilta massiivisten asiakastietojen haltijoilta on kuitenkin lupa edellyttää korkean tason laatua ja tietoturvaa kaikessa asiakasviestinnässä. 

Resursseista ei voi olla kyse, kun katsoo vaikka juuri pankkien viime vuosien ennätystuloksia, korkokatteen siivittäminä. Tietojärjestelmien ja niiden käyttäjien osaamisen varmistaminen kaikissa asiakastapahtumissa on yritysten ydinbisnestä.

Ilmoitin muuten asianomaiselle pankkivirkailijalle asiakastietojen kulkeutumisesta väärälle henkilölle, mutta mitään vastausta tai selitystä virheviestistä ei koskaan tullut. Taisi nolottaa liikaa.

Kommentit (0)
 

Kommentoi
Kommentoinnin yhteydessä kerättävät tiedot on tarkoitettu vain kommentoinnin pitämiseksi asiallisena. Kommentoinnin yhteydessä annettuja tietoja ei tallenneta asiakasrekisteriin, eikä niitä käytetä tai luovuteta muuhun tarkoitukseen.
Nimesi Sähköpostiosoitteesi (ei näy julkisesti)
Kommenttisi
Varmistus robottien varalta: Mitä onkaan kaksi ynnä kolme?
Välitä Taloustaidon ylläpidolle huomiosi siitä, että kommentti on mielestäsi asiaton ja toivoisit sen poistamista.
Voit myös halutessasi antaa lisätietoja ylläpidolle:
Haluatko varmasti poistaa kommentin?

Blogit