Aktia pankille määrättiin 865 000 euron seuraamusmaksu vuonna 2023 ilmenneistä tietoturvan laiminlyönneistä. Häiriön vuoksi pankkitunnuksilla kirjautuessa pääsi käsiksi toisten asiakkaiden tietoihin. Aktia aikoo valittaa päätöksestä.
Aktian kirjautumisessa oli paha ongelma. Anu Kivistö
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Aktia pankille tietoturvallisuuden laiminlyönnistä 865 000 euron seuraamusmaksun.
Aktian sähköisessä tunnistautumisessa oli tunnin häiriö tammikuussa 2023. Häiriö liittyi pankin sähköiseen tunnistautumiseen tehtyyn tekniseen muutokseen.
Häiriön aikana osa Aktian verkkopankkitunnuksilla erilaisiin asiointipalveluihin kirjautuneista henkilöistä pääsi käsiksi toisten asiakkaiden erittäin henkilökohtaisiin tietoihin. Palvelu sekoitti henkilöiden kirjautumiset. Tällöin oli myös mahdollista asioida toisen asiakkaan nimissä.
– Vahvan tunnistautumisen on toimittava oikein, koska sillä on tarkoitus varmistaa palvelun käyttäjän henkilöllisyys ja tietojen pysyminen luottamuksellisena, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa tiedotteessa.
Häiriö koski kirjautumista viranomaispalveluihin, työttömyyskassoihin, vakuutusyhtiöihin ja terveydenhuollon palveluihin. Häiriö ei koskenut verkkopankkiasiointia.
Vaikutukset 350 henkilöön
Tietosuojavaltuutetun toimiston mukaan pankilla oli puutteita palveluun tehdyn teknisen muutoksen suunnittelussa, toteutuksessa ja testauksessa.
– Mitä suurempia määriä henkilötietoja käsitellään ja mitä vakavampia seurauksia niiden vaarantuminen voi ihmisille aiheuttaa, sitä enemmän on panostettava turvallisuuteen ja tarvittaviin toimenpiteisiin, Pihamaa muistuttaa.
Aktia on ottanut häiriön jälkeen käyttöön testausmenetelmiä, joilla varmistetaan, etteivät tunnistautumiset sekoitu jatkossa.
Häiriö vaikutti noin 350 henkilöön. Aktialla ei ole tiedossa, että tämä olisi johtanut väärinkäytöksiin.
Seuraamusmaksu määrättiin, koska pankki ei noudattanut henkilötietojen turvallista käsittelyä. Pankille annettiin myös huomautus tietosuoja-asetuksen rikkomisesta.
Päätökset eivät ole vielä lainvoimaisia ja näihin on mahdollista hakea muutosta valittamalla hallinto-oikeuteen.
Aktia valittaa päätöksestä
Aktia kertoo valittavansa päätöksestä hallinto-oikeuteen. Heidän mukaansa päätöksessä on virheellisiä tulkintoja tietosuojaturvatestauksesta ennen tapahtunutta virhettä. Seuraamusmaksu on Aktian mukaan kohtuuton.
– Olemme eri mieltä viranomaispäätöksestä. Kyseessä oli yksittäinen virhe. Me pidämme viranomaisen tulkintoja soveltuvasta sääntelystä sekä seuraamusmaksua ankarana suhteessa tapahtumaan, jossa on kyse yksittäistapauksesta ja jossa Aktia on reagointikyvyllään ja -nopeudellaan osoittanut organisaatiotasoista tietoturvaansa, Aktian viestintäjohtaja Mia Smeds kertoo Iltalehdelle.
Tapauksessa ulkopuoliset saivat pääsyn henkilökohtaisiin terveystietoihin. Minkälainen teidän näkemyksenne tästä on?
– Osa tietoturvaloukkauksista koski pääsyä henkilökohtaisiin terveystietoihin, ja olemme toki erittäin pahoillamme tästä. Ongelma kesti alle tunnin. Tietysti olemme sen jälkeenkin jatkaneet laadunvarmistusprosessien parantamista ja henkilöstön tietosuoja- ja tietoturvakoulutusta. Varmistamme myös jatkossakin, että toimintamme täyttää tietoturvan tason. Tapaus oli erittäin valitettava virhe, mutta kyseessä oli vain yksittäinen tapaus, Smeds kertoo.
Aktia vakuuttaa, että heidän asiakkaansa voivat käyttää heidän palveluitaan turvallisin mielin myös jatkossa.