Extralehdet Extralehdet
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Aktia Pankille 865 000 euron seuraamusmaksun tietoturvallisuuden laiminlyönnistä sähköisen tunnistamisen palvelussa. Lyhytaikaisen häiriön vuoksi osa erilaisiin asiointipalveluihin Aktian pankkitunnuksilla kirjautuneista henkilöistä oli päässyt toisten asiakkaiden henkilökohtaisiin tietoihin, sillä palvelu sekoitti henkilöiden tunnistautumiset.
Aktian vahvan sähköisen tunnistamisen palvelussa esiintyi teknisestä muutoksesta johtunut häiriö tammikuussa 2023. Noin tunnin kestäneen häiriön aikana osa henkilöistä, jotka kirjautuivat Aktian verkkopankkitunnuksilla vahvaa tunnistamista vaativiin palveluihin, oli nähnyt toisten henkilöiden tietoja. Myös asiointi toisen asiakkaan nimissä oli ollut mahdollista.
Tietoturvaloukkaus koski viranomaisasioinnin palveluita, työttömyyskassoja, vakuutusyhtiöitä ja terveydenhuollon palveluntarjoajia. Vika ei kuitenkaan koskenut Aktian verkkopankkiin kirjautumista. Häiriö ulottui sellaisiin asiointipalveluihin, joissa on vahvasti yksityiselämän piiriin kuuluvaa tietoa, kuten terveyttä ja taloudellista asemaa koskevia tietoja.
– Vahvan tunnistautumisen on toimittava oikein, koska sillä on tarkoitus varmistaa palvelun käyttäjän henkilöllisyys ja tietojen pysyminen luottamuksellisena. Pankkitunnuksilla kirjaudutaan palveluihin, joissa olevien tietojen ei haluta päätyvän muiden nähtäväksi, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa.
Tietoturvaloukkauksen kohteeksi joutui noin 350 henkilöä. Häiriöstä johtuvaa tietojen väärinkäyttöä ei Aktian mukaan ole tiedossa.
Tunnistamispalvelun tietoturvallisuus olisi tullut varmistaa riittävällä muutosprosessin hallinnalla
Tietosuojavaltuutetun toimisto selvitti Aktian toimintaa ja häiriöön johtanutta syytä. Selvityksessä havaittiin, että Aktian olisi tullut suunnitella ja toteuttaa tunnistuspalvelun tekninen muutos huolellisemmin ja testata palvelun toimintaa riittävästi muutoksen jälkeen. Toiminnallisuutta olisi voitu testata kattavammin tavanomaisilla ja yleisesti käytössä olevilla menetelmillä. Aktia on ottanut häiriön jälkeen käyttöön testausmenetelmiä, joilla voidaan varmistaa, etteivät tunnistautumiset mene ristiin.
– Riittävät toimenpiteet riippuvat aina siitä, mikä on organisaation toimiala ja millaisesta palvelusta on kyse. Mitä suurempia määriä henkilötietoja käsitellään ja mitä vakavampia seurauksia niiden vaarantuminen voi ihmisille aiheuttaa, sitä enemmän on panostettava turvallisuuteen ja tarvittaviin toimenpiteisiin, Pihamaa muistuttaa.
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Aktialle hallinnollisen seuraamusmaksun, sillä pankki ei ollut noudattanut tietosuojalainsäädännön vaatimuksia henkilötietojen turvallisesta käsittelystä. Seuraamusmaksun määrän arvioinnissa huomioitiin, että Aktialla oli ollut valmius reagoida häiriötilanteeseen nopeasti ja että se oli ryhtynyt viipymättä toimiin tilanteen korjaamiseksi, jolloin vahinkoja oli pystytty lieventämään.
Apulaistietosuojavaltuutettu antoi pankille myös huomautuksen tietosuoja-asetuksen rikkomisesta. Päätökset eivät ole vielä lainvoimaisia ja niihin voi hakea muutosta valittamalla hallinto-oikeuteen.
