S-Pankin toiminnassa liittyen tietoturva-aukkoon vuonna 2022 on ollut ristiriitaa viestinnän eettisten periaatteiden kanssa, arvioi Viestinnän eettinen neuvottelukunta (VEN)*.
Viestinnän eettiset ohjeet korostavat sitä, että viestinnän ammattilainen tuo aktiivisesti ja ennakoivasti saataville sidosryhmille tarpeellisen tiedon. Sidosryhmien monimuotoisuuden huomioimisen periaate taas alleviivaa saavutettavuutta ja ymmärrettävyyttä. Neuvottelukunnan arvion mukaan S-Pankin toiminnassa on ollut ristiriitaa näiden periaatteiden kanssa.
S-Pankin tietoturva-aukon seurauksena rahalliset menetykset olivat poliisin alustavan arvion mukaan 1,2 miljoonaa euroa. Tietoihin pääsy altisti noin 200 tilinhaltijaa riskeille ja 70 tapausta oli sellaisia, joihin liittyi taloudellisia väärinkäytöksiä. Tapaus on erityisen kiinnostava, koska tietoturvaan ja tietosuojaan liittyvät riskit ovat nousussa.
Ymmärrettävyys edellyttää, että viestinnän kärjet pohditaan huolella. Osa pankin asiakkailleen suuntaamista kirjallisista viesteistä saattoi jäädä lukematta verhoilluista muotoiluista johtuen. Esimerkiksi otsikko ”Tärkeää tietoa asiakastiedoistasi S-Pankin verkkopankissa” hämärsi tilanteen vakavuuden. Sama tyyli jatkui myös 13.9.2022 pankin tiedotteessa: ”S-Pankin tunnistautumisessa järjestelmähäiriö kesällä”.
S-Pankki päätti olla kertomatta julkisuuteen tietoturva-aukosta, kun se havaittiin 5.8.2022. Pankki kertoi vasta reilun kuukauden päästä julkisesti tietoturva-aukon aiheuttamista ongelmista, koska halusi välttää ”laajaa sekaannusta”. Pankki keskittyi tunnistamaan ja suoraan kontaktoimaan tietomurron uhreja. Näin linjatessaan S-Pankki kuitenkin otti riskin, että vaikeneminen julkisuudessa näyttää viivyttelyltä ja asian peittelyltä, VEN arvioi.
VEN korostaa tapauskohtaista harkintaa, koska aina ei ole helppoa arvioida, millaisissa tilanteissa tietomurroista kannattaa viestiä julkisuudessa ja milloin tukeutua ainoastaan henkilökohtaiseen täsmäviestintään. ”Tästä toivommekin keskustelua viestinnän ammattilaisten piirissä”, sanoo neuvottelukunnan puheenjohtaja Päivi Sihvola.
Neuvottelukunnan ei ole mahdollista ottaa kantaa siihen, miksi tietoturva-aukon tunnistamiseen meni kuukausia. Nopea tilannekuvan muodostaminen ei yleensä ole ensisijaisesti viestinnän ammattilaisista kiinni, vaan edellyttää valppautta liiketoiminnan keskeisissä prosesseissa. Organisaatioiden viestintäyksiköt voivat kuitenkin osaltaan edistää kulttuuria, jossa heikotkin signaalit tulevat asianmukaisesti arvioitaviksi. Avoin ja sidosryhmiä kuunteleva viestintäkulttuuri on koko organisaation ominaisuus, ei ainoastaan viestintäfunktion tehtävä. Tässä korostuu organisaation johdon vastuu.
Kannanotto: VEN 2023/2 S-Pankin viestintä liittyen tietoturva-aukkoon
Lisätietoja: Viestinnän eettisen neuvottelukunnan puheenjohtaja Päivi Sihvola 040 7574992.
* Neuvottelukunnan taustayhteisöjä ovat viestinnän ammattilaisia edustavat ProCom ry, Viesti ry ja julkisen alan viestijöiden JAT ry sekä markkinointia ja viestintää tekevien ja ostavien yritysten verkosto Marketing Finland. Neuvottelukunnan tehtävänä on ottaa kantaa viestinnän eettisiin kysymyksiin ja ylläpitää Viestinnän eettisiä ohjeita. Tässä tapauksessa on nojauduttu vuonna 2022 voimassa olleisiin ohjeisiin. Lisätietoja ven.fi