1. Tausta ja keskeiset kysymykset
Viestinnän eettinen neuvottelukunta VEN* on kiinnittänyt huomiota S-pankin viestintään liittyen tietoturva-aukkoon, joka syntyi 20.4.2022 ja korjattiin 5.8.2022. Haavoittuvuuden seurauksena rahalliset menetykset olivat poliisin alustavan arvion mukaan 1,2 miljoonaa euroa. Tietoihin pääsy altisti noin 200 tilinhaltijaa riskeille ja 70 tapausta oli sellaisia, joihin liittyi taloudellisia väärinkäytöksiä. VEN näkee tapauksessa yleistä merkitystä viestinnän eettisyyden näkökulmasta.
Tapaus on erityisen kiinnostava, koska tietoturvaan ja tietosuojaan liittyvät riskit ovat nousussa. Se peilaa niitä haasteita, joita eri digitaalisten palveluiden omistajat voivat tulevaisuudessa kohdata ja joihin on viestinnässäkin syytä valmistautua.
Viestinnän eettiset ohjeet korostavat sitä, että viestintä tuo aktiivisesti ja ennakoivasti saataville sidosryhmille tarpeellisen tiedon. Sidosryhmien monimuotoisuuden huomioimisen periaate taas alleviivaa saavutettavuutta ja ymmärrettävyyttä. Keskeinen kysymys onkin, miten nämä periaatteet toteutuivat pankin viestinnässä.
Viestinnän liikkumavaraa voi rajoittaa se, että käynnissä on erilaisia viranomaisprosesseja, kuten poliisin esitutkinta. Pankkisalaisuus taas estää ottamasta julkisesti kantaa yksittäistapauksiin. Myös liikesalaisuuksien, riskienhallinnan ja tietoturvan näkökulmat on otettava huomioon.
S-Pankki tunnisti tietoturva-aukon 5.8.2022, mutta jo tätä ennen asiakkailta alkoi tulla yhteydenottoja pankkiin. 5.8. pankki teki rikosilmoituksen sekä linjasi, että uhrien kartoitus ja heidän henkilökohtainen informoimisensa oli kaikkein tärkeintä. Sen sijaan pankin mukaan ”viestiminen julkisella tiedotteella heti, jo korjatun virheen osalta, olisi arviomme mukaan ollut omiaan herättämään laajaa sekaannusta”.
Viestintä asiakkaille, joita häiriö koski, käynnistettiin 12.9.2022. Julkisuuteen S-Pankki tuli 13.9.2022 viestillä, jonka kärki oli: ”S-Pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi 20.4.–5.8.2022 järjestelmähäiriö, joka vaikutti rajattuun joukkoon asiakkaita. Häiriö on korjattu. S-Pankki on ollut yhteydessä verkkopankin viestillä tai kirjeitse kaikkiin asiakkaisiin, joita häiriö koski. Jos asiakkaaseen ei ole oltu yhteydessä, häiriö ei koskettanut häntä, eikä tapahtunut edellytä toimenpiteitä.”
Neuvottelukunta on muodostanut kantansa asiaan kuultuaan S-Pankin viestinnästä vastaavaa Aleksi Moisiota ja pankkiliiketoiminnan lakiasioista vastaavaa Tuovi Iivanaista. Lisäksi olemme olleet yhteydessä rikoskomisario Klaus Geigeriin, tietosuojavaltuutettu Anu Talukseen sekä Finanssivalvontaan selvittääksemme viestinnän pelisääntöjä vastaavissa tilanteissa. Neuvottelukunnan kannan valmisteluun ovat osallistuneet puheenjohtaja Päivi Sihvola ja Marketing Finlandia neuvottelukunnassa edustava Sari-Liia Tonttila. Päätöksentekoon eivät ole osallistuneet sellaiset jäsenet, jotka ovat olleet osallisia tapauksessa.
2. Neuvottelukunnan kanta
Viestinnän aktiivisuuden, ennakoivuuden ja saavutettavuuden kannalta keskeistä on koska, miten ja mitä asiakkaille kerrottiin.
Neuvottelukunnan ei ole mahdollista ottaa kantaa siihen, miksi tietoturva-aukon tunnistamiseen meni kuukausia. Viestinnän suunnittelun kannalta asetelma on kuitenkin hankala. Tilannekuva saattoi muodostua vasta 5.8. alkaen, vaikka väärinkäytökset olivat jatkuneet kesän mittaan ja uhrit olivat ottaneet pankkiin yhteyttä. S-Pankin mukaan ei ollut teknisesti mahdollista erottaa tietoturva-aukkoon liittyviä asiakkaiden yhteydenottoja esimerkiksi maksuvälinepetoksiin liittyvistä tapauksista.
Kun väärinkäytöksistä päätettiin olla kertomatta julkisuuteen 5.8., ei enää olisi ollut riskiä, että joku muu yrittäisi käyttää aukkoa rikollisesti. Ei myöskään ole tullut ilmi, että kuulemamme viranomaiset olisivat asettaneet viestinnän avoimuudelle rajoituksia.
Neuvottelukunta puntaroi, olisiko tässä vaiheessa asiakkaiden ollut tarpeellista ja rauhoittavaa saada myös julkisuuden kautta olennainen tieto tapahtuneesta. Pohdimme sitäkin, olisiko julkisuus palvellut kuluttajia laajemminkin. Huoli tietoturvasta tai -suojasta ei kohdistu pelkästään uhreihin vaan kaikkiin asiakkaisiin, jotka haluavat ymmärtää aiheeseen liittyviä riskejä ja vastuita. Asiakkaan tietojen kalastelu on eri asia, kuin tietoturva-aukon hyödyntäminen, mutta valppaus on tärkeää molemmissa tapauksissa.
Osa pankin asiakkailleen osoittamista kirjallisista viesteistä saattoi jäädä lukematta ainakaan loppuun asti verhoilluista muotoiluista johtuen. Esimerkiksi otsikosta ”Tärkeää tietoa asiakastiedoistasi S-Pankin verkkopankissa” ei käynyt ilmi tilanteen vakavuus. Etenkin, jos vasta kolmannen kappaleen lopussa ilmenee, että ”häiriön aikana tunnuksillasi on myös kirjauduttu muihin verkkopalveluihin ja tunnustesi avulla on tehty oikeudettomia verkkomaksuja”. Puheluiden sisältöä emme luonnollisesti voi arvioida.
Viestien muotoilussa on tärkeää, että olennainen asia tulee heti otsikkotasolla selväksi, eikä huku pitkähkön tekstin sekaan. Kysymys on ymmärrettävyydestä ja saavutettavuudesta. Kuluttajat saavat paljon viestejä, joissa ilmoitetaan teknisistä muutoksista muun muassa pankkipalveluissa. On riski, että viesti jää lukematta, jos otsikko on liian yleinen tai tekstin olennaiset asiat vaikeasti hahmotettavissa. Monimuotoisessa joukossa on todennäköisesti niitä, jotka eivät ehdi lukea kaikkia rutiiniksi katsomiaan viestejä ja niitä, joiden mahdollisuudet sisäistää teksti ovat syystä tai toisesta rajoittuneita.
S-Pankilta meni yli kuukausi siihen, että se kertoi julkisesti tietoturva-aukon aiheuttamista ongelmista, koska halusi “välttää laajaa sekaannusta”. Samalla se kuitenkin otti riskin, että vaikeneminen julkisuudessa näyttää viivyttelyltä ja asian peittelyltä. Tällainen mielikuva ei ole omiaan vahvistamaan luottamusta pankkiin.
3. Neuvottelukunnan kanta perustuu viestinnän eettisiin ohjeisiin
Viestinnän eettisten ohjeiden mukaan viestinnän ammattilainen
- tuo aktiivisesti ja ennakoivasti saataville sidosryhmille tarpeellisen tiedon
- huomioi sidosryhmien ja yleisöjen monimuotoisuuden
- edistää kaikissa tilanteissa työnantajansa tai toimeksiantajansa luotettavuutta
Neuvottelukunnan arvion mukaan S-pankin toiminnassa on ollut ristiriitaa näiden periaatteiden kanssa.
4. Suositukset
VEN katsoo, että jatkossa vastaavanlaisissa tilanteissa oikea-aikainen, selkeä ja asiakkaiden tarpeisiin vastaava viestintä on omiaan rauhoittamaan uhreja. Viestinnän kärjet pitää pohtia huolella. Olennaiset tiedot voivat viestien tulvassa jäädä huomaamatta, jos ongelma ja ratkaisu eivät ole otsikkotasolla heti selviä.
Tapauskohtainen harkinta korostuu, koska aina ei ole helppoa arvioida, millaisissa tilanteissa tietomurroista kannattaa viestiä julkisuudessa ja milloin tukeutua henkilökohtaiseen täsmäviestintään. Tästä toivommekin keskustelua viestinnän ammattilaisten piirissä.
Nopea tilannekuvan muodostaminen ei yleensä ole ensisijaisesti viestinnän ammattilaisista kiinni, vaan edellyttää valppautta liiketoiminnan keskeisissä prosesseissa. Organisaatioiden viestintäyksiköt voivat kuitenkin osaltaan edistää kulttuuria, jossa heikotkin signaalit tulevat asianmukaisesti arvioitaviksi.
Avoin ja sidosryhmiä kuunteleva viestintäkulttuuri on koko organisaation ominaisuus, ei ainoastaan viestintäfunktion tehtävä. Tässä korostuu organisaation johdon vastuu.
* Neuvottelukunnan taustayhteisöjä ovat viestinnän ammattilaisia edustavat ProCom ry, Viesti ry ja julkisen alan viestijöiden JAT ry sekä markkinointia ja viestintää tekevien ja ostavien yritysten verkosto Marketing Finland. Neuvottelukunnan tehtävänä on ottaa kantaa viestinnän eettisiin kysymyksiin ja ylläpitää Viestinnän eettisiä ohjeita. Tässä tapauksessa on nojauduttu vuonna 2022 voimassa olleisiin ohjeisiin. Lisätietoja ven.fi
