Pankkiturvallisuus kytkeytyy yhä tiiviimmin laajempaan turvallisuustilanteeseen. Valtiollisten toimijoiden intressit, toimitusketjujen haavoittuvuudet, tekoälyn kehitys ja nopeasti muotoaan muuttava verkkorikollisuus näkyvät pankkien arjessa enenevissä määrin. S-Pankin tietoturvajohtaja Leo Niemelä listasi viisi turvallisuustrendiä, joihin pankit nyt varautuvat.
Katso video: Pankkiturvallisuuden viisi keskeistä trendiä vuodelle 2026
1) Geopoliittiset jännitteet lisäävät kyberuhkia
Valtiollisten toimijoiden aktiivisuus verkossa on ollut todella korkealla tasolla, ja ne jatkavat edelleen erilaisten hyökkäysten fasilitoimista. Haaste muuttuvassa geopoliittisessa tilanteessa on se, että valtiolliset toimijat eivät näy näissä hyökkäyksissä, sillä niitä operoivat ilman valtiollisia leimoja toimivat digitaaliset rikollisjärjestöt ja -organisaatiot.
”Erityisesti Venäjä, Kiina, Iran ja Pohjois-Korea ovat tällä alueella todella aktiivisia, ja rahoittavat omia yhteiskuntiaan erilaisilla kiristys- ja haittaohjelmilla. Ne myös pyrkivät kaikin keinoin hyödyntämään suurten teknologiayhtiöiden haavoittuvuuksia ja häiritsemään sitä kautta globaaleja toimitusketjuja”, Niemelä kertoo.
Toisaalta erityisesti EU:ssa pyritään vahvistuvalla tietoturvaregulaatiolla vahvistamaan palveluiden turvallisuutta nykyisessä geopoliittisten jännitteiden ajassa.
2) Rahamuulaus siirtyy voimakkaammin Ruotsista Suomeen
Kiristysohjelmien ja pankkitunnusten kalastelu on edelleen korkealla tasolla, mutta niiden lisäksi Suomessa korostuu myös rahamuulauksen yleistyminen. Ilmiössä on kyse siitä, että muuliksi rekrytoitu, tyypillisesti nuori, henkilö houkutellaan ottamaan vastaan rahaa ja välittämään sitä eteenpäin. Näiden ilmiöiden torjunnalla on merkittävä vaikutus koko talousrikollisuuden kenttään, sillä rikolliset hyödyntävät samoja menetelmiä laajasti eri sektoreilla.
”Rikolliset hakevat aktiivisesti uusia helpompia reittejä toiminnalleen. Nykyinen taloustilanne on ajanut nuoria ahtaalle, jolloin ’helppo raha’ houkuttaa aiempaa enemmän. Lisäksi Ruotsissa on viime aikoina vaikeutettu käteisen nostoa automaateista, minkä seurauksena rikollisjärjestöt ovat kääntäneet katseensa vahvemmin Suomeen. Meillä on edelleen mahdollista nostaa todella paljon käteistä automaateista”, Niemelä avaa kehitystä.
3) Kilpajuoksu tekoälyn uhkien ja mahdollisuuksien välillä
Tekoälyn uhat ovat selviä: Tekoäly auttaa tekemään huijauksista teknisesti parempilaatuisia ja kielellisesti tarkempia, jolloin huijaukset tuntuvat aidoilta. Tekoälyn avulla rikolliset myös etsivät järjestelmien haavoittuvuuksia entistä tehokkaammin.
Samaan aikaan tekoäly auttaa rikosten tehokkaammassa torjunnassa. Kilpailuasetelma rikollisten ja pankkien sekä muiden yksityisen ja julkisen sektorin toimijoiden välillä ei kuitenkaan ole tasainen. Pankkien on toimittava myös tekoälyn hyödyntämisessä sääntelyn puitteissa.
”Pankit voivat ainoastaan puolustautua hyökkäyksiä vastaan, sillä esimerkiksi vastahakkerointia ei ole mahdollista tehdä. Mutta kyllä puolustuksessakin tekoäly nopeuttaa merkittävästi uhkien tunnistamista, yhteisen tilannekuvan muodostamista ja reagointia”, Niemelä sanoo.
4) Aktiivinen puolustus – hyökkääminen tehdään mahdollisimman vaikeaksi
Pankkiturvallisuudessa korostuu entistä vahvemmin toimintamalli, jossa pankkien infrastruktuuri rakennetaan hyökkääjälle mahdollisimman hitaaksi, kalliiksi ja riskialttiiksi.
Esimerkiksi erilaiset tekniset houkutusansat (engl. "honeypot”) ja harhautukset voivat saada rikollisen paljastamaan toimintatapansa ja metodinsa, jolloin pankki pystyy seuraamaan hyökkäysyrityksiä turvallisesti ja kehittämään omaa puolustustaan entistä paremmaksi.
”Sen sijaan, että käytettäisiin valtavasti aikaa ja resursseja muurin rakentamiseen, jonka läpi rikolliset joka tapauksessa pääsevät, panostetaan järjestelmien monimutkaisuuteen. Kun liikkuminen siellä on mahdollisimman vaikeaa, kiinnijäämisen todennäköisyys kasvaa”, Niemelä sanoo.
5) Yhteinen ponnistus – somealustat saatava mukaan huijausten torjuntaan
Verkkorikollisuuden torjunnassa tietoa on jaettava eri toimijoiden välillä niin paljon kuin mahdollista. Pankkialan, teleoperaattoreiden ja viranomaisten joulukuussa julkaisema uusi yhteistyö tehostaakin huijaussivustojen estämistä merkittävästi. Tämäkään ei vielä riitä, vaan seuraavaksi mukaan on saatava globaalit sosiaalisen median alustat.
”Puolet tapauksista, joissa asiakkaat menettävät rahojaan pankkitunnusten luovuttamisen vuoksi, käynnistyy sosiaalisen median alustoilta mainosten ja linkkien kautta. On kriittistä, että Metan ja TikTokin kaltaiset toimijat saadaan vahvemmin mukaan verkkorikollisuuden torjuntaan. EU:ssa regulaatio tulee tukemaan myös tätä.”
S-Pankki kutsui valkohattuhakkerit murtautumaan palveluihinsa ensimmäisenä pankkina Pohjoismaissa
Osana omaa pitkäjänteistä ja ennakoivaa turvallisuustyötään S-Pankki kutsui ensimmäisenä pankkina Pohjoismaissa eettiset hakkerit eli niin sanotut valkohattuhakkerit kehittämään pankkipalveluidensa turvallisuutta.
”Teemme S-Pankissa jatkuvasti pitkäjänteistä ja ennakoivaa turvatyötä, jotta voimme vahvistaa sekä pankkipalveluiden että asiakkaidemme tietoturvaa entisestään. Eettisten hakkereiden kanssa järjestetty tilaisuus täydentää omaa turvallisuustyötämme tuomalla uusia näkökulmia hallitussa ympäristössä”, Niemelä kertoo.
Joulukuussa järjestettyyn S-Pankki Hack -tapahtumaan osallistui noin 50 valkohattuhakkeria. Tilaisuus järjestettiin S-Pankin tiloissa rajatussa ympäristössä, jossa ei käsitelty asiakastietoja eikä tapahtuma vaikuttanut asiakkaiden tietosuojaan tai tietoturvaan.
”Päivän aikana osallistujat tekivät useita arvokkaita tietoturvahavaintoja, joista jokaisesta maksettiin palkkio löydön tehneelle asiantuntijalle. Näiden havaintojen ansiosta pystyimme toteuttamaan tarvittavat korjaukset järjestelmiimme ja vahvistamaan pankkipalveluidemme turvallisuutta entisestään”, Niemelä jatkaa.
”S-Pankki Hack -tilaisuuden tapaiset tapahtumat syventävät juuri sitä käytännön tason yhteistyötä, jolla nostamme pankkipalveluiden turvallisuustasoa yhteistyössä tietoturva-ammattilaisten kanssa. Haluamme kiittää jokaista S-Pankki Hack -tilaisuuden osallistujaa sekä tietoturvayhteisöä arvokkaasta panoksesta”, Niemelä kiittää.
Lue lisää pankkipalveluiden turvallisuudesta.
S-Pankki Hack -tilaisuuden osallistujia, kuva: Martti Lindholm, S-Pankki Oyj
