Nyheter

Publicerad

14 september 2022 21:57

Uppdaterad

14 september 2022 22:00

Ett programfel i S-Bankens webbsnk har gjort att kunder kunnat logga in på andras konton och se andra privata uppgifter. I vissa fall har det skett olagliga transaktioner.

Foto: Daniel Eriksson

S-banken hade allvarligt systemfel i 3,5 månader

Kunder i S-bankens nätbank har kunnat logga in på andras konton och även ta del av deras privata information hos FPA och Skatteförvaltningen.
– Vi beklagar djupt det inträffade, säger direktör Carl-Edvard Holmberg på S-banken.
Crosskey, som levererat S-bankens system, kommenterar inte fallet med hänvisning till att det rör kunduppgifter.

Vill du fortsätta läsa?

Som prenumerant hos oss får du tillgång till artikeln och våra andra produkter

Kund men inte aktiverat kontot ännu? Aktivera konto

Jonny Mattsson

Mellan den 20 april och den 5 augusti 2022 förekom en systemstörning i identifieringen med S-bankens nätbankskoder. Det innebar att en grupp kunder hos S-banken kunde logga in på andra kunders nätbank.

Enligt Yle har polisen fått information om 53 betalningsbedrägerier och polisen utreder dessutom cirka 150 dataintrång. Offren kommer från hela landet. Två personer sitter nu häktade.

– Vi ber om ursäkt för och beklagar djupt det inträffade. Vi tar säkerheten i våra tjänster på stort allvar och tar kontinuerligt fram nya metoder för att skydda våra tjänster. Det handlar dock tyvärr om en kapplöpning med brottslingar som hela tiden försöker hitta nya sårbarheter i tjänsterna, säger Carl-Edvard Holmberg, direktör för digital utveckling på S-banken, till Ålandstidningen.

Carl-Edvard Holmberg vill inte gå in på exakt hur kunder kommit åt andra personers uppgifter.

– Det är inte frågan om någon dataläcka eller ett intrång. Enskilda kunders bankkoder eller kreditkortsuppgifter har inte äventyrats. Det är fortsättningsvis säkert att använda vår nätbank.

Leverantören säger ingenting

S-banken inledde sin verksamhet 2007. Bankens datasystem har levererats av åländska Crosskey, som även utvecklats Ålandsbankens system och sålt program och drift till fler andra banker.

Har Crosskey något ansvar för det här felet?

– Jag kan tyvärr inte kommentera enskilda kundärenden, säger vd Niclas Södergård.

I generella termer, hur vanligt eller ovanligt är ett sånt här systemfel?

– Jag har svårt att uttala mig desto mera om det. Dataskydd är något som alla företag jobbar med. Det är en viktig fråga.

Hur kunde det här pågå i mer än tre månader?

– Jag får hänvisa till S-banken att kommentera det.

Oförklarligt långvarigt

Enligt uppgifter till Yle upptäcktes felet av en så kallad vithatt, en datahackare som på kunders uppdrag letar efter svagheter i olika system i syfte att förbättra datasäkerheten.

Hur kan en dylik störning pågå i över tre månader?

– Det rör sig om en mycket liten del av våra 3,1 miljoner kunder. Det görs 20 miljoner inloggningar per månad, därför tog det så länge att identifiera de relevanta kundhändelserna. Vi har gjort en mycket grundlig analys och kunnat slå fast att det inte rör sig om ett internt missbruk eller programsabotage i banken, säger Carl-Edvard Holmberg.

Kommer ni att kräva ansvar av Crosskey?

– Våra banktjänster är resultatet av ett samarbete mellan våra egna specialister och en stor grupp ledande externa experter i branschen samt olika samarbetspartners. Ansvaret för det inträffade är dock vårt och vi bär vårt ansvar som bank.

Skatter och patientuppgifter

Uppgifter i Taloussanomat ger vid handen att felet inneburit att man förutom kontotransaktioner via nätbanken kunnat gå in och se andra kunders personliga meddelanden, avtal eller lånevillkor. Dessutom har det gått att ta del av olika myndighetsuppgifter, patientuppgifter i Omakanta samt komma åt information hos olika försäkringsbolag.

Banken ska ersätta sina kunder för alla direkta ekonomiska skador som orsakats med anledning av störningen. Carl-Edvard Holmberg vill inte gå in på hur stora summor det är fråga om.

– Alla berörda har fått ett meddelande via nätet. Vi håller nu på att ringa upp kunderna och hoppas få kontakt med alla inom några dagar.

Exceptionell händelse

Finansinspektionen ser med oro på det inträffade. Ledande jurist Sanna Atrila anser att det är frågan om en exceptionell och allvarlig systemstörning. Hon kan inte minnas att något liknande inträffat tidigare, att kunder kunnat komma åt andra personers bankuppgifter.

– Finansinspektionen ska säkerställa att banksystemen är på en sådan nivå att sådana här möjligheter för kriminella inte uppstår och att motsvarande störningar kan undvikas i framtiden. Vi kräver en redogörelse av S-banken över händelsen, säger Sanna Atrila till Yle.

Straffades för brister

Enligt Finansinspektionen är det för tidigt att säga vilka påföljder som kan bli aktuella.

S-banken har de senaste åren straffats för bristande rutiner i två fall. I fjol fick man betala 1,7 miljoner euro i påföljdsavgift för brister i identifierings- och rapportprocessen avseende misstänkta order i aktieförmedlingen. År 2019 ålades banken att betala nära en miljon för brister i kundkännedomsprocessen.