Tämä sivu koostaa Finanssivalvonnan keskeiset tiedotteet ja kirjoitukset kyberturvallisuudesta ja huijausten ehkäisemisestä vuodelta 2024.

Pankkiasioinnin turvallisuuden parantaminen nousi vuoden 2024 aikana merkittäväksi teemaksi. Kryptosijoitushuijaukset ja maksamiseen liittyvät petokset ovat yleistyneet, ja valvontaviranomaiset ovat korostaneet tarvetta kehittää entistä tiukempia ja ajantasaisempia menetelmiä huijausten ehkäisemiseen.

Kryptosijoitushuijaukset lisääntyneet

Vuonna 2024 kryptosijoitushuijaukset lisääntyivät jälleen. Uhreilla on vain vähän apukeinoja ongelmatilanteissa. Huijaukset voivat olla vaikeita jäljittää kryptovaluuttojen luonteesta johtuen, ja uhrien keinot varojen palauttamiseen ovat rajalliset. Tämä on korostanut tarvetta lisätä tietoisuutta ja koulutusta kryptovaluuttojen turvallisesta käytöstä. Huijaukset ovat usein kansainvälisiä.

• Kryptosijoitushuijaukset lisääntyneet – uhrilla vain vähän apukeinoja

Maksamiseen liittyvät petokset

Maksamiseen liittyvät petokset ja huijaukset ovat kasvava ilmiö, mikä on herättänyt huolta niin asiakkaissa kuin viranomaisissakin. Finanssivalvonnan selvityksen mukaan pankkiasioinnin turvallisuutta on mahdollista parantaa monin tavoin. Pankkien on kiinnitettävä erityistä huomiota järjestelmien turvamekanismeihin ja asiakkaidensa ohjeistamiseen petosten tunnistamiseksi ja välttämiseksi. Tietoisuuden lisääminen ja tehokkaat turvatoimet ovat keskeisessä roolissa petosten ehkäisyssä.

• Maksamiseen liittyvät petokset ja huijaukset kasvava ilmiö – Finanssivalvonnan selvityksen mukaan pankkiasioinnin turvallisuutta mahdollisuus parantaa

Verkkopankin, mobiilipankin ja verkkomaksamisen turvallisuus

Finanssivalvonta teki vuonna 2024 kysely ja antoi suosituksia verkkopankin, mobiilipankin ja verkkomaksamisen turvallisuudesta.

Finanssivalvonta suosittaa pankkeja kehittämään verkkopankki- ja mobiilimaksamisen kontrolleja niin, että käyttäjällä olisi mahdollisuus asettaa nykyistä monipuolisemmin turvarajoituksia tekemiinsä tilisiirtopohjaisiin maksuihin. Tällaisia rajoituksia ovat esimerkiksi mahdollisuus asettaa maksuille päivä- tai kertaluonteinen summaraja tai mahdollisuus rajoittaa maantieteellisesti alueita joihin maksuja voi tehdä.

Lisäksi Finanssivalvonta suosittaa pankkeja kehittämään maksujen monitorointia siten, että ne voisivat entistä tarkemmin pysäyttää maksut, jotka poikkeavat merkittävästi asiakkaan aikaisemmasta maksuhistoriasta, esimerkiksi maksun suuruuden tai sen tahon mukaan, jolle asiakas on aikaisemmin lähettänyt maksuja.

Pankkien on edelleen aktiivisesti tiedotettava eri kanavissa palvelujensa turvallisuusuhista ja jatkettava muistuttamista sekä opastamista siitä, miten pankkien sähköisissä palveluissa asioidaan turvallisesti.

• Verkkopankin, mobiilipankin ja verkkomaksamisen turvallisuus

EKP:n kyberhäiriötestit

Euroopan keskuspankki (EKP) testasi pankkien kyberhäiriöiden sietokykyä vuoden 2024 aikana. Testit osoittivat, että pankkien on parannettava valmiuksiaan kyberhyökkäysten torjumiseksi ja kyberturvallisuuden ylläpitämiseksi. Testit toivat esiin myös heikkouksia ja kehityskohtia pankkien kybervalmiudessa, mikä johti suosituksiin vahvistaa kyberturvallisuuden hallintaa ja resursseja.

Pankkien pitäisi esimerkiksi varmistaa, että niillä on asianmukaiset jatkuvuus-, viestintä- ja palautumissuunnitelmat, joissa otetaan huomioon riittävän laaja valikoima kyberriskiskenaarioita. Pankkien tulisi myös pystyä saavuttamaan omat palautumistavoitteensa ja arvioimaan riippuvuutensa kriittisten tieto- ja viestintäteknisten palvelujen ulkoisista toimittajista. Lisäksi niiden tulisi pystyä laatimaan arviot kyberhyökkäyksen aiheuttamista suorista ja välillisistä tappioista.

• EKP testasi pankkien kyberhäiriöiden sietokyvyn

Varautumisen tilanne

Finanssivalvonta teki vuonna 2024 teema-arvion valvottavien varautumisen tilanteesta. Teema-arvion mukaan varautuminen on parantunut viime vuosina. Valvottavien on varmistettava, että niiden varautumissuunnitelmat ovat kattavat ja ajantasaiset. Tämä sisältää säännölliset testit ja arvioinnit, jotka auttavat tunnistamaan mahdollisia puutteita ja parantamaan valmiuksia.

Varautumissuunnitelmien tulee sisältää selkeät ohjeet siitä, miten toimia erilaisissa kriisitilanteissa, kuten luonnonkatastrofeissa, talouskriiseissä tai kyberhyökkäyksissä. Näiden suunnitelmien tulee olla joustavia ja mukautettavissa muuttuviin olosuhteisiin, ja niitä on päivitettävä säännöllisesti, jotta ne vastaavat nykyaikaisia uhkakuvia.

Finanssivalvonta suosittelee myös, että valvottavat osallistuvat säännöllisesti kriisinhallintaharjoituksia yhdessä muiden finanssialan toimijoiden ja viranomaisten kanssa. Näiden harjoitusten avulla voidaan testata varautumissuunnitelmien toimivuutta ja parantaa yhteistyötä eri toimijoiden välillä.

Varautumisen tilannetta valvotaan edelleen myös tarkastuksilla ja teema-arvioilla. Lisäksi tammikuussa 2025 voimaan astunut Digital Resiliency Act eli DORA-asetus yhtenäistää finanssisektorin digitaalisen häiriönsietokyvyn vaatimuksia EU-alueella.

Teema-arvio: Varautumisen tilanne

Artikkelin kirjoittamisessa on käytetty apuna tekoälyä. Artikkeli on kuitenkin Finanssivalvonnan asiantuntijoiden viimeistelemä ja tarkastama.