24/7-yhteiskunta on mahdoton

Viime viikkoina on keskusteltu digitalisoituvan yhteiskunnan haavoittuvuudesta. Koronapandemia toi eteemme tilanteen, jossa jouduimme muuttamaan hetkessä kaiken mahdollisen inhimillisen toiminnan fyysisistä kohtaamisista etäyhteyksien päähän. Toki ihan kaikkea maailmassa ei voi edelleenkään digitaalisesti hoitaa, mutta suuren osan arkemme palveluista voi.

Pandemia osoitti, että valmiudet siirtää toiminta ”yön yli” bittimaailmaan poikkesivat eri toimialoilla. Suomalainen finanssiala on ollut digipalvelujen tuottajana Suomen kärkeä. Lähes täysin immateriaalisena toimialana palvelujen vieminen digitaalisiin kanaviin, viime vuosina erityisen voimallisesti mobiiliin, on jatkunut kiihtyvällä tahdilla.

Finanssialan yksi keskeisimpiä tuotannontekijöitä on luottamus. Siksi ala on satsannut aina turvallisuuteen ja siihen liittyvään tuote- ja prosessikehitykseen.

Esimerkiksi kyberuhat ovat vahvassa kasvussa yhteiskunnan kaikilla sektoreilla, mutta finanssisektorin track record tässä suhteessa on hyvä. Työtä on tehty – ja on tehtävä koko ajan – mutta asiakkaiden tiedot ja varat sekä palvelujen luotettavuus on kyetty turvaamaan hyvin.

Huoltovarmuusorganisaation viime vuonna toteuttamassa kyberturvallisuusselvityksessä finanssisektori oli muita sektoreita selvästi edellä. Tämäkään ei anna tarvetta turhaan henkselien paukutteluun, mutta uhkien kehitys huomioiden kertoo, että paljon on tehty ja myös oikein.

Toimiala on ollut edelläkävijä tietosuojassa jo ennen tietosuoja-asetusta (GDPR), joka on vaatinut massiivisia ja kalliita muutoksia tietojärjestelmiin. LVM:n työryhmän helmikuussa 2021 julkaistussa loppuraportissa Tietoturvan ja tietosuojan parantaminen yhteiskunnan kriittisillä toimialoilla todetaan, että myös tietosuojan osalta finanssisektori vahvasti säänneltynä toimialana on valveutuneempi ja paremmin resursoitu kuin valtaosa muista sektoreista.

Etenkin arjen pyörittämisen kannalta keskeisiä ovat pankkipalvelut. Niiden häiriötön ja sujuva toiminta on pankkien ja asiakkaiden yhteinen etu. Häiriöttömyys ei kuitenkaan ole itsestäänselvyys, vaan tietojärjestelmiä päivitetään säännöllisesti ja välillä niihin tehdään laajempiakin uudistuksia. Digitaalisten palvelujen kehitystyöllä tähdätään siihen, että pankkipalvelut sujuvat entistä käyttäjäystävällisemmin ja aina turvallisesti.

Kun kehitystyötä tehdään, palvelut joudutaan ajamaan alas huoltokatkojen ajaksi. Alati rullaava, 24/7 palvelujen tarjonta on siksi mahdottomuus. Kehitys vaatii, että uusia ominaisuuksia ja entistä edistyksellisempää teknologiaa pystytään ottamaan käyttöön. Silti on ymmärrettävää, että katkot ovat asiakkaille hankalia. Pankkiasiakkaan palvelutarpeet eivät ole jatkuvia vaan kohdistuvat tiettyyn palveluun tietyllä hetkellä.  Kun tätä palvelua ei omasta pankista hetkellisesti saa, se pännii.

Viime viikkoina onkin julkisuudessa ollut pohdintaa, pitäisikö palvelukatkoksista saada vakiokorvauksia samaan tapaan kuin sähkönjakelun tai lentoliikenteen häiriöistä. Tällöin unohdetaan, että suunniteltu huoltokatko pankkipalveluissa ei ole häiriötilanne vaan välttämätön toimenpide, jota tarvitaan varmistamaan pankkijärjestelmien häiriötön ja turvallinen toiminta. Huoltokatkoista pankit informoivat asiakkaitaan aina etukäteen. Välillä järjestelmiin joudutaan tekemään isoja IT-muutoksia, joihin liittyy aina riskejä, vaikka etukäteissuunnittelu olisi kuinka huolellista. Laajat ja pitkäkestoiset palvelukatkot ovat kuitenkin erittäin harvinaisia.

======
Kun palvelua ei omasta pankista hetkellisesti saa, se pännii.
======

Sähkönjakelun tai lentoliikenteen häiriöt ovat kuitenkin aika lailla eri juttu kuin pankkipalvelut. Pankkipalvelujen häiriötilanteita, joita eivät ole etukäteen ilmoitetut huoltokatkot, ei voi rinnastaa sähkönjakelun tai lentoliikenteen häiriötilanteisiin. Toisin kuin esimerkiksi sähköverkoissa pankkiasiakkaalla on laaja vapaus valita sekä palveluja, palvelukanavia että palveluntarjoajia. Asiakkaalla on myös mahdollisuus itse varautua häiriöriskeihin ja hajauttaa tarvittaessa asiointiaan useaan pankkiin. Selkeistä taloudellisista vahingoista asiakkaalla on jo nyt oikeus saada korvausta.

Lentoyhtiöillä vakiokorvauksen lähtökohtana ei ole lentoliikenteen häiriintyminen yleensä, vaan matkustajan varaaman tietyn lennon peruuntuminen tai pitkäaikainen viivästyminen. Sähkönjakelussa sähköverkkoyhtiöillä taas on alueellinen monopoli, jolloin verkkohäiriö katkaisee sähkön jakelun sähkön tuottajasta ja myyjästä riippumatta. Hajauttaminen ei auta, aggregaatti kyllä.

Blogikirjoituksessaan 16.3.2021 Suomen Pankin johtokunnan jäsen Tuomas Välimäki kysyi, kenellä on vastuu varautumisesta pankkipalvelujen häiriötilanteisiin. Hän toi esiin myös pankkien keskeisen aseman tunnistamispalveluiden tuottajana yhteiskunnan digitaalisille palveluille. Siksi pankkipalveluiden häiriintyminen pitkäksi aikaa estää myös mahdollisuuden käyttää niistä riippuvia palveluita.

Vastaus Välimäen kysymykseen vastuusta löytyy suoraan lainsäädännöstämme.

Sikäli kuin kyse on häiriöistä yksittäisen pankin palveluissa tai järjestelmissä, vastuu on sillä. Jos kyse taas on laajemmasta häiriöstä, vastuu siirtyy asteittain kansallisille ja EU:n viranomaisille. Viime aikoina liiankin tutuksi tulleen valmiuslain tarkoittamissa häiriötilanteissakin Suomi on sitoutunut kunnioittamaan kansainvälis- ja EU-oikeudellisia sitoumuksiaan sekä Euroopan keskuspankin ja Euroopan keskuspankkijärjestelmän toimivaltuuksia.

On selvää, että pankit vastaavat omien järjestelmiensä ja palvelujensa toimivuudesta, mutta yhdessäkään ne eivät voi tarjota vaihtoehtoa eurooppalaisille tai maailmanlaajuisille rahoitusmarkkinoiden infrastruktuureille, vaan niiden toiminnan varmistaminen kuuluu sääntelyn viitoittamin tavoin toimivaltaisille viranomaisille.

Eivätkä palvelut tietenkään toimi tyhjiössä. Siltä osin kuin pankkipalvelujen keskeytyminen johtuu tietoliikenteen, sähkönjakelun tai muusta pankin vaikutusmahdollisuuksien ulkopuolisesta häiriöstä, vastuu tilanteen korjaamisesta on sekä kansallisen että EU-lainsäädännön nojalla asianomaisella palveluntarjoajalla.

Mitä tulee digitaaliseen identiteettiimme, on totta, että pankit ovat pitkään vastanneet valtaosasta suomalaisen yhteiskunnan sähköisen tunnistamisen tarpeista. Käytännössä ratkaisu on ollut luotettava, turvallinen ja vikasietoinen. Pankkien merkitys tunnistuspalvelujen tarjoajana on edelleen keskeinen, mutta vaihtoehtoisia ratkaisuja löytyy kuten teleyritysten mobiilivarmenteet sekä Digi- ja väestötietoviraston kansalaisvarmenne. Finanssiala pitäisi kuitenkin järkevänä, että Suomeen luotaisiin tulevaisuus valtion oma digitaalinen tunnistusväline, jonka jokainen suomalainen saisi syntyessään kuten esimerkiksi KELA-kortin.

Pankit panostavat jatkuvasti merkittävästi palvelujensa laatuun, turvallisuuteen ja käytettävyyden varmistamiseen. Finanssiala pitää kuitenkin selvänä, ettei pankkisektori pysty yksin vastaamaan laajempiin häiriöihin, vaan kriittisen infrastruktuurin toiminnan turvaaminen vaatii tiivistä horisontaalista yhteistyötä kaikkien yhteiskunnan toiminnan kannalta keskeisten sektorien välillä.