Osuuspankki huolestui kuluseurannan verkkopalvelusta
70
Osuuspankki ja Balancion-verkkopalvelu käyvät neuvotteluja siitä, rikkooko Balancion Osuuspankin verkkopankin käyttäjäehtoja. Osuuspankki on huolestunut asiakkaidensa tietoturvasta.
Balancion on suljetussa testivaiheessa oleva verkkopalvelu, jonka tavoitteena on tarjota käyttäjille selkeämpi käyttöliittymä omien kulujen hallintaan. Palvelu kokoaa eri tulot ja menot käyttäjän verkkopankin tilitiedoista.
– Tässä on kyse verkkopankin käytön turvallisuudesta, toteaa Kai Koskela, joka johtaa Osuuspankin sähköisistä palveluista vastaavaa osastoa.
Osuuspankki julkaisi viime viikolla verkkosivuillaan tiedotteen, jossa varoitettiin asiakkaita antamasta verkkopankkitunnuksiaan ulkopuolisille palveluille. Tiedotteen ensimmäisessä versiossa mainittiin nimeltä vasta suljetussa testivaiheessa oleva Balancion -verkkopalvelu.
Myöhemmin Osuuspankki poisti Balancionin nimen tiedotteesta. Tiedotteen lopullisessa versiossa pankki muistuttaa yleisemmin, että "OP-Pohjola-ryhmä edellyttää, että sen asiakkaat eivät tietoturvasyistä käytä sellaisia internet-palveluja, joissa palvelu hakee asiakkaan tietoja OP-verkkopalvelusta tai joissa palvelu ottaa hallintaansa asiakkaan istunnon OP-verkkopalvelussa. Palvelujen tällainen käyttö on verkkopalvelun sopimusehtojen vastaista."
– Käyttäjä ei välttämättä ymmärrä riskejä, joita tähän toimintatapaan sisältyy. Jos me sallimme tämän yhdelle toimijalle, niin meidän pitää sallia se muillekin. Se on kestämätön polku.
Koskelan mukaan riskit liittyvät siihen, millä tavalla Balancion on toteuttanut tietojen haun verkkopankista.
– Käytännössä se on toteutettu siten, että käyttäjän verkkopankki-istunto siirtyy Balancionin haltuun, eikä käyttäjällä ole siihen kontrollia, Koskela sanoo.
– Jos käyttäjä totutetaan tällaiseen toimintatapaan, niin voi joskus olla mahdollista, että istunnon haltuun ottava ohjelma onkin haittaohjelma.
Balancionin toimitusjohtaja Jussi Muurikaisen mielestä Osuuspankissa on tapahtunut väärinkäsitys.
– Olemme käyneet lakitoimisto Borenius&Kemppisen kanssa läpi verkkopankkien käyttäjäehdot. Tiedämme erittäin hyvin, että verkkopankkitunnusten luovuttaminen on käyttäjäehdoissa kielletty. Näin palvelumme käyttäjä ei kuitenkaan tee, Muurikainen sanoo.
Muurikaisen mukaan palvelu on rakennettu siten, että asiakas kirjautuu verkkopankkiinsa suoraan. Sen jälkeen asiakkaan tietokoneelleen lataama Balancionin java-sovellus hakee verkkopankista asiakkaan tilitapahtumat salatusti palvelimelle, jossa ne kryptataan. Tietoihin pääsee käsiksi vain käyttäjä itse.
Palvelun turvallisuutta on kehitetty keväästä 2009 saakka Nixu-tietoturvayhtiön kanssa.
Osuuspankki ei ole teknisesti estänyt Balancionin toimintaa - ainakaan vielä. Yhtiöt neuvottelevat asiasta vielä tällä viikolla.
Balancion aikoo avata palvelunsa julkiseksi tämän kevään aikana. Palvelusta tulee käyttäjille maksullinen. Yhtiö on neuvotellut toiminnastaan pankkien kanssa, sekä esitellyt käyttämiään ratkaisuja muun muassa Finanssialan keskusliitolle.
Tilitoimistoille tarjolla
kehittyneempää palvelua
Tilitietoja verkkopankkien ja muiden palvelujen välillä voisi välittää myös muilla kuin Balancionin käyttämällä menetelmällä.
Pankit siirtävät esimerkiksi yritysten taloutta kirjaaville tilitoimistoille yritysten pankkitiedot standardoituina xml-tiedostoina.
Yksityisille pankkiasiakkaille tätä mahdollisuutta ei kuitenkaan Suomessa tarjota.
– Suomi voisi päästä edes Viron kanssa tasoihin tietoyhteiskunnan kehityksessä, jos voisimme tarjota tällaista lisäpalvelua xml-pohjaisen sanomavälityksen kautta, Muurikainen sanoo.
USA:ssa vastaavia palveluita on jo useita, malliesimerkkinä vuonna 2007 avattu Mint.com, jolla on jo noin kaksi miljoonaa käyttäjää. Microsoft ja Intuit ovat tarjonneet vastaavaa jo 1990-luvulla.
Osuuspankin Koskelan mukaan xml-pohjainen tiedonsiirto vaatisi kehitystyötä pankkien tietojärjestelmiin.
Muurikaisen mukaan Balancion on budjetoinut xml-tiedonsiirtotavan rakentamisen toimintasuunnitelmaansa tälle vuodelle. Hän uskoo muun muassa Tekesin ja muiden suomalaisten innovaatiotoiminnan rahoittajien olevan hankkeessa mukana.
Muurikainen ei pidäkään kustannuksia ratkaisevana esteenä, vaan kyse on lopulta tahdosta.
– Erään pankin työntekijältä on tullut tieto, että olisi päivän työ tekniseltä toteuttajalta käynnistää xml-pohjainen tiedonsiirto kaikille. Se kuvaa kärjistäen, miten pienestä kustannuksesta tässä on kysymys. Tietoturvan lisäksi tässä on kyse politiikasta, Muurikainen arvioi.
Kommentit (70)
Kyllä asiakkaan pitää olla melko pöpelö jos antaa jollekin - mille tahansa ! - kolmannelle osapuolelle oikeuden käyttää salattua pankkiyhteyttä.
Tämä on klassinen "man in the middle"-raiskauksen skenaario, ja takuuvarmasti tuo kolmas osapuoli Balancion tai mikä lie vapauttaa itsensä kaikesta tietoturvaan liittyvästä korvausvastuusta. Sehän on kuin hunajapurkki joka vetää koko maailman hakkerit perässään tuohon rakoon.
Älkää nyt ihmeessä olko täyshoopoja - ei tuo palvelu ole koko pankkiasioinnin ja rahojen riskeeraamisen arvoinen.
Omat kulunsa voi erittäin helposti ja nopeasti summata paperille tai taulukkolaskimeen vaikka tasaeuroihin ja vitoseen pyöristellen, jos asia oikeasti kiinnostaa.
Miettikää nyt ihmeessä, antaisitteko vaikka kodin avaimet tuntemattomalle firmalle, että ne voi käydä "ilmaiseksi" kastelemassa kukkia kun olette pois kotoa ?
Suomessa asuntotalous kriisissä kuten muuallakin kuplivissa talouksissa.
Konekielisen tiliotteen avulla tämänkaltainen taloushallinto onnistuisi tietoturvallisesti, ei tarvitsisi luovuttaa pankki-istuntoa, vain tilitiedot siirtyisi ja nehän on pakko syöttää taloushallinto ohjelmaan.
Elikkäs konekielinen tiliote on vain johdonmukaisesti jäsennetty lomake tilitapahtumista, tämän avulla ohjelmat tietää mistä etsiä mitäkin tietoa tekstistä.
Olisihan se kamalaa, jos joku vihdoinkin koodaisi softan joka päättäisi tämänkin rahastuksen.
Ja en usko pankin aitoon huoleen asiakkaan tietoturvasta.
Ja terveisiä vaan herra excelillä taloutta hallitseva, sinulla ne tiedot vasta onkin turvassa. Kryptaamaton excel-tiedosto on paljon helpompi kaapata, kuin kryptattu kanta taloushallintasoftasta.
Nyt pysyn paljon paremmin kärryillä tuloistani ja menoistani, ja mihin ne rahat oikein menevät.
Jos pankki tarjoisi saman palvelun, käyttäisin toki sitä.
Turhaa kitinää pankeilta.
Täällä toinen exceliä käyttävä ja Balancioniakin kokeillut vastaa. On vähäsen eri asia saako joku käsiinsä minun seuranta-excelini vai avaanko pankkiyhteyden kolmannelle osapuolelle: "Kas tässä, nyt on pankkiyhteys auki ja tilini on vapaasti käytettävissäsi".
Balancion nimittän toimii niin että syötät pankkitunnukset ja kertakäyttö-salasanat Balancionin jawa-ohjelman kautta ja annat yhteyden hallinnan tämän jälkeen ohjelmalle. Tuo ohjelma voi tehdä nimissäsi mitä tahansa, siirtää kaikki rahasi haluamalleen tilille, tehdä maksullisia kyselyjä verkkopankissa, jne, jne.
Näitähän tuo ohjelma ei tietenkään tee, mutta kyse on luottamuksen asteesta. Se voisi halutessaan tyhjentää tilisi, kun olet sen itse siihen valtuuttanut.
Ymmärrän täysin OP:n huolen. Kun asiakkaat oppivat luottamaan tällaisiin palveluihin, niin seuraavaksi nigerialainen yritys avaa vastaavan palvelun, toimii aluksi luotettavasti ja kun asiakaskanta on kasvanut tarpeeksi laajaksi niin tyhjentää pajatson.
Haloo OP, minä ainakin vaihdan pankkia jos lähdette leikkimään minun omilla tiedoillani.
Tosin en ole edes balansionin käyttäjä. "Omataloutta" kokeilin ja se on ärsyttävä.