No nythän se Zorin (Linux) toimii, mutta kynnys on asentamisessa

Nyt alkaa olla lähellä kynnys, joka liittyy peruskäyttäjän vaihtamiseen Windowsista Linuxiin. Sitä ei nimittäin juuri enää ole. Ensimmäistä kertaa Linux alkaa olla niin toimiva, että käyttö onnistuu muultakin kuin nörtiltä. Ulkoasu on kloonattu Windowsista ja nettijutut toimivat ongelmitta. 

Vain Office-sovellukset ovat yhä kompastuskivenä. Niitä ei saa järkevästi toimimaan, eikä Libre Office riitä vaihtoehdoksi. Mutta lähellä ollaan! Jos Microsoft erehtyisi julkaisemaan Officesta Linux-version, monet padot murtuisivat. 

Kerroin ongelmasta, joka syntyi Zorin-Linuxin asentamisesta v. 2011 käyttöönotettuun Dell-pöytäkoneeseen. Kaikki näytti menevän hyvin, mutta heti ensimmäinen selaimen (Brave) käynnistys hyydyttää koneen täysin, joka ikinen kerta. Ajuriongelma selvästikin, mutta hankala juttu ratkaista.

Sen jälkeen olen asentanut Zorinin moneen muuhunkin vanhaan Windows 10 -koneeseen ja ongelmaksi on noussut ihan toinen asia: koneet ovat liian uusia. Niissä on secure boot, joka sallii kyllä asentamisen usb-tikulta, mutta käynnistyksessä kiintolevyä ei enää löydy. Se näyttää täysin hävinneen.

Monien kokeilujen jälkeen onnistuin saamaan Zorinin toimintaan muutamassa vanhassa HP:n läppärissä ja HP:n pöytäkoneessa. Ja pakko myöntää, että ne toimivat hyvin! Kaikki tuntuu jotenkin nopeammalta kuin Windowsissa ja päivitykset sujuvat automaattisesti. Jossain vaiheessa nekin loppuvat, mutta hiljaa hiipumalla eikä sellaisella mediarumballa pakotettuna kuin Windows 10:ssä tapahtui.

Työpöytä kuin Windows.

Yksi asia on edelleen Linuxin Akilleen kantapää: ohjelmien asennukset. Sudo apt install näyttää toimivan hyvin, se jopa tunnistaa ellei haluttua ohjelmaa ole saatavilla ja ehdottaa toista asennuspaikkaa. On flatpakia ja vaikka mitä. Pitääkö valita deb vai ubuntu-versio? Versionumeroita on loputtomasti. Haiskahtaa nörtiltä. 

Toisaalta hieno juttu on siinä, että asentamani sovellukset ovat menneet automaattisesti jopa oikeille paikoille suomenkielisessä käynnistysvalikossa. Chrome, Spotify ja kaikki ilmestyivät koneeseen muutamalla komentorivillä. Hämmästyttävää.

Muutama Windowsissa hyväksi havaittu käytäntö ainakin Zorinista puuttuu, kuten tiedostojen vienti hiiren kakkospainikkeella ja sen jälkeen kopiointi/siirto-valinta. Ykköspainikkeen tehostaminen shiftillä (Vaihto-näppäin) näyttää kuitenkin tekevän siirron, muuten tuloksena on aina kopiointi. Windowsissa ja Macissä tämä on tietenkin eri tavalla.

Outo juttu on myös tiedostohallinnan kyvyttömyys tunnistaa numeronäppäimistön nuolinäppäimiä, vaikka ne toimivat kaikkialla muualla.

4K-näytöllä tekstit menivät liian pieniksi, mutta 2x-skaalaus asetuksista korjaa asian. Windows taitaa tehdän saman asetuksetn automaattisesti.

Pikkujuttuja sinänsä. Suosittelen kaikkia kiinnostuneita kokeilemaan vaikka juuri Zorinia tai jotain muuta Linux-versiota ("jakelua" eli "distroa") - kunhan vain joku tulee asentamaan sen. Hyvin vanhat koneet ovat tässä suhteessa helpompia kuin uudehkot.

Ehkä ne Office-sovelluksetkin voi ajaa selaimen kautta web-versioina, kunhan omistaa maksullisen lisenssin. Virtuaalikone olisi toinen vaihtoehto, mutta sitten ollaan taas naimisissa Windowsin kanssa ja sitä oli tarkoitus välttää.

Jatkossa aihe menee niin tekniseksi, että kommentoin niitä Bittimittari-blogissani. Ensimmäinen blogipostaus onkin Komentorivin lumo.

Vaalien tiedot Amazonin pilvessä Tukholmassa - mikä on riski?

Viime viikolla kerrottiin, että seuraavien vaalien tietojärjestelmä siirtyy TietoEvryn konesalista Amazonin Tukholmassa sijaitsevaan AWS-pilveen. Ilmoitus herätti huolestuneita kysymyksiä vaalien tietoturvasta. Voimmeko luottaa amerikkalaiseen pilveen? Tuoreessa muistissa olivat AWS-pilven käyttökatkot, jotka pimensivät monia suosittuja palveluita kuten Reddit ja Snapchat.

Mitä varsinaisesti on se "vaalidata", joka vuoden 2027 vaaleissa viedään ensi kertaa Suomen ulkopuolella? Selvittelin vähän asiaa, jotta pääsin uutisotsikoiden taakse.

Vaalidata tarkoittaa tietoja, joiden varassa vaalit toteutetaan. Niihin kuuuluvat esimerkiksi äänestyspaikat osoitteineen sekä tiedot vaalipiireistä, toimitsijoista ja ehdokkaista (nimi, ammatti, HETU, kotikunta). 

Kriittisin osa on tiedot kaikista äänioikeutetuista henkilötunnuksineen sekä tieto siitä, milloin kyseinen henkilö on ennakkoäänestänyt (jos on). Tämän lisäksi tulevat tietenkin normaalit tietojärjestelmän osat, kuten käyttöoikeuksien hallinta, tuloslaskenta sekä tilastointi.

Voi vain kuvitella, millainen kuhina pilvessä käy vaali-iltana, kun vaalipiirit syöttävät eri puolilla Suomea valmiiksi saamiaan tuloksia pilveen. Lyhyt kuormituspiikki hyötyy pilviratkaisusta, sillä se skaalautuu tarpeen mukaan.

Vaalidata EI sisällä tietoa kansalaisten äänestämisestä, eikä edes varsinaisena vaalipäivänä äänestäneiden tietoja. Vaalihuoneistoissa käytetyt listat ovat manuaalisia ja tulostetaan ennen vaalipäivää ennakkoäänestystietojen perusteella. Jos haluat, ettei tieto siitä, että käytit äänioikeuttasi päädy pilveen, äänestä vasta varsinaisena vaalipäivänä.

Käänteinen ei pidä paikkaansa. Jos nimeäsi ei löydy ennakkoäänestäneistä, pilvi ei tiedä äänestitkö lainkaan vai nukuitko. 

Tässä on muuten kiinnostava yksityiskohta: vaalisalaisuuteen kuuluu tieto siitä, KETÄ äänestit. Salaista ei ole se, ketä ET äänestänyt - eikä sekään, äänestitkö lainkaan. Sen tiedon näkevät paikalliset vaalivirkailijat, ja usein myös uteliaat samalla sukunimellä varustetut.

Vaalien ohjelmisto on kotimaassa tehty. Lähin AWS-konesali on Tukholmassa, joten ajo tapahtuu siellä. Amazon on suunnitellut omaa konesalia myös Suomeen, mutta se tuskin ehtii toteutua ennen 2027 vaaleja.

Vaalidataa pyöritetään siis Tukholmassa, jenkkiyhtiön omistamassa pilvessä. Mitä riskejä tässä siis on?

Voi ajatella, että CIA/NSA tai jokin muu salainen koneisto saa halutessaan tietoja pilvestä. Nimi ja HETU ovat tietenkin GDPR:n suojaamia tietoja, mutta jos kansallinen intressi löytyy, sopimukset eivät paljon paina. 

Äänioikeutettujen luettelo tuskin kiinnostaa amerikkalaisia, ei edes se, kuka äänesti ennakkoon. Korkeintaan voisivat ottaa oppia siitä, miten Suomessa ennakkoäänestys osataan järjestää luotettavasti, kun eivät itse siihen pysty.

Tuloslaskennan aikana pilveen menevät vain vaalipiireissä lasketut äänten kokonaismäärät, jotka palvelu sitten summaa yhteen. Samat piirikohtaiset tiedot julkaistaan lehdessä ja vaalien tulospalvelussa netissä.

Jos AWS-pilveen osuisi paha toimintahäiriö juuri vaalipäivänä, tulosten saaminen voisi viivästyä. Itse äänestyslipukkeet säilyvät Suomessa ja ne tarkistuslasketaan joka tapauksessa.

Suurimpana riskinä lienee se, että tekninen häiriö osuisi juuri vaalipäivään. Toisaalta Amazon pystyy turvaamaan pilven toiminnan paremmin kuin moni pienempi yritys. Muistissa on vielä tammikuu 2024, jolloin Akira-kiristysohjelma pääsi TietoEvryn konesaliin Tukholmassa. Isku oli niin laaja, että jopa asiakasyritysten varmuuskopioitakin menetettiin. Rustan verkkokauppa oli pitkään pois netistä.

Vaalien kannalta ei riitä, että tulokset ovat oikein - niihin on voitava myös luottaa. Kyse on mielikuvista, ei teknisistä ratkaisuista. Siksi on tärkeää, että tuloslaskenta paitsi toimii, se myös näyttää turvalliselta.

Moni ajattelee, että maan rajojen sisällä tapahtuva laskenta olisi parempi vaihtoehto. AWS:n käyttö lupaa kuitenkin usean miljoonan euron kustannussäästön, ja siitä valtion on nykyisessä taloustilanteessa vaikea kieltäytyä.

Tyylikäs arkkitehtuurinen elämys vai keskeneräinen väylä juna-asemalle?

Lähijuna alkoi kulkea Helsinki-Vantaan lentokentälle kymmenkunta vuotta sitten. Reitti ylös asemalle kulki ensin vanhan kotimaan terminaalin luota, mutta siirtyi laajennusosan avaamisen myötä nykyiselle paikalleen tuloaulan eteen.

Olen aina kuvitellut, että rakentaminen on jäänyt kesken. Eihän voi olla tarkoitus, että Suomeen juuri saapunut turisti näkee rullaportailta pelkkää paljasta betonia matkallaan alas juna-asemalle ja edelleen pääkaupunkiin - eihän?

Isossa maailmassa pinnat olisi täytetty mainosjulisteilla. Ehkä sekin olisi parempi kuin pelkän betonipinnan harmaus. Vielä parempi olisi maalata seiniin suomalaista kauneutta tai peittää seinät jättimäisillä, kauniilla valokuvilla. Niissä vaikka vihreää luontoa, sinistä taivasta ja valkoista tunturimaisemaa. Ah.

Betonikuilun valkokankaalla tanssii hahmoja.

Betonikuilun puolivälissä on valkokangas, jossa lauletaan oopperaa tai näytetään balettia. Se on nimenomaan valkokangas, johon kaukana oleva videotykki heijastaa hailakan kuvan. AV-tekniikka tuo mieleen 1990-luvun ja saa Suomen näyttämään teknologian takapajulalta.

Modernia olisi näyttää videot valoa tuottavalla ulkonäytöllä, jonka kuva on niin kirkas, että se erottuu hyvin jopa kirkkaassa auringonpaisteessa. Betonikäytävässä riittäisi murto-osa valotehosta.

Äänentoisto on sentään kohtalainen, sillä valkokankaan alla on kaksi eteenpäin suunnattua kaiutinta. Paljaista seinistä ääni heijastuu juhlavasti kaikuen.

Tanssijat hyppivät kankaalla, mutta en nähnyt videoissa mitään tekstejä. Ei teosten nimiä, ei esiintyjiä, ei mainintaa teatterista. Kankaan alapuolella on tosin kyltti "Kulttuurinäyttämö", jota en aluksi huomannut lainkaan. Sen mukaan kysessä on Finavian ja Kansallisoopperan yhteinen hanke.

Ei tätä ainakaan piilomarkkinoinnista voi syyttää. Kansallisoopperan mainosta olisi, jos sen ja teosten nimi näkyisivät videossa. Pätkä suomeksi lauletusta Madetojan Pohjalaisia-oopperasta tuskin avautuisi ohi liukuvalle turistille edes teksteillä varustettuna. Nyt näky luultavasti vain hämmentää. Mistä oikein oli kyse?

Näkymä betoniholvin toiseen suuntaan hisseille.

Olen usein kummastellut järjestelyä ja odottanut, että jonain päivänä se vielä valmistuu. Kun herätin aiheesta keskustelua sosiaalisessa mediassa yllätyin. Joidenkin mielestä paljas betonikuilu on valmis ja hieno juuri tällaisena. Ainakin se erottuu maailman muista lentokentistä! Joku vertasi tunnelmaa jopa kirkkoon.

Mitä mieltä itse olet - hieno vai ankea? Entä jos katsoisit asiaa maahan ensi kertaa saapuvan turistin silmin?

Kannan huolta pankkihuijauksista, koska kyse ei ole yksinomaan pankeista vaan koko suomalaisen verkkoasioinnin tulevaisuudesta. Siihen liittyvä kolumnini Tivi-lehdestä. 

Digiturva horjuu – Tämä taho voisi pelastaa suomalaisten luottamuksen

Suomalaiset ovat luottavaista kansaa. Luotamme viranomaisiin, painettuun sanaan ja toisiin suomalaisiin. Mutta edes suomalainen luottamus ei kanna loputtomiin.

Digi- ja väestötietovirasto teettää vuosittain Digibarometri-kyselyn, joka mittaa kansalaisten asenteita tietoturvaan ja verkkoasiointiin.

Tämän syksyn tulosten perusteella 38 prosenttia vastaajista kokee luottamuksensa digitaaliseen turvallisuuteen heikentyneen, kun viime vuonna näin tunsi 36 ja sitä edellisenä ainoastaan 28 prosenttia.

Luottamuksen rapistuminen on huolestuttava trendi, sillä ensi vuoden alusta viranomaiset alkavat viestiä kansalaisiin päin ensisijaisesti sähköisesti. Paperiposteista ja lomakkeista halutaan eroon.

Miten sähköinen kanava voi toimia, jos kansalaiset eivät luota verkkoasiointiin? Moni ei uskalla enää avata edes sähköposteja eikä vierailla nettisivuilla pelätessään, ettei erota niitä huijauksista.

On oikeastaan ihme, että luottamus on näinkin korkealla tasolla, sillä turvallisuuden tunne on psykologiaa. Uutiset huijareista ja digitaalisista pankkirosvoista huolestuttavat kokenuttakin nettikäyttäjää.

Tilanne ei kuitenkaan ole toivoton. Digibarometrin mukaan 11 prosenttia kokee luottamuksensa jopa vahvistuneen, kun vastaava luku vuosi sitten oli kymmenen ja kaksi vuotta sitten vain yhdeksän prosenttia.

Kaikkialla yleistyvä polarisaatio jakaa käyttäjiä voittajiin ja häviäjiin myös turvallisuudessa. Vuoteen 2023 verrattuna voittajien määrä on kasvanut kaksi prosenttiyksikköä, häviäjien kymmenen prosenttiyksikköä. Entistä harvemman luottamus säilyy ennallaan.

Voittajia ovat ne, jotka jaksavat seurata asioita ja kehittää omaa osaamistaan. Huijauksista uutisointi ja tapausten avaaminen julkisuuteen auttavat välttämään niitä omalla kohdalla.

Häviäjät nostavat kädet pysytyn ja ripustavat hiiren naulaan. He katsovat pudonneensa kelkasta ja asioivat verkossa vain, kun on pakko.

Jotta yhä useampi saataisiin häviäjistä voittajien puolelle, tarvitaan uusia toimia.

Medialla on keskeinen rooli turvallisuuden tunteen luomisessa. Moni kyberhyökkäystä tai hybridivaikuttamista hehkuttanut uutinen on myöhemmin paljastunut tavalliseksi rikollisuudeksi tai tahattomaksi tekniseksi ongelmaksi.

Ei ole viisasta, että teemme hybridiuhkien uutisoinnista itse hybridiuhkan.

Kriittisin sähköisen asioinnin kohde on oma pankki. Uutiset tilien tyhjentämisestä pelottavat enemmän kuin vanhan ajan pankkiryöstöt. Niissä vahinko jäi pankin tappioksi, kun taas digirosvon uhri joutuu nuolemaan haavansa itse.

Tähän asti pankkien ulospäin näkyvät toimet luottamuksen vahvistamiseksi ovat jääneet vähäisiksi, mutta jatkossa voi olla toisin.

Korkein oikeus otti äskettäin käsittelyyn pankkiasiakkaan törkeän huolimattomuuden arvioinnin. Huijaukset ovat yhä kehittyneempiä, joten huolellinenkin asiakas voi joutua uhriksi. KKO:n linjaus toivottavasti selkeyttää tilannetta ja lisää painetta pankkien suuntaan.

Yksi luottamusta lisäävä tekijä ovat rangaistukset. Välillä tuntui, että verkkorikollinen pääsee aina kuin koira veräjästä. Viime aikoina poliisi on kuitenkin pystynyt selvittämään muutamia isoja tapauksia, kuten Vastaamon tietomurron, S-pankin tilien tyhjennykset sekä laajan huijaussoittojen verkoston.

Jokainen yritys voi osaltaan lisätä luottamusta huolellisella viestinnällä. Koneellisesti käännetyt nettisivut ja tekoälyn kirjoittamat sähköpostit vievät turhaan uskottavuutta.

Jos luottamuksen laskevaa trendiä ei saada käännettyä, Suomi ajautuu vaikeuksiin. Lisääntyvä vanhusväestö pitäisi tavalla tai toisella saada mukaan sähköiseen itsepalveluun.

Yksi toimija voisi olla keskeisessä roolissa: Yleisradio. Ikääntyvät ihmiset ovat television suurkuluttajia. Ylen ajankohtaisohjelmat paukuttavat heille joka ilta samaa virttä talouden vaikeuksista, Venäjän uhkasta ja Gazan sodasta.

Etäisten uhkien sijaan Yle voisi pyörittää joka ilta tietoiskuja, joissa varoitettaisiin yleisistä huijauksista ja opastettaisiin digiajan vaaroihin. Riittävällä toistolla tieto uppoaisi myös alkavasta muistisairaudesta kärsivään mökin mummoon.

Kansalaisten sivistäminen digiaikaan jos mikä olisi Yleisradion lakisääteistä julkista palvelua ja hyödyttäisi koko suomalaista yhteiskuntaa.

Tietoturvakoulutuksen perusvirhe on loputon uhkakuvien maalailu

Helsingin Sanomissa 4.11.2025 (printtiversio) julkaistu mielipidekirjoitukseni.

Tietoturvakoulutuksen perusvirhe on loputon uhkakuvien maalailu

Tietoturvan pitäisi mahdollistaa työn tekeminen, ei haitata sitä.

Tietoturva ja siitä uutisointi on jokaisen arkea, silti tietoturvaviestinnästä on keskusteltu hämmästyttävän vähän. Mika Pöyliön (HS Mielipide 28.10.) ja Susanna Haaviston (HS Mielipide 30.10.) kirjoitukset nostivatkin esiin hyviä pointteja.

Tietoturvakoulutuksen perusvirhe on loputon uhkakuvien maalailu ja pelottelu, joka lähinnä ahdistaa kuulijaa. Myönteiset asiat unohdetaan, kun uusia uhkia ilmestyy koko ajan, ja epätoivo saa varomaan jokaista klikkausta.

Kuitenkin tietoturvassa on tapahtunut paljon myönteistä kehitystä. Esimerkiksi virukset ovat käytännössä hävinneet, ja lähimaksu on osoittautunut paitsi helpoksi ja nopeaksi myös erittäin turvalliseksi.

Toinen virhe on siinä, että tietoturvasta puhuvat yleensä tekniikan alan ihmiset. Heidän käyttämänsä jargon ja uhkapuhe eivät kosketa tavallista ihmistä, joka haluaa vain hoitaa työnsä ja asioida verkossa.

Tekniselle turvallisuudelle on paikkansa, mutta arjen tietoturva ei ole tekniikkaa vaan psykologiaa. Tarvitaan uudenlaista, positiivista lähestymistä, joka huomioi ihmisen omat lähtökohdat.

Vertailukohtana voi käyttää terveysvalistusta. Jokainen tietää, että rasva, tupakointi ja alkoholi ovat vaaraksi terveydelle, mutta silti ihmiset kuluttavat juuri niitä. Vaikka tiedottamista epäterveiden elintapojen vaarallisuudesta yhä vielä lisättäisiin, se ei saisi ihmisiä muuttumaan.

Yrityksissä työntekijät ovat fiksuja ja haluavat toimia oikein. Jos it-järjestelmät ovat vanhanaikaisia, ohjeet epäkäytännöllisiä ja kiire pakottaa rikkomaan sääntöjä, on yrityksen tietohallinnon aika katsoa peiliin.

Tietoturvan pitäisi mahdollistaa työn tekeminen, ei haitata sitä. Valitettavan usein tietojärjestelmät ovat hankalia käyttää ja ohjeet ristiriidassa työn vaatimusten kanssa. Kuinka monella työpaikalla vieläkin pakotetaan vaihtamaan salasanaa säännöllisesti, vaikka proaktiivisuuden on jo vuosia sitten todettu lähinnä heikentävän tietoturvaa?

Käytän itse mallia, jossa tietoturva on kaikkien yhteinen asia ja ihminen itse sen tärkein lenkki. Toimimalla oikein ja huolellisesti meistä jokainen suojaa paitsi itseään ja lähipiiriään myös työnantajaa ja koko Suomen kansallista turvallisuutta. Sen parempaa motivaatiota tuskin voi kuvitella.

Petteri Järvinen

diplomi-insinööri

Espoo

Hätätilassa riko lasi ja soita 020 333

Edellisessä kirjoituksessa iäkäs uhri teki virheen, kun lähti keskipäivällä vanhasta muistista pankkiin selvittämään huijausepäilyä. Hänen tapauksessaan konttori ei ollut auki, mutta useimmille käynti konttorissa ei ole edes mahdollinen, koska niitä ei käytännössä ole. Lisäksi huijarit iskevät usein iltaisin, etenkin perjantai-iltaisin, koska tietävät, että asian selvittely pankissa alkaa vasta viikonlopun jälkeen.

Seitsemällä pankilla on kuitenkin yhteinen sulkunumero 020 333, johon soittamalla pystyy sulkemaan sekä luotto/pankkikortit että verkkopankkitunnukset. Jos siis epäilee haksahtaneensa huijaukseen, nopea soitto numeroon voi vielä pelastaa tilanteen. Numero kannattaa ohjelmoida puhelimeen valmiiksi kansainvälisessä muodossa +358 20 333, jotta se toimii myös vahingon sattuessa ulkomailla.

Kyse on vanhasta luottokorttien sulkunumerosta, joten se päivystää 24/7. Jostain syystä pankit eivät ole pahemmin mainostaneet, että Netsin (entinen Luottokunta) hoitama numero pystyy sulkemaan myös verkkopankin.

Järjestelmässä ovat mukana S-pankki, Nordea, Säästöpankki, OmaSP, POP, Ålandsbanken ja Hypoteekkiyhdistys. OP:lla on oma numero 0100 0555 ja Danskella 0200 2585.

Kannattaa selvittää jo etukäteen, mikä on oman sekä (iso)vanhempien pankin numero. Paniikissa ja kiireessä, ehkä illalla viinilasinkin jälkeen sitä on myöhäistä kaivaa esiin. Yhteisnumeron muistamista helpottaa sääntö "kolme kolmosta".

Kiitos pikamaksun tilisiirrot liikkuvat kaikkialla EU-alueella 10 sekunnissa maasta toiseen. Jos huijari iskee, on todella kiire toimia. 

Älä epäröi tarvittaessa vaikka rikkoa lasia, kunhan soitat heti!

Eräs pankkihuijaus avattuna - nämä opit varoitukseksi kaikille

Pankkihuijauksissa pankeilla on tiedollinen ylivoima. Ne vetoavat pankkisalaisuuteen eivätkä kerro tarkemmin, miten huijaus onnistui. Se on tavallaan ymmärrettävää, koska silloin wanna-be huijarit eivät saa turhaan opetusta. Toisaalta tapausten avaaminen auttaisi muita suojautumaan ja arvioimaan, ovatko pankkien omat ohjeet ja suojaustoimet riittäviä. Nyt tässäkin kaikki valta on pankeilla itsellään.

Pahinta on, etteivät uhrit itsekään saa kaikkia tietoja. Moni ihmettelee, miten kummassa eläkesäästöni vietiin, vaikka en antanut tunnustani mihinkään. Kafkamainen tilanne. Uhrit uskovat, että puhelimessa (tai jopa pankin järjestelmässä) on täytynyt olla haittaohjelma.

Pankit vaikenevat, mutta Vakuutus- ja rahoitusneuvonta FINE avaa päätöksissään tapahtumien taustoja. Esimerkiksi elokuussa annettu lautakunnan ratkaisu FINE-72843-D4F5P4 käsittelee kahden vuoden takaista tapahtumia. Tapahtumainkuvaus vaikuttaa hyvin samanlaiselta kuin eräässä tämän kevään tapahtumassa. Siinäkin uhri on ymmällään mitä hänelle oikein tapahtui.

FINEn ratkaisu on pitkä, joten yritän tiivistää siitä avainkohdat. Uhri oli saanut pankilta tekstiviestin, jonka mukaan verkkopankki ja pankkikortti on jäädytetty epätavallisen toiminnan vuoksi. Viestissä oli linkki pankkia muistuttavaan com-loppuiseen osoitteeseen, jonka luvattiin palauttavan käyttöoikeuden. 

Uhri meni halpaan ja syötti valesivulle pankkitunnuksensa. Sen jälkeen alkoi tapahtua.

Pankki lähetti englanninkielisen (!) tekstiviestin "Read carefully!..." jossa kerrottiin pankkitunnusohjelman asentamisesta uuteen puhelimeen ja annettiin koodi 03705, joka piti syöttää pankin mobiilisovellukseen.

Saatuaan uhrin tilin näin haltuunsa rosvot siirsivät kolmella Visa-kortin pankkisiirrolla 36 500 euroa, luottokortilta 1258 euroa Revolut-pankkiin ja ottivat vielä 15 000 euron täsmäluoton. Kaikki menivät läpi pankin järjestelmistä, vaikka tunnistusvälineen aktivointi juuri siirtoja ennen uudessa laitteessa oli selkeä hälytysmerkki.

Ensimmäinen tekstiviesti tuli maanantaina 24.7.2023 klo 11.03 irlantilaisesta numerosta. Yli 70-vuotias uhri lähti välittömästi selvittämään asiaa pankin konttoriin, mutta havaitsi konttorin olevan suljettu.

Samaan aikaan rosvot hakivat uhrin operaattorilta eSIM-kortin ja siirsivät uhrin puhelinnumeron itselleen, jolloin uhrin soitto pankin turvallisuusnumeroon katkesi kesken puhelun. Uhri soitti uudelleen vaimonsa puhelimella ja sai pankkitunnukset kuoletettua. Vahinko oli kuitenkin jo tapahtunut. Kokonaisuutena tapahtumiin kului 2 tuntia 10 minuuttia. Tästä varsinaiset siirrot ja sulku toteutuivat 37 minuutin sisällä.

FINE-lautakunnan neljän jäsenen yksimielinen kanta on, että uhri oli toiminut törkeän huolimattomasti eikä se suosita korvauksia. Koko tappio jää uhrin itsensä maksettavaksi, ellei hän lähde käräjöimään asiasta oikeuteen ja onnistu vakuuttamaan tuomaria. Siinä vielä kukaan ei ole onnistunut.

Tapaus herättää lukuisia kysymyksiä, joiden reiluutta jokainen voi mielessään arvioida. Avainkohtia ovat nähdäkseni seuraavat:

• Uhri ei tiedä, miten rosvot pääsivät hänen tililleen. Uhrin mielestä mobiilipankkiohjelmassa oli tuolloin mahdollisuus liittää pankkikortti Google Pay-järjestelmään ilman pankkikortin tietoja, eikä liittäminen vaatinut erillistä vahvistamista.
• Uhrin mielestä Android-selaimessa on ollut päällä automaattinen tekstiviestin vahvistuskoodi, joka on syöttänyt pankin lähettämän turvakoodin automaattisesti. Uhri ei ollut tietoinen tästä automatiikasta (olisitko itse ollut?) eikä huomannut sitä. Pankit eivät ole varoittaneet tästä ominaisuudesta (ei tullut itsellekään mieleen, vaikka olen seurannut useita tapauksia).
• Tekstiviesti on tullut englanniksi, eikä uhri ole täysin ymmärtänyt sen sisältöä. Rosvot olivat vaihtaneet nettipankin kielen englanniksi hämätäkseen uhria.
• Kuin kirsikkana kakun päällä pankki on vielä klo 16 lähettänyt uhrille tekstiviestillä linkin palautekyselyyn (ilmeisesti luokkaa "kuinka hyvin palvelumme tänään onnistui?").
• FINEn ratkaisukäytännön perusteella tunnusten ja avainlukulistan koodin syöttäminen valesivulle ei vielä ollut törkeän huolimatonta, mutta uhrin reagointi mobiilisovelluksen asentamiseen liittyvään englanninkieliseen viestiin oli.
• Pankin mielestä korttitietoja ei voi saada pankin nettipalvelusta, vaan uhrin on täytynyt kirjoittaa tiedot ja antaa aktivointikoodi. Uhri itse kiistää tämän.
• Vastineessaan pankki pahoittelee asian selvittämiseen liittyvää viestinnän epäselvyyttä reklamaatioprosessin aikana; viestintä uhrin suuntaan kärsi, koska tietopyyntöjä selvitettiin usean eri tahon toimesta eikä tieto kulkenut luotettavalla tavalla. Pankki tulkitsi aikajanaa aluksi väärin ja korvasi 96 euron tilisiirron vasta yli vuosi tapahtumien jälkeen.

Jos ilmoitus olisi ollut suomeksi, uhri olisi varmaankin reagoinut siihen paremmin. Tältä osin ratkaisu toteaa seuraavaa: "lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä... Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsoo tässäkin tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta."

Toisin sanoen pankeilla on velvollisuus viestiä asiakkaille ymmärrettävästi, mutta jos viestit tulevat vieraalla kielellä, vastuu siirtyy uhrille. Tämä on aika kova linjaus.

Miksi ihmeessä pankit sallivat asiointikielen vaihdon, jolla huijataan uhreja? Kuinka moni asiakas haluaa oikeasti kesken pankkiasioinnin vaihtaa palvelun kielen suomesta englanniksi?

Pankki tai lautakunta eivät pysty kertomaan tarkasti, minkä virheen uhri on tehnyt, mutta päättelevät hänen toimineen väärin, koska muutakaan selitystä ei ole. Säästönsä menettäneen uhrin kannalta tämä on tylyä. Pitäisikö pankin järjestelmien olla sellaisia, että niissä jäisi riittävä ja myös käyttäjän ymmärtämä jälki kaikesta tapahtuneesta?

Pankeilla on aina ollut tekninen ja juridinen tiedon ylivoima. Miksei niiden järjestelmä havainnut selkeää rosvousta ja estänyt sitä? Pankin olisi pitänyt soittaa asiakkaalle eikä päinvastoin.

OP-pankin selkeä ilmoitus uuden puhelimen aktivoinnista (ei liity tähän tapaukseen).

Ei ole oikein, että pankkitunnuksilla voi sulkea tai siirtää uhrin puhelinliittymän, jolloin kaikki uudet vahvistuskoodit ja varoitukset tulevat rosvon puhelimeen. Yksikin virhe voi siis johtaa koko tilin hallinnan menettämiseen. Tilille asetetuilla siirto- tai maksurajoituksilla ei ole merkitystä, koska rosvo poistaa ne. Yllä olevan kuvan varoitus on siis äärimmäisen tärkeä lukea ja ymmärtää! 

Tämä asetus kannattaa tarkistaa Android-puhelimissa.

Onko automaattinen tekstiviestikoodin syöttö vielä käytössä sivustoilla? Ilmeisesti kyse on tästä ominaisuudesta, joka voi olla vaarallinen. Kannattaa tarkistaa Asetukset > Google > Kaikki palvelut > Vahvistuskoodit tekstiviestillä.

Kun lautakunta kerran avaa tapahtumat näinkin selvästi, mikseivät pankit itse voi tehdä samaa? Tässä on paljon opittavaa kaikille.

Nähdäkseni pankit eivät ole myöskään mainostaneet tarpeeksi pankkitunnusten sulkunumeroa. 

Tekstiä täydennetty 3.11.2025