indó merki

7. mars 2023

Mistök í gagnaafhendingu RB

Hver voru mistökin?

Reiknistofa Bankanna (RB) gerði mistök sem snerta viðskiptavini indó. Mistökin voru að RB sendi gögn um fjárhagsfærslur viðskiptavina indó inn í lokað tölvukerfi Kviku. Engar upplýsingar um kortafærslur aðrar en fjárhæðir voru hluti af umræddum gögnum. Enginn hafði aðgang að reikningum viðskiptavina indó og engir fjármunir voru í hættu.

Starfsfólk Kviku og RB brást hratt og örugglega við þegar mistökin uppgötvuðust. Umrædd gögn voru hvorki skoðuð né rýnd heldur var þeim tafarlaust eytt.

Samkvæmt upplýsingum frá RB snýst málið um gagnasendingar til Kviku sem hófust þann 3. febrúar sl. Bankinn hóf ekki að vista gögnin í gagnagrunn fyrr en þann 27. febrúar en uppgötvar strax við fyrstu skoðun þann 3. mars að RB hafi, fyrir mistök, deilt gögnum frá röngum aðila. RB var tafarlaust upplýst um málið, gögnunum var eytt og indó upplýst strax í kjölfarið. RB hýsir og rekur innlána- og greiðslukerfi allra banka og sparisjóða á Íslandi, sem þýðir að upplýsingar um allar millifærslur og kröfugreiðslur fara í gegnum kerfi RB. Tilviljun réði því að um gögn frá indó var að ræða, en ekki annars banka eða sparisjóðs. Það var því ekkert sem indó hefði getað gert til að koma í veg fyrir þessi mistök enda eiga þau sér stað hjá RB.

RB hefur birt tilkynningu á vef sínum þar sem þessi mistök eru hörmuð: https://rb.is/frettir/mistok-vid-afhendingu-fjarhagslegra-gagna

Hvaða gögn voru þetta?

Þetta voru fjárhagsfærslur viðskiptavina indó, þ.e. millifærslur, kröfugreiðslur og upphæðir kortafærslna viðskiptavina indó frá 3. febrúar sl. til 3. mars sl. Engar upplýsingar um kortafærslur aðrar en fjárhæðir voru hluti af umræddum gögnum, þ.e.a.s. upplýsingar um hvað var verslað, í hvaða verslunum, hvar og klukkan hvað voru því ekki hluti af þessum gögnum.

Af hverju var RB með þessi gögn um mig?

Indó deilir eins litlu og mögulegt er af gögnum viðskiptavina til þjónustuaðila sinna og eingöngu þeim gögnum sem nauðsynlegt er til að hægt sé að veita viðeigandi þjónustu, og þar undir fellur RB.

Gögn um fjárhagsfærslur viðskiptavina indó, þ.e. millifærslur, kröfugreiðslur og upphæðir kortafærslna, eru gögn sem indó verður að veita RB aðgang að til þess að indó geti veitt og framkvæmt bankaþjónustu fyrir viðskiptavini sína.

Hafi RB ekki þessar upplýsingar myndu bankareikningar og debetkort indó einfaldlega ekki virka.

Hefði indó geta gert eitthvað til að koma í veg fyrir þetta?

Nei, Reiknistofa bankanna tekur fulla ábyrgð á þessum mistökum og hefur beðist afsökunar á þeim. Það var ekkert sem indó hefði getað gert til að afstýra þessu enda öll framkvæmd og rekstur umræddra kerfa á ábyrgð RB.

Sjá nánar tilkynningu frá RB hér: https://rb.is/frettir/mistok-vid-afhendingu-fjarhagslegra-gagna

Fóru þessar upplýsingar út fyrir bankakerfið?

Nei. Gögnin um viðskiptavini indó bárust inn á lokað tölvukerfi Kviku sem fáir starfsmenn Kviku höfðu aðgang að. Rétt eins og indó, þá er Kvika eftirlitsskyldur aðili sem þarf að framfylgja lögum um fjármálafyrirtæki og hefur undirgengist reglur um þagnarskyldu og trúnað um fjárhagsupplýsingar viðskiptavina. Miðlun þessara gagna, sem og hverskonar vinnsla á þeim, er því ólögleg.

Bæði Kvika og RB hafa staðfest að ekki var unnið með gögnin, þau voru ekki skoðuð eða rýnd, og að þeim hafi tafarlaust verið eytt.

Eru gögnin mín örugg hjá indó?

Indó tekur öryggismál mjög alvarlega og við berum virðingu fyrir því trausti sem viðskiptavinir sýna okkur með því að kjósa að nota indó. Við beitum vel þekktum aðferðum til að varðveita og hindra óheimilan aðgang að gögnum indó, sem og til að takmarka áhrifin sem slíkt hefði í för með sér. Eins höfum við meðvitað hannað okkar eigin kerfi til að minnka líkur á mannlegum mistökum og minnka áhrif slíkra mistaka, þegar þau verða.

Allar gagnageymslur eru dulkóðaðar og aðgengi starfsfólks að tölvukerfum er takmarkað við nauðsynlegan aðgang hvers og eins. Í innri kerfum indó skiptum við persónuupplýsingum, svo sem netföngum og kennitölum, út fyrir þekkta stafarunu þar sem því er komið við. Þannig tryggjum við að upplýsingar séu ópersónugreinanlegar nema þú hafir einnig vörpunarlykil.

Allar breytingar á tölvukerfum indó fara í gegnum ítarlega rýni áður en þær taka gildi. Í kerfum indó eru allar aðgerðir sjálfkrafa skjalfestar, með þeim hætti að ógerningur er að eyða ummerkjum.