Pääjohtaja Olli Rehn: Kriisiherkkyys kasvanut myös maksamisessa – häiriöihin varaudutaan yhteisin toimin
Suomen Pankin pääjohtaja Olli Rehn
Maksufoorumi 2021
19.5.2021
Kriisiherkkyys kasvanut myös maksamisessa – häiriöihin varaudutaan yhteisin toimin
Hyvät maksufoorumin vieraat, hyvät ystävät
Maksufoorumi kokoaa yhteen keskeisimmät osapuolet maksamisen ja siihen liittyvien järjestelmien ja palvelujen alueella. Tänäkin vuonna olemme oppineet keskusteluista paljon. Kiitän jo tässä vaiheessa kaikkia puhujia ja kommentaattoreita kuten myös kollegaani Fabio Panettaa, joka vie eteenpäin tärkeää euroalueen yhteistä selvitystä digieuron luomiseksi.
Tarkastelen tässä puheenvuorossani rahoitusjärjestelmän ja erityisesti maksuliikenteen kansallista varautumista, josta kannan huolta. Se kytkeytyy tiiviisti kansakunnan kokonaisturvallisuuteen.
Maksaminen on paitsi talouden verenkierto, myös järjestäytyneen yhteiskunnan peruspilareita. Olemme Suomessa tässä suhteessa melko hyvällä tolalla. Vakavia laajempia häiriöitä on esiintynyt viime vuosina varsin vähän. Samanaikaisesti maksamisen kenttä on kuitenkin jatkanut sirpaloitumistaan ja erilaiset kyberuhat ovat tulleet jäädäkseen.
Suomen Pankki on vastikään uusinut strategiansa, ja sen mukaan luotettavista maksu- ja selvitysjärjestelmistä huolehtiminen on keskeinen osa palveluamme suomalaisille. Kannamme huolta häiriöistä ja toimintaongelmista, joihin Suomessa pitäisi varautua, jotta maksaminen ja maksujen välitys ei vaarantuisi jatkossakaan. Riskejä ei pidä vähätellä. Keskustelua on käyty pitkään. Uskon, että dialogin avulla ja yhteistä tietopohjaa lisäämällä kaikille hyväksyttävissä oleva ratkaisu olisi löydettävissä.
Päivän maksufoorumi on käsitellyt vähittäismaksamisessa käynnissä olevia muutoksia. Trendinä vähittäismaksamisessa on ollut jo pitkään maksamisen siirtyminen sähköisiin maksutapoihin käteisen rahan sijasta. Koronapandemia vauhditti muutosta kaikkialla Euroopassa.
Tämä näkyi selvästi myös Suomessa, jossa sähköinen maksaminen on ollut valtavirtaa jo yli vuosikymmenen ajan. Uudet maksusovellukset, uudet maksupalvelun tarjoajat ja pikamaksamisen yleistyminen lisäävät varmasti maksamisen sujuvuutta ja tehokkuutta. Tehokkuuden ja tuottavuuden tavoittelu eivät kuitenkaan saa olla ristiriidassa palveluiden ja järjestelmien luotettavan toiminnan kanssa.
Maksamisen kriittisyys on tunnistettu laajasti, samoin kehitystrendit. Euroopan Unioni on laajentamassa sääntelyä finanssisektorin kyberriskien kestävyyteen. Kyse on Euroopassakin siitä, millä säännöillä ja kenen ehdoilla toimitaan, ja miten esimerkiksi yksiin käsiin keskittyvät järjestelmät, geopolitiikka tai poliittiset sanktiot voivat vaikuttaa yhteiskunnalle kriittisen maksamisen toimintaan.
Suomen Pankki on tuonut finanssisektorin käyttöön todellisia uhkaskenaarioita ja hyökkäysmenetelmiä simuloivan eurooppalaisen ns. TIBER-testausmallin. Suomen Pankin omasta kokemuksesta voin sanoa, että harjoitusmalli on silmiä avaava ja erittäin hyödyllinen. Testi paljasti, miten hyökkääjä voi käyttää hyväkseen esimerkiksi sosiaalisessa mediassa olevaa tietoa. Menemättä yksityiskohtiin, saimme hyödyllistä tietoa myös kyberuhkiin varautumisesta.
Suomessa vallitsee pitkä perinne kaikki yhteiskunnan toiminnot kattavasta varautumisesta. Osana huoltovarmuutta meille on tärkeää varmistaa, että yhteiskuntamme toimii kaikissa oloissa. Tämä koskee myös maksupalveluita. Sanotaan, että anarkia on aina yhdeksän aterian päässä. Välimatka voi toki joillain ihmisillä olla myös lyhyempi.
Varautumissuunnitelmia tarvitaan, jos ennakoinnista huolimatta yrityksen jatkuvuuden hallinta ei riitä tai yhteiskunta joutuu kriisiin. Viime aikoina meillä on ollut riittävästi esimerkkejä siitä, miten herkkä vaikkapa pitkiin arvoketjuihin perustuva liiketoimintamalli voi olla: pandemian aiheuttamat viiveet toimitusketjuissa, Suezin kanavan tukkinut konttialus tai vakava kyberhyökkäys Yhdysvaltojen öljyputkistoon. Mikään kuviteltu uhkaskenaario ei näytä olevan liian mielikuvituksellinen verrattuna siihen, mitä todellisuudessa tapahtuu.
Pandemian myötä yli 90% vähittäiskaupan ostoksista tehdään maksukorteilla. Osa mobiilimaksuistakin toteutetaan korttimaksuina. Päivittäinen elämämme on siis lähes täysin riippuvainen korttimaksamisen palveluista ja infrastruktuurista.
Tapojensa muuttaminen on ihmisille usein vaikeaa. Kriisit kuitenkin muuttavat ihmisten käyttäytymistä välittömästi. Epävarmuus viruksen tartuntatavoista ja kehotukset välttää käteistä otettiin vakavasti, kuten Euro & Talous -julkaisun maksamisen muutosta koskeva artikkeli osoittaa. Onneksi ihmisten ja kaupan käytössä on vielä erilaisia maksutapoja, joista jokin sopii muuttuneeseenkin tilanteeseen. Vain yhden maksuvälineen ja -järjestelmän varassa toimiminen voisi olla kohtalokasta. Tämä koskee sekä seteleitä että maksukortteja.
Geopolitiikka, kyberuhat ja hybridivaikuttaminen ovat todellisuutta: yhteiskuntien normaalia toimintaa ja ihmisten arkea voi uhata paitsi rikkomalla ja häiritsemällä kriittistä infrastruktuuria, myös vaikuttamalla ihmisten mieliin ja luottamukseen. Koska rahoitussektorin toiminta perustuu luottamukseen, nämä uhat on otettava vakavasti. Rahoitusalan toiminnan välttämätön edellytys on, että luottamus sen toimintaan ja erityisesti maksamiseen voidaan säilyttää.
Yhdysvalloissa finanssisektorin merkittävimmät toimijat katsovat, että vakaviin kyberuhkiin varautuminen vaatii järjestelmän, jolla yleisön luottamus peruspankkipalveluiden toimintaan voidaan taata. Tämä turvasatama-hanke, Sheltered Harbour, on tarkoittanut, että toimiala on yhteisesti luonut standardit, joiden mukaisesti peruspankkipalveluiden tuottamisen edellyttämät tiedot tallennetaan päivittäin erilliseen suojattuun palvelinympäristöön, digitaaliseen holviin, ja joiden palauttaminen kriisissä voidaan tehdä erilliselle ns. palautusalustalle. Tämän palautusalustan (restoration platform) varassa voidaan tarvittaessa määräajan tuottaa peruspankkipalvelut.
Kun maailman johtava finanssisektori näkee tämän kaltaisen varautumisen välttämättömäksi, asia voisi olla relevantti myös suomalaiselle toimialalle. Voisiko tämän kaltainen turvasatama-ajattelu toimia myös kotimaisen maksuliikkeen varautumissuunnittelun osana?
2000-luvun alussa levinnyt SARS-epidemia sai meidät päivittämään jatkuvuus- ja varautumissuunnitelmamme tarttuvien tautien varalta. Periaatteessa olimme siis varautuneet pandemian puhkeamiseen, mutta Covid-19 nopea leviäminen maailman laajuiseksi ja vaikutus yhteiskunnan kaikkiin sektoreihin oli kuitenkin yllätys. Voimmeko olla varmoja, ettemme samalla tavalla yliarvioi myös nykyistä varautumistamme finanssisektorin muuttuneisiin uhkiin?
Varautuminen ei ole vain turvallisuuspäällikön asia, vaan kriiseissä organisaation olemassaolon edellytykset ovat ylimmän johdon vastuulla. Varautumisen tulee olla osa järjestelmien kustannus-hyöty -analyysia ja kokonaissuunnittelua, resilience by design. Vakavissa häiriöissä vuosien tehokkuushyödyt pyyhkiytyvät pois, jos toipuminen sakkaa ja varajärjestelyt eivät ole käytettävissä. Tähän tosiasiaan varautumista heijastaa myös edellä mainittu turvasatama-ohjelma.
Viranomaisten rooli varautumisessa on olla sääntelijä ja valvoja. Lisäksi keskuspankit ovat osapuolia maksujärjestelmissä. Omalla toiminnallaan Suomen Pankki voi tukea yksityisen sektorin varautumista. Kun finanssitoimiala on suunnitellut maksamiseen varajärjestelyjä, Suomen Pankki on ollut työssä mukana ja hakenut ratkaisuja avoimiin kysymyksiin. Tätä yhteistyötä olisi syytä edelleen jatkaa.
Huoltovarmuusorganisaatio on luonteva paikka toimialan yhteistoiminnan suunnitteluun. Harjoitukset, kuten syksyllä käynnistyvä valmiusharjoitus, FATO, ovat tärkeitä. Keskinäisriippuvuuksien tunnistaminen ja muuttuneen uhkaympäristön ymmärtäminen on oltava osa harjoituksen tavoitteita. Harjoitusten opit on saatava käyttöön, ne eivät saa jäädä muiden kiireisempien tehtävien alle. Olennaisinta on, että yhteisesti ja aidosti pyrimme löytämään ratkaisuja.
Suomen Pankin näkemykset kansalliseen varautumiseen ovat selkeät:
- Finanssisektorilla tarvitaan kattavat varajärjestelyt, jotka voidaan ylläpitää ja ottaa käyttöön kotimaisin voimin.
- Varajärjestelyjen on katettava koko maksamisen ketju asiakkaalta asiakkaalle.
- Päivittäisessä käytössä olevat vaihtoehtoiset maksujärjestelmät ovat varautumisen kannalta tehokkaampia kuin kassakaapissa säilytettävät kylmät varajärjestelmät.
- Monimutkaiset arvoketjut vaikeuttavat varajärjestelyjen luomista. Siksi niiden kustannus-hyöty -laskelmissa on syytä ottaa huomioon myös varautumisjärjestelyjen kustannukset.
Varautuminen ei ole alue, jolla kilpaillaan, vaan se on koko toimialan uskottavuuden ja yhteiskunnan toiminnan turvaamista.
Luotan siihen, että toimiala jakaa vakavan huolen kansallisesta varautumisesta ja tarpeen ryhtyä toimiin.
Kiitos!