Nick Corbishley
Finland är, liksom sina skandinaviska kollegor, bland världens mest kontantlösa ekonomier. Men enligt centralbankschefen är det inte ett bra tillfälle att ge upp pengarna nu.
Hushållen i Finland bör se till att de har lite kontanter till hands, ifall landets betalningssystem skulle drabbas av störningar, varnade Päivi Heikkinen, chef för betalningssystemavdelningen och chefskassa vid Finlands Bank. I en intervju med den nationella kanalen MTV3 på tisdagen tisdagen sa Heikkinen att hennes avsikt inte var att ”måla upp katastrofala scenarier” innan hon varnade för att i värsta fall kan betalningssystemet gå ner under en period av veckor.
”Jag vill inte måla djävulen på väggen”, sa hon, ”men nu pratar vi om allvarligare störningar än vad som har tagits upp tidigare.”
Sedan Finland ansökte om att gå med i Nato i juli i år har Finland enligt uppgift varit måltavla för ett antal cyberattacker, inklusive en DoS-attack (Denial-of-Service) som riktade sig mot det finska parlamentet den 9 augusti 2022, vilket tillfälligt inaktiverade organisationens webbplats. Sedan dess har staten börjat dela ut bidrag på upp till 100 000 euro till företag, stora som små för att hjälpa dem att stärka sin cybersäkerhet.
Även om Finland ännu inte har anslutit sig till Nato, sa dess utrikesminister Pekka Haavisto nyligen att det ändå skulle få hjälp från sina Nato-partners i händelse av direkt hot, även innan ett fullt medlemskap. Nu varnar en hög tjänsteman i landets centralbank för en möjlig cyberattack mot betalningssystemet som kan störa systemet under en period av veckor, och uppmanar folk att hamstra kontanter i fall att det skulle inträffa.
Det ironiska är att Finland, liksom övriga skandinaviska länder, är bland världens mest kontantlösa ekonomier. Enligt Finlands Bank är den på väg att bli helt kontantlös år 2030.
En undersökning gjord förra året av centralbanken visade att endast 7% använder kontanter vid köp. Nittio procent av undersökningens svarande sa att de betalar för sina matvaror med ett kort eller en mobilbetalningsapp.
Inte en bra tid att ge upp pengar
Heikkinen säger dock att det inte är ett bra tillfälle att helt avstå från kontanter, med tanke på den ökande risken för attacker mot finsk infrastruktur, inklusive dess betalningssystem:
”Fler betalningsmetoder ger motståndskraft. Om en enda betalningsmetod ibland inte fungerar, så har vi andra betalningsmetoder till vårt förfogande. Kontanter spelar fortfarande en mycket viktig roll här.”
En av de ofta förbisedda nackdelarna med allt mer kontantlösa ekonomier är deras inneboende bräcklighet. Läsare minns kanske från en artikel jag skrev i juni att en mycket använd betalkortsterminal i Tyskland, H5000, drabbades av ett mjukvarufel, vilket tvingade många återförsäljare i landet att visa ”Endast kontanter”-skyltar på sina fönster. Som jag noterade i artikeln har tyskar, liksom deras österrikiska kusiner, en kvardröjande mjukhet för fysisk vinning. Medan kontanter endast utgör cirka 12% av alla betalningstransaktioner i Finland, står de i Tyskland för mer än 60%.
Detta innebar att när betalningsavbrottet inträffade hade tyska konsumenter och återförsäljare ett alternativ att falla tillbaka på. Som Heikkinen konstaterar ger kontanter motståndskraft. De kommer inte att haka upp sig vid ett strömavbrott eller under en cyberattack.
Det var lärdomen som Puerto Ricos orkan Maria gav 2017. Efter att kategori fyra-orkanen tog bort öns elnät i veckor i sträck, blev ön i princip en de facto enbart kontantekonomi, beroende av luftbroar av hemliga kontanter från Federal Reserve.
Som Brett Scott noterar i sin senaste bok Cloudmoney: Cash, Cards, Crypto and the War for our Wallets, kommer alla samhällen som körs enbart på digitala plattformar som drivs av stora finansiella institutioner ”att få stora motståndskraftsproblem.”
Denna inneboende systemiska bräcklighet är en av anledningarna till att Finlands Bank har rekommenderat att användningen av kontanta betalningar ska garanteras i lag. I mars initierade banken ett förslag till lagstiftning för att säkerställa en minimal nivå av kontantbetalda tjänster.
Det verkar också som att många finländare redan tar risken för störningar i landets digitala betalningssystem på allvar. Enligt en studie beställd av Nosto-uttagsautomater i april hade mer än en tredjedel av människorna redan tagit ut eller planerade att ta ut extra pengar på grund av proxykriget i Ukraina mellan grannlandet Ryssland och Nato. Det var innan Finland ansökte om medlemskap i Nato.
Under tiden, Down Under…
Finland var inte det enda USA-NATO-anknutna landet där en senior banktillsynsmyndighet varnade denna vecka för den ökade risken för störande cyberattacker mot finansinstitutioner. I Australien sa Wayne Byres, den avgående ordföranden för Prudential Regulation Authority, att en cyberattack mot åtminstone en av landets finansinstitutioner nästan är garanterad; det är bara en tidsfråga:
Finansiella institutioner, åtminstone i ett bredare sammanhang, är ganska avancerade [inom cybersäkerhet], men vad vi också vet är att någon form av händelse kommer att inträffa någon gång. Det spelar ingen roll vilken typ av försvar du sätter på plats…
Till skillnad från många risker som finansiella institutioner hanterar, har du en aktiv motståndare som ständigt försöker besegra ditt förbättrade försvar… Det är högt på prioritet för alla styrelser i alla ledningsgrupper; Det läggs enorma belopp på investeringar i att förbättra försvaret, förbättra detektionskapaciteten och förbättra responskapaciteten.
Bryes vittnade i tisdags för en parlamentarisk kommitté som sammankallats för att undersöka en nyligen genomförd cyberattack mot Optus, Australiens näst största telekommunikationsleverantör.
Nämnda attack ägde rum den 22 september och resulterade i att personuppgifter från 10 miljoner nuvarande och tidigare Optus-kunder avslöjades. Dessa uppgifter inkluderade kundernas namn, födelsedatum, telefonnummer och e-postadresser, medan en mindre delmängd av kunder fick sina gatuadresser, körkortsuppgifter, medicin och passnummer läckta. Några av dessa kunder faller nu offer för bedragare.
Australiens banker har plågats av en mängd IT-avbrott under de senaste åren. Faktum är att på onsdagen, bara en dag efter Bryes varning, drabbades Oskos betalningssystem av ett internt systemtekniskt problem. Osko har utvecklats av ett konsortium av 13 finansiella institutioner, inklusive Reserve Bank of Australia, och tillhandahåller nästan omedelbar avveckling av transaktioner mellan banker dygnet runt. Men när de gick ner på onsdagskvällen blev resultatet ett fyra timmar långt avbrott i branschens hela bankbetalningsöverföring som lämnade kunderna i limbo.
Brad Kelly, verkställande direktören för konsultföretaget Payment Services beskrev avbrottet som en ”jävel”, och tillade att det borde ge branschen en paus om pushen mot NPP och bort från traditionella tjänster som autogiro eller Bpay:
”Tyvärr, faller NPP omkull kan du se vad som händer – det finns ingen återgång. Så det är vad vi har att göra med idag.”
Stigande hot
I sin senaste Financial Stability Review, publicerad förra veckan, noterade Reserve Bank of Australia att det senaste dataintrånget på Optus visade det hot som cyberbrottsligheten utgör för australiska företag och deras kunder. I sin tidigare granskning, i april, varnade centralbanken för att en storskalig cyberattack ”inte bara skulle skapa problem för den berörda institutionen utan också skulle kunna undergräva förtroendet för det bredare finansiella systemet.”
Samtidigt eskalerar banker och statliga myndigheter i USA sina varningar om hotet från cyberattacker. I december 2021, en månad efter attacken mot Banco de Venezuela, uppmanade JP Morgan International Council, som leds av Tony Blair och vars medlemmar inkluderar JPM:s vd Jamie Dimon, Condoleezza Rice och Henry Kissinger, för närmare samarbete mellan regeringen och företagen, ökad informationsdelning och hårdare cybersäkerhetslagstiftning.
”Cyber är det farligaste vapnet i världen – politiskt, ekonomiskt och militärt”, säger Bob Gates, tidigare försvarsminister och CIA-direktör och nuvarande vice ordförande för JPMorgan International Council.
Den 9 februari, bara två veckor före Rysslands invasion av Ukraina, sa europeiska och amerikanska tillsynsmyndigheter till bankerna att förbereda sig på hotet om en cyberattack från Ryssland. Det fanns också varningar om att Ryssland skulle hämnas deras bankers blockering från Swift genom att inleda cyberattacker mot det Belgien-baserade globala betalningssystemet.
Inget av dessa har hänt. I själva verket, som FT rapporterade i slutet av september, har de flesta av de allvarliga varningarna om rysksponsrade cyberattacker inte realiserats.
Den 1 april (ja, första april) varnade den europeiska bankmyndigheten för risken för att falska nyheter utlöser en körning på europeiska banker. Varningen liknade en kuslig likhet med ett scenario i en 10-länders simulering av en stor cyberattack som organiserades av den israeliska regeringen i december 2021. Som Reuters rapporterade då, ägde den simulerade cyberattacken, kallad ”Kollektiv styrka”, rum över 10 dagar, ”med känsliga data som dyker upp på Dark Web tillsammans med falska nyhetsrapporter som i slutändan orsakade kaos på globala marknader och en körning på banker”:
Simuleringen innehöll flera typer av attacker som påverkade globala valuta- och obligationsmarknader, likviditet, dataintegritet och transaktioner mellan importörer och exportörer.
”Dessa händelser skapar förödelse på finansmarknaderna”, sa en berättare i en film som visades för deltagarna som en del av simuleringen och som Reuters såg.
Deltagare i Collective Strength-simuleringen inkluderade finanstjänstemän från Israel, USA, Storbritannien, Österrike, Schweiz, Tyskland, Italien, Nederländerna, Förenade Arabemiraten och Thailand, samt representanter för IMF, Världsbanken och banken of International Settlements, centralbankernas centralbank. Deltagarna diskuterade en rad reaktioner på den simulerade krisen, inklusive en samordnad helgdag, amorteringsperioder för skuldåterbetalning, SWAP/REPO-avtal och samordnad avlänkning från större valutor.
Hittills har långivarna som drabbats hårdast av cyberattacker främst varit på tillväxtmarknader som Pakistan, Ecuador och Venezuela. Intressant nog lade Venezuelas regering skulden för det en veckas IT-avbrott som Banco de Venezuela, landets största bank, drabbades av i september förra året på den amerikanska regeringen, som Venezuelas vicepresident Delcy Rodríguez anklagade för att ha lanserat en ”intensiv och aggressiv” cyber attack mot bankens IT-system.