Manažer zabezpečení v SecureBank ing. Churavý uvedl, že možnost, že by narušitelé získali vzdálenou kontrolu nad celý systémem, pokládá za velmi nepravděpodobnou.
Náš systém disponuje oproti konkurenci řádově vyšší úrovní bezpečnosti. Nelze ho pořádně spravovat ani zevnitř a se znalostmi veškerých hesel. Možnost vzdálené kontroly je, domnívám se, zcela vyloučena. Kdo by to dokázal, mohl by se živit určitě mnohem lépe než takovým příštipkařením, jako jsou útoky na banku.
Snad tedy ztráta fyzického zařízení? Je pravda, že jsem pracovní notebook zřejmě ztratil – nebo mi byl ukraden, nevím to přesně, protože jsem byl zrovna hodně opilý,
bere ing. Churavý celou záležitost s nadhledem. Ale nemyslím, že by tam byla nějaká klíčová hesla, ty si píšu na vizitky. A i kdyby, chtěl bych vidět, kdo na mém notebooku v té záplavě hesel k pornoserverům cokoliv najde.
Možná nešlo o notebook?
Jo, něco asi mám i ve služebním mobilu, ale ten jsem neztratil, protože ho používají děti. Jinak to nešlo, to byste nevěřil, kolik ty parchanti jsou schopný provolat.
Jeho nadřízení nad incidentem s notebookem prý rovněž mávají rukou. Nedělají z toho vědu, to se prostě stává. Můj předchůdce ve funkci, jméno si teď nemůžu vzpomenout, ztratil nejenom notebook, ale když jsem po něm přebíral vybavení, zjistilo se, že chybí i všechny vidličky a mikrovlnná trouba. Dlouho jsme ve firmě uvažovali, co se s ní mohlo stát. To ji někam odnášel, chtěl snad někoho ozářit?
diví se Churavý a mimo protokol dodává, že bývalý manažer zabezpečení nebyl úplně normální. Na příkazové řádce psal rychle, ale třeba s podpisem už měl problémy. I když možná se jen podepisovat nechtěl, paranoia, víte?
Výkonný ředitel SecureBank ing. Zbojník není z vyjadřování svého podřízeného pro média nadšen. Já snad nakonec budu muset ještě přijmout tiskového mluvčího,
říká ztrápeně. Přitom jsme si tady u nás zakládali na neformální firemní kultuře a takový parazit by nám to s těmi všemi kličkami a diplomatickými vytáčkami tady jen kazil. Incident s mikrovlnnou troubou nemohu popřít a paranoia mi u bezpečnostního experta přijde jako vhodná kvalifikace. To si stejně nevyberete, všichni víme, že lidé z IT bývají divní…
Jak vidí Zbojník únik dat klientů? Nedělal bych z toho tragédii. A že prý jde o jednu největších krádeží dat vůbec? Aspoň teď všichni vidí, kolik máme zákazníků. Sami jsme si tím nebyli úplně jistí, máme v papírech trochu zmatek.
Jak vlastně, zajímali se novináři na tiskové konferenci, probíhá komunikace s útočníky a co po SecureBank požadují?
Já bych začal trochu oklikou,
ujímá se slova opět ing. Churavý. Dobře víte, jakou nevoli budí, když třeba elektronické bankovnictví funguje jen v Internet Exploreru nebo když státní správa přijímá data pouze ve formátu MS Word. My jsme se proto rozhodli vyjít našim zákazníkům vstříc a způsob, jak s námi komunikují, nijak neomezujeme. Data se nám tady hromadí v prakticky libovolném formátu. Stejně liberální přístup máme i vůči zaměstnancům; jestli je někdo zvyklý přeťukávat data o kartách v T602, ať tak činí. Mohlo by se o nás mluvit v tiskových zprávách prakticky všech softwarových firem, tady je implementováno snad úplně všechno. Volali nám dokonce kvůli nějaké mezioborové studii i z ústavu pro výzkum biodiverzity.
Proč ale softwaroví dodavatelé zatím SecureBank ve své marketingové komunikaci nezmiňují? Asi to zatím prostě nevědí, budeme ten software časem muset koupit.
Jak to všechno ale souvisí s nedávným útokem hackerů? Prostě máme trochu problém z našich systémů data vytěžit. Když nám lupiči nabídli, že nám dodají jednu tabulku, kde bude u každého klienta jeho rodné číslo, číslo účtu, heslo, číslo karty a PIN, přišlo nám to jako férová nabídka. Nabídli nám vlastně datamining za velmi rozumné peníze, levněji, než kdybychom to ze systému vyhrabali sami…
Proč se ale transakce nakonec nerealizovala a útočníci dali údaje na Internet? My bychom s tím neměli problém, ale potřebovali jsme kvůli účetnictví nějakou fakturu. Volali mi, že ji pošlou, ať si ji podepíšeme sami,
usmívá se důležitě ing. Churavý, snad v jakési tajemné narážce na svého předchůdce.
Jenže,
připouští ing. Zbojník, asi došlo k nějakému problému. Já se musím přiznat, že přesně nevím, o co šlo. Možná to někam založila moje sekretářka, nebo, pokud tu fakturu posílali e-mailem, to třeba systém automaticky označil jako spam. Podíval bych se do účetního systému, ale nemám zrovna heslo.
Neobávají se ale v SecureBank žalob svých klientů?
Podívejte se, jak jdou dneska akcie dolů. Všichni, kdo mají ty různé fondy, prostě počítají s tím, že prodělají. Nakonec sem tam nějaká fingovaná platba pomocí kradených údajů o kartě není nic proti tomu, o kolik peněz je v jiných bankách připraví makléři různými dobře míněnými, ale výsledně zcela katastrofálními transakcemi. Ale kdyby měli nějaké dotazy, můžou klidně přijít, já jim klidně zopakuju to, co vám,
dodává ing. Churavý velkoryse.
Nezávislý analytik Pleticha ovšem soudí, že za únikem dat stojí banka sama.
Případ České spořitelny zřejmě marketingové oddělení SecureBank inspiroval k tomu, že by tímto způsobem mohli zdarma získat reklamu. Nevěřím, že by vůbec měli 100 000 klientů, podle mě ta data prostě náhodně vygenerovali.
Dr. Pleticha spíše pochybuje o tom, že by SecureBank mohla tímto způsobem nalákat nové klienty. Zvolili takový řekněme lidský přístup a popis toho, jak to u nich funguje, nutně vzbuzuje sympatie,
připouští ovšem nakonec analytik opatrně. Člověka, ať už je ředitel, správce IT nebo účetní, určitě potěší, když zjistí, že nepořádek mají i jinde.