Hlavní navigace

„Vzdálená kontrola našeho systému? K smíchu,“ říká šéf bankovního zabezpečení

 Autor: 74287
Pavel Houser 1. 4. 2008

Zatímco všichni sledovali vlnu phishingu a pharmingu směřující proti České spořitelně, unikla na Internet data o přibližně 100 000 klientech konkurenční SecureBank. Jak ale k tomu došlo? Získali snad útočníci přístup k datům vzdáleně, skrýval se nepřítel uvnitř banky, vznikl problém kvůli fyzické krádeži zařízení nebo to celé bylo ještě nějak jinak?

Manažer zabezpečení v SecureBank ing. Churavý uvedl, že možnost, že by narušitelé získali vzdálenou kontrolu nad celý systémem, pokládá za velmi nepravděpodobnou.

Náš systém disponuje oproti konkurenci řádově vyšší úrovní bezpečnosti. Nelze ho pořádně spravovat ani zevnitř a se znalostmi veškerých hesel. Možnost vzdálené kontroly je, domnívám se, zcela vyloučena. Kdo by to dokázal, mohl by se živit určitě mnohem lépe než takovým příštipkařením, jako jsou útoky na banku.

Snad tedy ztráta fyzického zařízení? Je pravda, že jsem pracovní notebook zřejmě ztratil – nebo mi byl ukraden, nevím to přesně, protože jsem byl zrovna hodně opilý, bere ing. Churavý celou záležitost s nadhledem. Ale nemyslím, že by tam byla nějaká klíčová hesla, ty si píšu na vizitky. A i kdyby, chtěl bych vidět, kdo na mém notebooku v té záplavě hesel k pornoserverům cokoliv najde.

Možná nešlo o notebook?
Jo, něco asi mám i ve služebním mobilu, ale ten jsem neztratil, protože ho používají děti. Jinak to nešlo, to byste nevěřil, kolik ty parchanti jsou schopný provolat.

Jeho nadřízení nad incidentem s notebookem prý rovněž mávají rukou. Nedělají z toho vědu, to se prostě stává. Můj předchůdce ve funkci, jméno si teď nemůžu vzpomenout, ztratil nejenom notebook, ale když jsem po něm přebíral vybavení, zjistilo se, že chybí i všechny vidličky a mikrovlnná trouba. Dlouho jsme ve firmě uvažovali, co se s ní mohlo stát. To ji někam odnášel, chtěl snad někoho ozářit? diví se Churavý a mimo protokol dodává, že bývalý manažer zabezpečení nebyl úplně normální. Na příkazové řádce psal rychle, ale třeba s podpisem už měl problémy. I když možná se jen podepisovat nechtěl, paranoia, víte?

Výkonný ředitel SecureBank ing. Zbojník není z vyjadřování svého podřízeného pro média nadšen. Já snad nakonec budu muset ještě přijmout tiskového mluvčího, říká ztrápeně. Přitom jsme si tady u nás zakládali na neformální firemní kultuře a takový parazit by nám to s těmi všemi kličkami a diplomatickými vytáčkami tady jen kazil. Incident s mikrovlnnou troubou nemohu popřít a paranoia mi u bezpečnostního experta přijde jako vhodná kvalifikace. To si stejně nevyberete, všichni víme, že lidé z IT bývají divní…

Jak vidí Zbojník únik dat klientů? Nedělal bych z toho tragédii. A že prý jde o jednu největších krádeží dat vůbec? Aspoň teď všichni vidí, kolik máme zákazníků. Sami jsme si tím nebyli úplně jistí, máme v papírech trochu zmatek.

Jak vlastně, zajímali se novináři na tiskové konferenci, probíhá komunikace s útočníky a co po SecureBank požadují?

Já bych začal trochu oklikou, ujímá se slova opět ing. Churavý. Dobře víte, jakou nevoli budí, když třeba elektronické bankovnictví funguje jen v Internet Exploreru nebo když státní správa přijímá data pouze ve formátu MS Word. My jsme se proto rozhodli vyjít našim zákazníkům vstříc a způsob, jak s námi komunikují, nijak neomezujeme. Data se nám tady hromadí v prakticky libovolném formátu. Stejně liberální přístup máme i vůči zaměstnancům; jestli je někdo zvyklý přeťukávat data o kartách v T602, ať tak činí. Mohlo by se o nás mluvit v tiskových zprávách prakticky všech softwarových firem, tady je implementováno snad úplně všechno. Volali nám dokonce kvůli nějaké mezioborové studii i z ústavu pro výzkum biodiverzity.

Proč ale softwaroví dodavatelé zatím SecureBank ve své marketingové komunikaci nezmiňují? Asi to zatím prostě nevědí, budeme ten software časem muset koupit.

Jak to všechno ale souvisí s nedávným útokem hackerů? Prostě máme trochu problém z našich systémů data vytěžit. Když nám lupiči nabídli, že nám dodají jednu tabulku, kde bude u každého klienta jeho rodné číslo, číslo účtu, heslo, číslo karty a PIN, přišlo nám to jako férová nabídka. Nabídli nám vlastně datamining za velmi rozumné peníze, levněji, než kdybychom to ze systému vyhrabali sami…

Proč se ale transakce nakonec nerealizovala a útočníci dali údaje na Internet? My bychom s tím neměli problém, ale potřebovali jsme kvůli účetnictví nějakou fakturu. Volali mi, že ji pošlou, ať si ji podepíšeme sami, usmívá se důležitě ing. Churavý, snad v jakési tajemné narážce na svého předchůdce.

Jenže, připouští ing. Zbojník, asi došlo k nějakému problému. Já se musím přiznat, že přesně nevím, o co šlo. Možná to někam založila moje sekretářka, nebo, pokud tu fakturu posílali e-mailem, to třeba systém automaticky označil jako spam. Podíval bych se do účetního systému, ale nemám zrovna heslo.

Neobávají se ale v SecureBank žalob svých klientů?
Podívejte se, jak jdou dneska akcie dolů. Všichni, kdo mají ty různé fondy, prostě počítají s tím, že prodělají. Nakonec sem tam nějaká fingovaná platba pomocí kradených údajů o kartě není nic proti tomu, o kolik peněz je v jiných bankách připraví makléři různými dobře míněnými, ale výsledně zcela katastrofálními transakcemi. Ale kdyby měli nějaké dotazy, můžou klidně přijít, já jim klidně zopakuju to, co vám, dodává ing. Churavý velkoryse.

Nezávislý analytik Pleticha ovšem soudí, že za únikem dat stojí banka sama.
Případ České spořitelny zřejmě marketingové oddělení SecureBank inspiroval k tomu, že by tímto způsobem mohli zdarma získat reklamu. Nevěřím, že by vůbec měli 100 000 klientů, podle mě ta data prostě náhodně vygenerovali. Dr. Pleticha spíše pochybuje o tom, že by SecureBank mohla tímto způsobem nalákat nové klienty. Zvolili takový řekněme lidský přístup a popis toho, jak to u nich funguje, nutně vzbuzuje sympatie, připouští ovšem nakonec analytik opatrně. Člověka, ať už je ředitel, správce IT nebo účetní, určitě potěší, když zjistí, že nepořádek mají i jinde.

Anketa

Věřte - nevěřte...

Našli jste v článku chybu?

1. 4. 2008 11:12

Sonya (neregistrovaný)
Vcelku povedený apríl, navíc popisující reálnou situaci ve větršině bank. Kdyby se neprozradili hned v třetím odstavci, bylo by to lepší :))

1. 4. 2008 13:05

Ametyst (neregistrovaný)
To je sice pravda, ale zrovna tohle mi přišlo docela solidní.
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání