| Vývoj případu 10. září - Policie dostala do ruky dopis, v němž pachatel nabízel všechny důležité údaje ze dvou a půl milionů sporožirových účtů České spořitelny. Inzerent uvedl i e-mailovou adresu, na niž je možné se obracet s objednávkami. Kriminalisté začali na případu okamžitě pracovat. 12. září - Kopie nabídky přišla faxem do redakce MF DNES. 13. září - MF DNES poslala přes soukromou adresu jednoho z členů redakce na udanou emailovou adresu vzkaz, v němž žádá zaslání informací o sporožirovém účtu jiného člena redakce. Pozdě večer sice pachatel na vzkaz zareagoval, požadované informace však nedodal a požádal o upřesnění údajů majitele sporožira. Redakce mu vyhověla, on už se však neozval. 14. září - Poté, co o úniku dat informovala některá média, policie uvalila na poskytování informací o případu přísné embargo. 15. září - Pachatel přestal komunikovat s okolím. Poslední zprávu poslal policistům (kteří pochopitelně pracovali s civilním e- mailem) v úterý 14. září ráno. Experti se shodují na tom, že únik má na svědomí někdo ze zaměstnanců spořitelny - buď data získal a hodlá je zneužít, či dokonce zpeněžit sám, nebo pracuje jako komplic pro někoho zvenčí. Policisté však tvrdí, že Česká spořitelna nic nezanedbala, že se pouze stala obětí trestného činu. 17. září - Počítačoví specialisté nevyloučili ani možnost, že pachatel mohl získat informace z takzvaných zálohovacích pásků. Na ně se každý den nahrávají a zálohují data pro případ nenadálého selhání. I tato verze ukazovala na někoho z řad zaměstnanců banky. 21. září - Policie i Česká spořitelna nechtějí žádným způsobem komentovat či přiblížit průběh vyšetřování. 22. září - Kriminalisté v odpoledních hodinách přijeli k sídlu Závodu výpočetní techniky České spořitelny v Praze 7 a odvezli jedenadvacetiletého správce sítě J. V. na policejní stanici. Mladík se ke všemu přiznal. Vyšetřovatel jej ještě večer obvinil ze dvou trestných činů a požádal soud o uvalení vazby. (jak) |
Podezřelý pracoval ve spořitelně tři roky
Obviněný pracovník pracoval podle představitelů České spořitelny zhruba tři roky v pražském výpočetním středisku tohoto ústavu jako správce sítě. Podrobnosti o tom, jakým způsobem data o účtech odcizil, zástupci policie ani spořitelny nezveřejnili. Uvedli jen, že pravděpodobně pracoval sám a neměl společníky.
Vyšetřovatel ho obvinil ze zneužití záznamů na nosiči informací a z neoprávněného nakládání s osobními údaji a navrhl soudci, aby jej vzal do vazby.
Pachatel nabízel prostřednictvím internetu osobní údaje majitelů 2,5 milionu spořitelních účtů včetně zůstatku a pohybu peněz. Jaký rozsah měl obviněný zaměstnanec k dispozici, pracovníci policie a spořitelny odmítli uvést. "Žádná data pravděpodobně neprodal, ale to je předmětem dalšího vyšetřování," uvedl náměstek policejního ředitele Jaroslav Zeman. Dodal, že mladíkovi hrozí až pět let vězení.
Česká spořitelna podle svého mluvčího Pavla Jirouška již přijala potřebná bezpečnostní opatření, aby se podobný případ neopakoval.
PŘEDCHOZÍ VÝVOJ
Analýza: Rizikem pro bezpečí systémů bank jsou především zaměstnanci
Podle odborníků nelze vyloučit podobnou situaci i v jiných bankách. "Co se stalo České spořitelně, to se v podstatě mohlo stát jakémukoliv jinému bankovnímu domu. Pokud se mluví o komplici uvnitř banky, pak se takový člověk může objevit i v jiné společnosti či bance," míní šéf odboru ochrany osobních dat z Úřadu pro státní informační systém Karel Neuwirt.
Kriminalisté se po několika dnech vyšetřování přiklánějí k názoru vedení banky. To tvrdí, že pracovníci tohoto peněžního ústavu nezanedbali bezpečnostní opatření na ochranu počítačových dat a že se spořitelna stala obětí kriminálního činu.
Představitelé domácích bank se však domnívají, že jejich systémy jsou v pořádku a že si své lidi důkladně prověřují. Podrobnosti prověrek odmítají sdělit. "Jde o velmi intimní data, která patří ke know-how," říká mluvčí spořitelny Pavel Jiroušek.
Podle názoru Miroslava Burdy z Komerční banky mohl důvěrná data získat jen ten, kdo má administrátorské přístupy. Dodal, že administrátor musí být systémem monitorován - toto sledování pohybu je ovšem možné nastavit s různou přísností.
Ochranou před nepoctivými zaměstnanci jsou i přístupová hesla do systémů. "Tým lidí, kteří nastavují hesla, je u nás v bance naprosto odlišný od ostatních pracovníků," vysvětluje Burda. Experti se však shodují, že ani nejdokonalejší systém nemůže fungovat, pokud obsluhující personál stoprocentně nedodržuje instrukce. "Pro vstup do počítače mám heslo, ale všichni ho tu na oddělení znají," přiznává jedna z pracovnic Investiční a Poštovní banky. Podobné je to i v dalších bankách či podnicích.
| Klient, jehož osobní data zveřejnil pirát, má obavy Klient České spořitelny František F., jehož výpis z účtu posloužil neznámému pachateli jako důkaz, že má k těmto datům skutečně přístup, se netají obavami. "Mnoho lidí teď zná stav mého konta i mou adresu. Bojím se, aby to někoho nelákalo jít to obhlédnout přímo ke mně domů," svěřuje se muž. František F. je z celé situace spíše zmatený než rozhořčený. "Po pravdě řečeno, ani nevím, co mám vlastně dělat. Rozhodně se chci poradit s právníkem. Netuším totiž, jaká mám práva, a tudíž nemám ani ponětí, jak vlastně celou věc řešit. Kdyby existoval lepší zákon na ochranu osobních údajů, bylo by snazší domáhat se práva," přiznává František F. Zákazník připouští, že spořitelna údaje svých klientů dostatečně nechrání. "Došlo mi, že výpis, který ze spořitelny dostávám, chodí normálně poštou a nedostávám ho ani do vlastních rukou. Když někdo chce zjistit stav mého konta ve spořitelně, nepotřebuje k tomu žádného počítačového mága," říká František F. Případ s ukradenými daty může podle něj Českou spořitelnu výrazně poznamenat. "Dovedu si představit, že dost lidí si uloží peníze jinam. Ať je to jakkoliv, sám můžu potvrdit, že vědět, že se vaše konto může stát věcí veřejnou, je dost nepříjemné," říká František F. (zuj) |
Někteří odborníci si přitom myslí, že informační systémy domácích bank přece jen pokulhávají za konkurenty ze zahraničí. "Možná že banky u nás jsou na tom z hlediska zabezpečení hůř než zahraniční," připouští například Václav Krejzlík ze Scaly. "Pokud banka nabízí home banking nebo GSM banking, což je přístup do části její sítě, vždycky existuje nějaká možnost přístupu k ní," dodává.
Policie: Spořitelna zřejmě nic nezanedbala
Kriminalisté se po několika dnech vyšetřování přiklánějí k názoru vedení banky. To tvrdí, že pracovníci tohoto peněžního ústavu nezanedbali bezpečnostní opatření na ochranu počítačových dat a že se spořitelna stala obětí kriminálního činu.
"Zatím to nevypadá na zavinění ze strany České spořitelny," řekl vedoucí druhého odboru pražských kriminalistů Jaroslav Macháně, který řídí speciální desetičlenný tým policistů.
Vyšetřování se stále ubírá dvěma základními směry - kriminalisté prověřují, zda by pachatelem mohl být člověk ze spořitelny, nebo jestli šlo o počítačového piráta, který pronikl do počítačové sítě z vnějšku.
Zvažuje se i možný pachatelův motiv: že prý totiž celou operaci zahájil proto, aby poškodil dobré jméno spořitelny. Tato spekulace se však definitivně potvrdí nebo vyvrátí pouze v případě, že se podaří pachatele odhalit. On však zřejmě prozatím přestal komunikovat s okolím. Vzkazy na jeho e-mailové adrese zůstávají od úterka bez odezvy. "Máme hrozně málo informací, ale nezbývá než čekat, jestli se ozve," uvedl jeden z členů vyšetřovacího týmu.
Policistům může nahrát i něco jiného: člověk, který - jak alespoň sám tvrdí - má k dispozici obrovské kvantum cenných informací, plní první stránky novin a slyší o svých "kouscích" v televizi, to nemusí psychicky unést. "Možná, že už mu dochází, že jeho klukovina přerostla v závažný a u nás zatím nevídaný zločin. Musí to být obrovská zátěž," míní psycholog Slavomil Hubálek. Není tedy vyloučeno, že se bude chtít někomu svěřit nebo se nechtěně podřekne.
Podle právníků se člověk, který za únikem informací stojí, dopustil trestného poškození a zneužití záznamu na nosiči informací. Za to mu může soud uložit jeden rok vězení a v případě, že svým počínáním způsobil škodu velkého rozsahu (tedy milion korun a více), až pět let. Pokud by pachatelem byla osoba, která má k databázi České spořitelny přístup v rámci své pracovní náplně, byl by stíhán ještě pro neoprávněné nakládání s osobními údaji.
Spořitelna připouští, že data unikla zevnitř
Česká spořitelna poprvé prolomila hráz mlčení o úniku dat z databáze účtů jejích klientů, se kterými se kdosi snažil obchodovat, a přiznává, že nejpravděpodobnější variantou je únik zevnitř banky. Šéf divize drobného bankovnictví České spořitelny Miroslav Wagner však zároveň prohlásil, že nemá důkaz, že by neznámý zloděj ukradl celou databázi "Spíše vše nasvědčuje tomu, že má údaje jen o čtyřech lidech," řekl Wagner. Zdůraznil, že vklady klientů nejsou ohroženy.
Dosavadní vývoj
Obchodu s důvěrnými údaji o dvou a půl milionech klientů České spořitelny zatím nikdo nedokáže zabránit. Policie ani banka stále netuší, kdo je oním anonymem, který prodává na internetu databázi všech majitelů sporožirových účtů, a jak se k ní dostal.
"Ještě ráno jsme s ním byli - samozřejmě prostřednictvím civilní e-mailové adresy - ve spojení. Odpověděl nám na náš vzkaz," řekl v úterý jeden z členů speciálního týmu kriminalistů, kteří byli na vyšetřování nasazeni.
Vedení České spořitelny nedokázalo uspokojivě vysvětlit, jak mohly informace uniknout.
Její představitelé pouze konstatovali, že se banka stala obětí kriminálníh
Pirát, zřejmě mladý, se znovu neozval |
"Domnívám se, že cílem pachatele je poškodit dobré jméno České spořitelny a negativně ovlivnit vysoký stupeň důvěry, kterou ve svůj peněžní ústav klienti vkládají," uvedl její generální ředitel Dušan Baran.
V pobočkách byl včera klid: navzdory tomu, že se jedná o dosud ojedinělý únik osobních dat - neznámý majitel databáze má k dispozici jména a adresy klientů, informace o tom, kde pracují a kolik berou, kam posílají své peníze, i další údaje. Lidé se většinou pouze ptali, zda jejich peníze jsou v pořádku.
"Bezpečnost vkladů na sporožirových i dalších účtech je plně zajištěna," uvedl šéf spořitelny Dušan Baran.
Podle mínění mnoha expertů mohl čtvrt miliardy počítačových záznamů získat nejsnáze člověk pracující uvnitř banky.
"Nebezpečí spočívá v tom, že v bance musí mít vždy někdo přístup do databází. Otázka je, nakolik systém zaznamenává, kdo v něm provádí jakou činnost," říká informatik Tomáš Vaverka z britské firmy specializující se na finanční systémy.
"Pokud nahlížím na stav jakéhokoliv účtu, existuje o tom záznam v systému. Nechápu, jak je možné, že někdo získá údaje všech klientů a nikdo o tom neví," divila se bankovní úřednice pobočky v centru Prahy. "Pokud data stáhl nějaký systémový inženýr, o jeho vstupu ani nemusí být záznam," vysvětluje jiný informatik Zdeněk Löbl.
Zatím však není jasné, jakým způsobem chce pachatel inkasovat peníze za svou databázi. "My teď zjišťujeme, jaký má ceník. Zatím jsme mu žádné peníze neposílali," řekl policista vyšetřující tento příp
| Veliký podnik s mnoha lidmi Česká spořitelna, svou bilanční sumou druhá největší banka v zemi, je svou širokou pobočkovou sítí podle některých odborníků snadným soustem pro počítačové piráty. Jeden z expertů na počítačové systémy upozornil, že Česká spořitelna používá standardní komerční informační systém, který jí však není šitý na míru. Další rizika úniku dat vyplývají z množství zaměstnanců spořitelny. Jejich počet navzdory neustálé snaze o snižování stále dosahuje zhruba šestnácti tisíc. Téměř všichni oslovení odborníci by pachatele nebo alespoň spolupachatele hledali mezi nimi. V současnosti totiž počet spořitelních poboček přesahuje tisícovku. Všechny jsou zpravidla on-line propojeny a kromě dvou a půl milionu sporožir v nich banka vede více než třináct milionů dalších účtů. Spořitelna má jednoznačně nejsilnější pozici ve spravování vkladů domácností. (mic, zdf) |
Pokud jde o ohrožení vkladů, odborníci se spíše přiklánějí na stranu spořitelny. Únik osobních údajů poškozuje pověst banky, ale ztráta peněz klientům nehrozí. "Jedna věc je získat data. Ale manipulovat s nimi a nahrát zpět do systému nějaké příkazy, to už je daleko nemožnější," potvrdil informatik Tomáš Vaverka.
První den poté, co se klienti spořitelny dočetli, že jejich data kdosi veřejně nabízí v internetové síti, reagovali klienti střízlivě. "Přišli asi tři klienti, kteří si přečetli noviny a vyptávali se, co to pro ně znamená. Ale - ani my zatím nic nevíme. Klienty máme odkazovat na mluvčího spořitelny," uvedla bankovní úřednice z přepážky v centru Prahy.
Některé pobočky však obavy zaznamenaly. "Lidé se ptali, jakým způsobem jsou chráněny jejich účty. Všechny uklidňujeme," říkala Jiřina Zubková, zástupkyně vedoucí pobočky České spořitelny v Děčíně. Ojediněle dokonce lidé vybírali peníze a rušili účty. "Nechtěl bych se dočkat toho, aby mi někdo vykradl byt, když si zjistí, kolik beru," vysvětlil například Jan Vasilík. "Jdu zrušit sporožiro a poohlédnu se po jiném bankovním ústavu," dodal.
Představitelé jiných peněžních domů nechtěli mluvit o ochraně dat v jejich systémech. Vyjádření si byla podobná jako vejce vejci: Nic podobného se nám nemůže stát. "Banka má několikastupňový systém zabezpečení osobních dat klientů a velmi přísně prověřuje zaměstnance, kteří k těmto informacím mohou mít přístup," ujistil své zákazníky třeba mluvčí Komerční banky Ivo Polišenský.
| Po celodenní snaze o rozhovor s generálním ředitelem Dušanem Baranem získala redakce MF DNES jen vyjádření mluvčího Pavla Jirouška: "Chtěl jsem požádat, abyste pochopili, že jsme do tiskové zprávy dali maximum toho, co je v současné chvíli možné zveřejnit." Můžete klientům vysvětlit, jak jsou chráněny jejich peníze, když bance před několika dny unikla podstatná osobní data ze stejných počítačových systémů? "Já se obávám, že v tuto chvíli to přesně nevědí ani ti odborníci," připustil mluvčí Jiroušek. |
 Kopie e-mailové odpovědi neznámého pisatele redakci. |
