Jeden ze zaměstnanců telekomunikačního operátora T-Mobile ukradl osobní údaje klientů a prodával je dál. Únik dat vyšetřuje policie. Napsala to pondělní Mladá fronta Dnes (MfD), která přišla s hypotézou, že únik souvisel s výpadkem sítě T-Mobile. Zatímco únik dat mluvčí operátora Martina Kemrová potvrdila, souvislost s technickými problémy odmítá.

K úniku dat došlo v dubnu a jde v něm o údaje zhruba 1,5 milionu zákazníků.

Zloděje dat prozradilo, že databázi nabídl firmě, která s T-Mobilem spolupracuje. "Případ se podařilo odhalit díky spolupráci s obchodním partnerem, který nás informoval, že mu někdo nabízí k odkoupení databázi údajně našich klientů. Prošetřili jsme, zda jde o reálná data, a po zjištění, že ano, jsme informovali policii a podnikli patřičné kroky, sdělila HN mluvčí Kemrová.

"Zaměstnanec byl okamžitě propuštěn, data jsou zpět v majetku naší společnosti," dodala Kemrová. "Byly zajištěny všechny nosiče, na nichž data byla stažena. Existuje teoretická možnost, že existují také jiné nosiče, ale zatím nemáme indikace, že by tomu tak bylo," zodpověděla mluvčí operátora dotaz HN, co dodatek o datech, která se vrátila do majetku firmy, znamená.

Škoda za miliony, nebo za nulu?

Charakter odcizené databáze byl podle T-Mobilu čistě marketingový. "Nešlo o data lokalizační či provozní ani o citlivé údaje typu hesel. Jediné nebezpečí, které by hypoteticky mohlo našim zákazníkům hrozit, je případně oslovení nevyžádanými marketingovými nabídkami," tlumočí pohled operátora Kemrová. 

Na otázku, kdy chtěla firma o úniku informovat, Kemrová uvedla, že šlo o neúspěšný pokus, kdy zákazníkům nevznikla žádná újma. Z toho důvodu by proto T-Mobile "informaci aktivně nešířil".

Že únik pro klienty představuje jisté riziko je zřejmé. "V případě, že jste schopni identifikovat osoby a jejich telefonní čísla, nejen že je můžete obtěžovat nevyžádanými zprávami, ale můžete se je samozřejmě pokusit i infikovat. Například tak, že budete posílat specifický malware, na který jsou jejich telefony citlivé," říká Filip Chytrý, bezpečnostní analytik společnosti Avast.

"Útočníkům se hodí znát telefonní čísla i emaily. Těchto údajů často využívá i bankovní malware – pokud se útočníkům podaří infikovat počítač, zaměří se i na telefony, aby získali autentifikační SMS, vypočítává rizika Chytrý a dodává, že únik takové databáze může využít i konkurence, která s využitím ukradených dat dokáže potenciální zákazníky oslovit přímo.

Krádež dat podle MfD vyšetřuje Útvar pro odhalování organizovaného zločinu. Deník píše, že zpočátku se mluvilo o škodě v řádu stamilionů korun, kterou krádeží dat mohl T-Mobile utrpět, firma uvedla, že žádná škoda jí ani zákazníkům nevznikla. "Pokus byl podchycen v samotném začátku," uvedla Kemrová.

Pracovníka IT oddělení T-Mobilu, který data zkopíroval, už podle MfD policie obvinila. Podle jedné z verzí data stáhl 19. dubna a způsobil tím výpadky signálu po celém Česku, píše deník. T-Mobile to popírá.

"Výpadek signálu s únikem dat spolu nijak nesouvisí. Z technologického pohledu je taková spojitost naprosto vyloučena," vysvětluje Kemrová. Celkem policie v souvislosti s únikem dat stíhá dva lidi.

Selhání zaměstnance jako vyšší moc?

I když podle T-Mobilu šlo pouze o selhání jednotlivce, firma preventivně prověří své systémy. "Chci zákazníky ujistit, že reálně k úniku dat nedošlo a že data našich zákazníků jsou v bezpečí," uvedl ředitel T-Mobilu Milan Vašina. "Po prozkoumání našeho systému zvážíme případné zavedení dalších preventivních opatření," dodal ředitel. 

Podle mluvčí Kemrové se objem dat, s nímž "lupič" pracoval, nevymykal běžnému provozu. Zaměstnanec měl k datům řádně přidělená přístupová práva. "Nemůžete chránit data před člověkem, který s nimi pracuje," řekla HN Kemrová. 

S tím souhlasí i konkurenční operátor. "Máme přísně nastavené interní procesy, které jsou závazné pro všechny zaměstnance, kteří s citlivými daty pracují. Proti úmyslnému lidskému pochybení se však žádná firma nemůže nikdy stoprocentně ubránit,"tlumočí názor operátora O2 jeho mluvčí Lucie Pecháčková.

Oslovení bezpečnostní experti vyjadřují jiný názor, úniku dat podle nich zabránit lze. "Jde o to, zda operátor považoval uniklá data za dostatečně citlivá," uvádí Petr Žikeš, ředitel brněnské IT firmy Safetica, která se zabývá právě zamezením podobných úniků firemních dat, která z podniků mizí přes jejich zaměstnance. Podle Žikeše dokáže bezpečnostní software zamezit, aby zaměstnanci citlivá data posílali e-mailem nebo si je kopírovali na externí disky. "Takový software navíc dokáže rizikové aktivity sledovat a ihned na ně upozornit. Incident se tak odhalí okamžitě a ne až v momentě, kdy jsou data prodávána na černém trhu," říká Žikeš.

Podle Martina Půlpána z firmy net.pointers, která se rovněž zabývá prevencí firemních úniků, je evidentní, že když firma typu mobilní operátor spravuje velké množství osobních dat, musí mít stejně tak dostatečný bezpečnostní aparát, aby jí takové informace neunikaly. "Vyžaduje to ale precizní spojení procesů a technologií, které bezpečnostnímu týmu umožní nebezpečnou aktivitu zastavit," vysvětluje Půlpán.  

Související