Z Pulsu Biznesu dowiadujemy się, że 8 lipca w banku Pekao SA doszło do jednego z największych wycieków danych w Polsce. Sytuację oraz publikację w magazynie komentuje dla PRoto Magdalena Załubska-Król, zastępca rzecznika prasowego ds. produktowych w banku.
Redakcja PRoto: Co było przyczyną wypływu informacji?
Magdalena Załubska-Król: Na początku lipca portal – założony i administrowany przez zewnętrzną firmę – stał się obiektem nieautoryzowanego wejścia osoby, która zlikwidowała istniejące tam zabezpieczenia i podmieniła pliki systemowe. Dzień później link do strony z danymi zaczął krążyć po sieci. Bank złożył do prokuratury doniesienie o możliwości popełnienia przestępstwa w tej sprawie. IP, z którego dokonano zmian, jak również wykonane w aplikacji działania są dobrze udokumentowane i pozostają dowodem w sprawie. Warto zatem podkreślić, że mamy uzasadnione przypuszczenie, że Bank padł w tej sprawie ofiarą przestępstwa.
Red.: Zdaniem Bartłomieja Juszczyka z Grupy Adweb Technologie Internetowe, cytowanego przez PB, winny był nieodpowiednio zabezpieczony dostęp do danych i może wkrótce zaatakuje go haker…
M Z-K:: Choć strona, przeznaczona do rekrutacji absolwentów i studentów na nasze programy praktyk i staży, nie była umieszczona w infrastrukturze banku, aplikacja miała niezbędne zabezpieczenia, co potwierdził niezależny audyt. Gdyby – jak twierdzi ekspert – dostęp do danych był po prostu źle zabezpieczony, to najprawdopodobniej dane personalne wyciekłyby z niego już 8 kwietnia, kiedy rozpoczął on swoja działalność, a nie w połowie lipca. Bezpośrednia przyczyną wycieku danych była łamiąca prawo ingerencja osoby niepowołanej w tej aplikacji. Na początku lipca osoba ta zlikwidowała istniejące w aplikacji zabezpieczenia i podmieniła pliki systemowe.
Red.: Czy osoby, których dane zostały ujawnione, zostały o tym poinformowane, czy same zgłosiły się do banku z tym problemem?
M Z-K:O wycieku danych dowiedzieliśmy się z kilku źródeł jednocześnie – m.in. za pośrednictwem mediów i naszego call center. Jesteśmy obecnie w kontakcie z osobami bezpośrednio zainteresowanymi sprawą. Oczywiście bank wyraża ubolewanie z powodu zaistniałej sytuacji.
Red.:Czy obecną sytuację traktują Państwo jak kryzys czy raczej postrzegają ją w kategoriach problemu, który ma niewielkie konsekwencje wizerunkowe?
M Z-K:Przede wszystkim traktujemy tę sytuację jako lekcję na przyszłość. Bezpośrednio po jej zaistnieniu podjęliśmy liczne działania mające na celu zapobieżenie podobnej sytuacji. Jednym z pierwszych kroków będzie m.in. przeniesienie serwisu www.zainwestujwprzyszlosc.pl, który cieszył się bardzo dużym powodzeniem, na nasze wewnętrzne serwery. Oczywiście bank podejmuje również działania w celu poprawy tych obszarów, co do których zastrzeżenia może zgłosić Generalny Inspektor Ochrony Danych Osobowych po kontroli przeprowadzonej w banku. (kk)
Rozmawiała Kinga Kubiak