Veliko kršenje sigurnosti u podatkovnom centru Deutsche Bank u New Yorku izašlo je na vidjelo nakon tužbe koju je podnio bivši menadžer Computacentra, tvrdeći da je nepravedno otpušten nakon što je prijavio incidente neovlašćenog pristupa.
James Papa, ranije menadžer za pružanje usluga u Computacenteru, tvrdi da je otpušten u julu 2023. godine nakon što je izrazio alarmantnu zabrinutost za sigurnost u vezi s jednim od svojih podređenih koji je više puta dozvoljavao njegovoj kineskoj djevojci ulazak u visoko sigurne serverske sobe.
Tužba, podnesena ovog ponedjeljka u New Yorku, detaljno opisuje kako je zaposlenik Computacentra dozvolio svojoj djevojci “Jenny” neovlašćeni pristup serverskim sobama Deutsche Bank u kojima se nalazi “veliko željezo” institucije – industrijska terminologija za visokoperformansne mainframe računare koji obrađuju milione osjetljivih finansijskih transakcija.
Kršenje fizičke sigurnosti
Prema sudskim dokumentima , ovi sigurnosni propusti dogodili su se više puta između marta i juna 2023. godine, posebno onim danima kada Papa nije bio na licu mjesta.
Ovaj slučaj je posebno zabrinjavajući jer dokazi sa nadzornih kamera navodno pokazuju da je sigurnosni tim Deutsche Banke dozvolio Jenny ulazak u sigurne prostore podatkovnog centra bez odgovarajućih akreditacija ili ovlašćenja, kršeći osnovne sigurnosne protokole podatkovnog centra.
Najbolje prakse u industriji nalažu višeslojne sigurnosne perimetre sa strogom fizičkom i logičkom kontrolom pristupa, uključujući biometrijsku verifikaciju i kontinuirano praćenje.
Ovo predstavlja katastrofalan neuspjeh višeslojnih sigurnosnih kontrola Deutsche Bank koje su trebale spriječiti svaki neovlašćeni pristup njihovoj kritičnoj infrastrukturi.
The Register izvještava da se sigurnosni propust proširio izvan fizičkog pristupa. Sudski dokumenti otkrivaju da je Jenny, koja navodno ima “značajno računarsko znanje”, takođe imala dozvolu da koristi laptop svog dečka i pristupi njegovom poslovnom računu dok je bila povezana na mrežu Deutsche Bank.
Ovo je potencijalno ugrozilo SIEM (Security Information and Event Management) sisteme banke , koji su dizajnirani da otkriju i spriječe takav neovlašćeni pristup.
Computacenter upravlja računarskim sistemima Deutsche Bank kao dio ugovora o IT uslugama vrijednog preko 50 miliona dolara. Ovi sistemi sadrže milione osjetljivih bankarskih zapisa i finansijskih transakcija za stotine hiljada klijenata.
Nakon što je otkrio ove propuste, Papa tvrdi da je pravilno prijavio incidente i savjetovao upravi da otkrije propust u sigurnosti SEC-u, kako to zahtijevaju propisi.
Umjesto da se pozabave ovim problemima, u tužbi se tvrdi da je Papa bio podvrgnut agresivnom ispitivanju od strane obe kompanije.
„Svaki put kada bi gospodin Papa ukazao na očigledne i nečuvene propuste u obezbjeđenju DB-a u dozvoljavanju Jenny ulaska u sjedište, advokat DB-a i predstavnici obezbjeđenja DB-a na sastanku bi postali uznemireni i još agresivniji u svom ponašanju prema gospodinu Papi“, navodi se u sudskim dokumentima.
Nakon ovih sukoba, Papa je suspendovan, a kasnije i otpušten.
Njegov advokat, Christopher Brennan, rekao je za The Register: „U suštini je bio žrtveni jarac; rekao je da niko to ne priznaje. Ovo je obezbjeđenje Deutsche Bank, oni su ti koji su pustili ovu osobu unutra. Jenny nije zaposlenica Computacentra, nema nikakve akreditacije, a ipak su je pustili unutra.“
Nakon što je otpušten, Papa tvrdi da je obaviješten da su obe kompanije pregledale snimke nadzornih kamera na kojima se vidi kako Jenny dodiruje servere, ali još nisu utvrdile njen identitet ili namjere.
U tužbi se tvrdi da je Papa bio jedina osoba koja je disciplinski kažnjena uprkos višestrukim sigurnosnim propustima. Papa traži više od 20 miliona dolara odštete zbog nemara i kršenja zakona o zaštiti uzbunjivača u New Yorku.
Izvor: CyberSecurityNews
