Podvodné e-maily a únik adres. Dopravní podnik čelí ostré kritice

Stovkám Hradečáků přišel v noci ze soboty na neděli podvodný e-mail z účtu Dopravního podniku města Hradce Králové. Dopravní podnik na incident upozornil až v pondělí večer. Podle jeho vyjádření byl z firemního účtu „neoprávněně odeslán podvodný (phishingový) e-mail“, který mohl obsahovat nebezpečný odkaz nebo přílohu.

Podvodný e-mail nesl předmět „Žádost o kontrolu a doplnění schvalovacích dokumentů“ a vyzýval příjemce ke stažení dokumentu nebo doplnění údajů. Na jeho existenci upozorňovali lidé i na sociálních sítích, kde se objevily i konkrétní ukázky zpráv.

„Na tento e-mail nereagujte. Neklikejte na odkazy v něm uvedené, případně jej smažte. Pokud jste na odkaz klikli nebo zadali jakékoli údaje, doporučujeme okamžitě změnit heslo, případně kontaktovat IT oddělení vaší společnosti (zaměstnavatele). Situaci jsme již zabezpečili a přijali opatření, aby se neopakovala,“ uvedl dopravní podnik v pondělí večer ve svém prohlášení.

Při snaze informovat dotčené osoby ale firma udělala další chybu. Varovný e-mail rozeslala tak, že adresáty uvedla v otevřené kopii. Každý příjemce tak mohl vidět e-mailové adresy ostatních.

„V rámci rozeslání e-mailové zprávy dotčeným subjektům údajů bohužel došlo ze strany příslušného zaměstnance DPMHK k pochybení v tom směru, že omylem uvedl adresáty hromadně do kopie,“ potvrdil pro Hradecký deník mluvčí dopravního podniku David Pozník. Podle něj jde o druhý bezpečnostní incident, který podnik oznámí Úřadu pro ochranu osobních údajů. Původní incident podle něj podnik nahlásil v zákonné lhůtě a informoval také Národní úřad pro kybernetickou bezpečnost.

Nepřijatelná situace, zlobí se náměstek pro dopravu

Případ už řeší i vedení města. Náměstek primátorky Miroslav Hloušek (ODS), do jehož gesce dopravní podnik spadá, označil situaci za nepřijatelnou. „Incident považuji za závažné selhání v oblasti kybernetické bezpečnosti i interních kontrolních mechanismů. Taková situace je nepřijatelná, a to bez ohledu na to, že šlo o externí útok,“ uvedl ve vyjádření na Facebooku.

Po vedení podniku požaduje bezodkladné a transparentní vysvětlení celé události včetně vyvození odpovědnosti. Součástí mají být i konkrétní personální a systémová opatření. Zároveň podle něj proběhne nezávislý audit kybernetické bezpečnosti, který prověří nastavení procesů i připravenost na podobné incidenty.

Postup dopravního podniku kritizují i další zástupci města. Radní Aleš Dohnal (Piráti), který je zároveň předsedou komise pro informatiku, upozorňuje na podle něj pomalou reakci i nepřipravenost na podobné situace. „Je alarmující, že na takovou situaci nebyl dopravní podnik připraven. V těchto případech rozhoduje rychlost, aby co nejméně lidí na podvodný e-mail kliklo,“ uvedl.

Ještě ostřeji se vyjádřil k druhému pochybení. „Jde o naprostý amatérismus, o kterém se učí už děti na základce. Namísto profesionální reakce jsme svědky dalšího úniku dat,“ doplnil.

Na problém upozorňovali už dříve i další politici. Například bývalý náměstek primátora Martin Hanousek (Zelení) na sociálních sítích varoval, že z e-mailu dopravního podniku chodí podvodné zprávy, a kritizoval, že firma podle něj o situaci dostatečně neinformovala veřejnost.

Tomáš Kulhánek
tomas.kulhanek@salonkyhk.cz
Ilustrační foto: Archiv