Банк уволил ИТ-сотрудника за отчет об опасных уязвимостях

Эксперт по ИТ-безопасности крупного банка Banco do Brasil утверждает, что был уволен из-за обнаружения им целого ряда серьезных уязвимостей в онлайн-системе, которые никто не был намерен исправлять.

В Британии ИТ-эксперт крупного банка был уволен со своего поста после отчета об обнаруженных им уязвимостях в системе безопасности, открывавших возможности для мошенничества и отмывания денег.

Клаудио Паллоне (Claudio Pallone) освободили от должности офицера по информационной безопасности в Banco do Brasil вскоре после того, как он сообщил руководству о целом ряде проблем с безопасностью в системе Flexcube южно-американского банковского гиганта. Как отмечает 51-летний специалист, обратившийся с данной жалобой в суд Лондона, уже после отчета и получения сообщения о том, что контракт с ним не будет продлен, он также обнаружил откровенные фотографии одного из топ-менеджеров банка на его рабочем компьютере. В соответствии с правилами безопасности Banco do Brasil, строго не допускающими скачивание или хранение на рабочем компьютере любых изображений такого рода, Клаудио Паллоне разослал всем сотрудникам письмо с предупреждением и напоминанием о данном правиле. В результате специалист был немедленно отправлен в неоплачиваемый отпуск, а также получил запрет на доступ ко всем офисам Banco do Brasil.

По словам Клаудио Паллоне, данный инцидент продемонстрировал склонность руководства банка скрывать любые ошибки и проблемы вместо их решения. «Ко мне отнеслись как к преступнику. Мне запретили даже посетить офис, чтобы забрать свои вещи и попрощаться с коллегами», – заявил он.

Однако основной причиной увольнения, считает ИТ-эксперт, стало обнаружение «критических ошибок» в системе банка, противоречащих общим правилам информационной безопасности и работы с личными данными. Согласно результатам исследований Клаудио Паллоне, новая система онлайн-безопасности Banco do Brasil под названием Flexcube была «заполнена известными и неизвестными ошибками».

Специалист сообщал об обнаруженных им проблемах с безопасностью руководству в период с сентября 2012 г. по февраль 2013 г., однако данную информацию игнорировали и посоветовали ему «прекратить создавать так много шума». «В ходе работы мне все отчетливее становилось понятно, что найденные мной критические уязвимости никто не пытается исправить», – подчеркнул Клаудио Паллоне.

Представители банка, в свою очередь, отрицают все обвинения своего бывшего сотрудника и заявляют, что не стали продлевать с ним контракт из-за сокращения расходов и исправления ИТ-проблем, которыми он занимался, передает Daily Mail.

Как отметил Павел Медведев, начальник дирекции операционного контроля «Ситибанка», такой подход к сокрытию уязвимостей со стороны руководства некоторых банков возможен, но для большинства серьезных финансовых организаций не характерен. «Наше руководство всячески поддерживает и приветствует любые рекомендации сотрудников по улучшению процессов и контроля в наших системах. Так, в банке существует специальная интранет-страница, с помощью которой любой сотрудник может направить свое предложение, также существует телефонная «горячая линия». Ни одна идея не остается без ответа – они рассматриваются и тщательно анализируются руководством. В случае целесообразности – внедряются, а сотрудники, которые смогли внести улучшения, получают премии и специальные награды», – заявил эксперт.