Hlavní navigace

Hlídejte si (nejen) VoIP ústředny

1. 3. 2010 17:53 (aktualizováno) Petr Krčmář

O tom, proč si dávat pozor na bezpečnost a že počítač není lednička. Aneb jak přijít o dva miliony korun.

Dnes si mě opět pozvala televize, abych komentoval zajímavý případ související s bezpečností v IT. Vidět mě můžete dnes v Událostech na ČT1. Protože v televizi není moc prostoru, rozhodl jsem se svůj názor na věc sepsat podrobněji.

O co jde? Před pár měsíci jste jistě zaznamenali případ provozovatelky malého penzionu, které někdo úspěšně napadl VoIP ústřednu a na svá placená zahraniční čísla provolal skoro dva miliony korun. Paní podala stížnost k ČTU s tím, že vinu nese dodavatel zařízení – tedy VoIP operátor.

Dnes jsem měl v ruce čerstvé vyjádření Úřadu, které jsem také komentoval. V něm se píše, že podle znaleckého posudku dodavatel vše udělal správně a vinu nese uživatelka. VoIP operátor totiž ústřednu (na Asterisku) nakonfiguroval a zprovoznil a pak předal přihlašovací a další údaje zákazníkovi. Bohužel heslo bylo podle všeho velmi jednoduché (zřejmě nějaké standardně přednastavené) a o bezpečnost se měl poté už postarat ‚správce místní sítě‘, který měl všechy údaje k dispozici. Neudělal to.

Poškozená se brání tím, že ji VoIP operátor dostatečně neinformoval o rizicích a ona je ‚jen uživatelka‘. Bohužel musím souhlasit s vyjádřením Úřadu. Uživatelé si neuvědomují, že počítač (resp. ústředna, ale to je taky počítač) není lednička a nestačí jej zapojit a zapomenout. I kdyby bylo na ústředně nastavené od začátku silné heslo, stejně je potřeba ji hlídat, instalovat záplaty a starat se o ni. To ale majitelka pensionu nedělala, přestože jí byla služba profesionální správy nabídnuta, jak stojí ve vyjádření. Zdála se jí ale příliš drahá a tak odmítla a neřešila.

Faktem je, že by se operátoři, Úřad i uživatelé měli z tohoto incidentu poučit a měli by uvažovat nad měsičními limity pro hovorné, aby příště mohlo dojít k újmě maximálně ve výši několika tisícikorun.

Sdílet