Afera w Deutsche Banku. Wpuszczali nieznaną obywatelkę Chin do kluczowej serwerowni

Były menedżer globalnej firmy IT oskarża swojego byłego pracodawcę i Deutsche Bank o bezprawne zwolnienie po zgłoszeniu poważnego incydentu naruszenia bezpieczeństwa danych. W grę wchodzi nieautoryzowany dostęp do serwerowni, miliony poufnych rekordów bankowych i domniemane próby uciszenia sygnalisty.

James Papa, były kierownik ds. świadczenia usług w firmie Computacenter, złożył pozew przeciwko swojemu byłemu pracodawcy, Deutsche Bankowi oraz wysokiemu rangą menedżerowi tej instytucji, zarzucając im bezprawne zwolnienie i rażące zaniedbania w zakresie bezpieczeństwa IT. W centrum sprawy znajduje się seria nieuprawnionych wizyt partnerki jednego z pracowników w pilnie strzeżonej serwerowni nowojorskiego biura Deutsche Banku.

Computacenter to brytyjski gigant branży IT, który w Stanach Zjednoczonych odpowiada za obsługę systemów komputerowych Deutsche Banku. Wartość tej umowy szacuje się na ponad 50 milionów dolarów. W serwerowniach, o których mowa w pozwie, przechowywane są wrażliwe dane dotyczące setek tysięcy klientów – od transakcji bankowych po dane osobowe.

"Jenny" w serwerowni – bez autoryzacji i nadzoru

W pozwie złożonym w nowojorskim sądzie cywilnym Papa twierdzi, że między marcem a czerwcem 2023 roku jeden z jego podwładnych wielokrotnie wprowadzał do serwerowni swoją 40-letnią partnerkę o imieniu Jenny – obywatelkę Chin – bez jakiegokolwiek formalnego upoważnienia. Kobieta miała również korzystać z firmowego laptopa i konta służbowego pracownika, podczas gdy urządzenie było podłączone do wewnętrznej sieci Deutsche Banku.

Choć Papa, który nadzorował zespół techniczny Computacenter pracujący na miejscu, miał wyrazić sprzeciw wobec takiego postępowania i zażądać jego natychmiastowego zaprzestania, sytuacja miała się powtarzać w dniach jego nieobecności.

Nagrania z monitoringu potwierdzają – według treści pozwu – że Jenny była kilkukrotnie wpuszczana do serwerowni przez ochronę banku. Mimo że nie była pracowniczką ani Computacenter, ani Deutsche Banku, nie została ani razu wylegitymowana, a incydenty nie zostały oficjalnie zgłoszone odpowiednim służbom.

Zgłosił nieprawidłowości – został przesłuchany i zawieszony

Zaniepokojony powtarzającym się naruszeniem, Papa poinformował kierownictwo Computacenter oraz Deutsche Bank o zaistniałej sytuacji, sugerując również, że sprawa powinna zostać zgłoszona amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC), zgodnie z obowiązującymi przepisami o raportowaniu naruszeń bezpieczeństwa.

Zamiast uznania – spotkał go jednak ostracyzm. Jak twierdzi, został wezwany na spotkanie z prawnikami obu firm oraz zespołem ochrony Deutsche Banku, gdzie był agresywnie przesłuchiwany. Z relacji zawartej w pozwie wynika, że za każdym razem, gdy zwracał uwagę na zaniedbania ze strony banku, reakcje obecnych przedstawicieli stawały się coraz bardziej wrogie.

– Zrzucali na mnie winę, choć to nie ja odpowiadałem za ochronę fizyczną siedziby banku. To właśnie ochrona DB pozwoliła jej wejść, mimo braku jakichkolwiek uprawnień – podkreślał Papa w rozmowie z dziennikarzami. – Zamiast wyjaśnić sprawę, chcieli uciszyć sygnalistę.

Niedługo później został zawieszony w obowiązkach służbowych, a w lipcu 2023 r. – zwolniony z pracy. Zdaniem jego pełnomocnika, adwokata Christophera Brennana, decyzja o rozwiązaniu umowy była konsekwencją nacisków ze strony Deutsche Banku i osobistej interwencji Marca Senatore’a – wiceprezesa ds. operacji centrów danych w tej instytucji.

Pozew o wielomilionowe odszkodowanie

Papa złożył pozew o odszkodowanie w wysokości ponad 20 milionów dolarów, powołując się na naruszenie przepisów o ochronie sygnalistów obowiązujących w stanie Nowy Jork. Twierdzi, że w wyniku działań pracodawców doznał „znacznych szkód emocjonalnych, fizycznych i finansowych”. Zwraca również uwagę na fakt, że ani Deutsche Bank, ani Computacenter nie poinformowały amerykańskiego regulatora rynku o zaistniałym incydencie, co może stanowić kolejne naruszenie prawa.

Co więcej, według jego relacji, po zwolnieniu przekazano mu informację, że mimo że Jenny była wielokrotnie widziana na monitoringu w kontakcie z infrastrukturą serwerową banku, nie udało się ustalić jej tożsamości ani tego, co dokładnie robiła w serwerowni. Do dziś nie wiadomo, czy doszło do jakiegokolwiek wycieku danych.

Obie firmy odmówiły komentarza w tej sprawie. Pozostaje również niejasne, czy którykolwiek z pracowników instytucji – poza samym Papą – poniósł konsekwencje za niedopełnienie obowiązków związanych z bezpieczeństwem danych.