Kiedyś złodzieje przede wszystkim próbowali włamać się do naszych sejfów z pieniędzmi. Dziś najważniejsza bitwa toczy sie o bezpieczeństwo naszych danych. Złodzieje tożsamości chcą szpiegować nasze smartfony, laptopy, komputery. Jeśli uda im się skompletować dane o naszej tożsamości, używają ich niczym „cyfrowego klucza” do naszych pieniędzy w bankach bądź do wyłudzenia kredytów. Jak się bronić?
- Bezpieczna szkoła i bezpieczne dziecko w sieci, czyli czego nie robić, by nie „sprzedawać” swoich dzieci w internecie? [POWERED BY BNP PARIBAS]
- Wybory w USA: branża krypto wstrzymała oddech. W świecie finansów to ona ma najwięcej do ugrania. Po wyborach nowe otwarcie? [POWERED BY QUARK]
- Pieniądze w rodzinie, jak o nich rozmawiać, żeby nie było niemiło? Natalia Tur i Maciej Samcik [POWERED BY BNP PARIBAS / MISJA OSZCZĘDZANIE]
Prezes Apple’a Tim Cook powiedział, że w smartfonie jest więcej informacji o jego użytkowniku niż w mieszkaniu. O mieszkanie dbamy jak o skarbiec – mamy potrójne zasuwy, instalujemy drzwi przeciwwłamaniowe, mamy monitoring, ochronę i bramy na kod. Włamanie do naszego komputera często jest łatwiejsze, niż splądrowanie mieszkania. I można w nim więcej znaleźć: e-maile, hasła, prywatne zdjęcia…
Wielu z nas jeszcze nie jest przystosowanych do tej ery. Nie mamy nawyku dbania o dane, chronienia informacji na nasz temat, a przede wszystkim – nie wykorzystujemy narzędzi, które stanowią system wczesnego ostrzegania o tym, że ktoś zasadza się na nasze pieniądze. Dziś opowiemy o tych narzędziach i doradzimy jak ich używać.
W świecie wirtualnym trwa cyberwojna o nasze dane
Sieci komputerowe są nieustannie celem ataków. Kto atakuje? Hakerzy-amatorzy, hakerzy-zawodowcy działający na zlecenie, cyberjednostki służb specjalnych obcych państw… Wiadomo, że swoje brygady hakerów ma Korea Północna, czy Rosja.
Praktycznie nie ma tygodnia, by jakaś duża baza danych o klientach nie wyciekała do sieci. Ostatnio trafiło się to klientom właściciela luksusowych hoteli Starwood (należą do niej m.in. hotele Sheraton i Marriott, także w Polsce), a nieco wcześniej, na przełomie września i października, ofiarą cyberprzestępców padli użytkownicy Facebooka (ktoś mógł przejąć zawartość profili 50 mln osób). Ze społecznościowych profili ludzi można wycisnąć mnóstwo informacji ułatwiających sklonowanie ich tożsamości. A w konsekwencji – wyłudzenia na ich dane pieniędzy np. z firm pożyczkowych.
Najgłośniejszy taki atak na polski system informatyczny miał miejsce na początku 2017 r., a źródłem infekcji okazała się strona internetowa Komisji Nadzoru Finansowego, na której ktoś umieścił złośliwe oprogramowanie. Pracownicy banków – niczym nieświadome zagrożenia antylopy, które chciały czerpać wodę ze źródła (czyli wiedzę dot. regulacji bankowych ze strony KNF) – ułatwiali „przeskakiwanie” wirusa na ich komputery, a potem na inne komputery w sieciach banków.
Nie przegap nowych tekstów z „Subiektywnie o finansach”, zapisz się na mój newsletter i bądźmy w kontakcie!
Przeczytaj też: Gdy bank prosi cię o wysłanie e-mailem skanu dowodu osobistego. Czy możesz zamazać niektóre dane?
Cyberjednostki na straży naszych danych. I pieniędzy
Firmy, które zarządzają naszymi danymi, stworzyły kilka technologicznych linii obrony. Pierwszy to działający pod auspicjami NASK (Naukowej i Akademickiej Sieci Komputerowej) zespół CERT, który ma reagować na zdarzenia naruszające bezpieczeństwo w sieci. Do zadań CERT należy m.in.:
- rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo,
- alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń.
Własny parasol ochronny nad siecią rozstawiły banki – System Wymiany Ostrzeżeń o Zagrożeniach, w skrócie SWOZ. Dostęp do niego mają tylko wytypowane osoby pracujące w bankowych departamentach bezpieczeństwa, dzięki czemu zwiększona jest poufność nie tylko przechowywanych informacji, ale też ograniczono ryzyko wypływu na zewnątrz cennych informacji. Do zadań jednostki SWOZ należy:
- analiza schematów oszustwa popełnianych w sektorze bankowym,
- wykrywanie konkretnych przestępstw,
- śledzenie międzynarodowego terroryzmu.
Higiena ochrony danych: jak chronić dowód osobisty, kartę i tożsamość?
Ale żaden system nie zwalnia nas z pilnowania danych i pieniędzy w świecie cyfrowym na własną rękę. Niestety, najsłabszym ogniwem w systemach zabezpieczeń zwykle okazuje się człowiek. Poniżej kilka uniwersalnych zasad ochrony naszych danych: zarówno te elektroniczne, jak i te na nośnikach – na karcie płatniczej, czy dowodzie osobistym. Pisaliśmy o nich w tym tekście: „Złodzieje naszych danych grasują. Oto siedem sposobów jak się przed nimi chronić. I dwa pomysły na skuteczny „kontrwywiad”, ale warto je przypomnieć:
- Pilnuj dowodu osobistego. Pozwalaj kserować tylko wiarygodnym instytucjom, nie zostawiaj nikomu w zastaw. Jeśli musisz zostawić skan lub ksero dowodu, to zamaż niektóre dane,
- Nie dawaj nikomu do ręki karty płatniczej,
- Przelewem weryfikacyjnym potwierdzaj tożsamość tylko wiarygodnym firmom,
- Uważaj na otwarte sieci wi-fi, nie korzystaj z nich jeśli logujesz się do banku,
- Nie klikaj w „linki do płatności” przesłane przez e-mail lub SMS-em,
- Nie otwieraj załączników do e-maili od nieznanych osób (zwłaszcza innych niż w formacie .pdf),
- Pilnuj sterylności komputera i smartfona (miej aktualne oprogramowanie antywirusowe).
Smartfon, czyli wrota do danych na nasz temat. Jak przykręcić kurek?
Wrotami do bezpieczeństwa naszych danych jest nasz sprzęt elektroniczny. 75% z nas korzysta ze smartfonów by stale łączyć się z internetem. Liczba informacji, które gromadzą na nasz temat smarfony, jest ogromna. Producenci sprzętu, aplikacji, które instalujemy w smartfonach, firmy telekomunikacyjne dostarczające nam internet wiedzą gdzie, o której godzinie i do jakich sklepów wchodzimy (dzięki temu, że telefony szukają sieci wi-fi i logują się np. w salonie danej marki odzieżowej), śledzą nas na festiwalach muzycznych, konferencjach, czy w pracy.
Dzięki temu jedna z firm poznała szczegółowe dane prawie 120.000 imprezowiczów Open’era, którzy zainstalowali festiwalową apkę. Firma dowiedziała ile w tym tłumie było kobiet, mężczyzn, rodziców, a nawet mniejszości – wszystkie te dane można wyciągnąć z zainstalowanych na telefonie aplikacji. Dane oczywiście były zanonimizowane, to znaczy nie dałoby się przyporządkować rekordów z danego telefonu do Jana Kowalskiego, czy Marysi Nowak, ale i tak po skórze przechodzą dreszcze.
Niestety, nawet aplikacje dostępne w oficjalnych sklepach mobilnych Google Play mogą naruszać naszą prywatność albo stosować nieuczciwe triki. Google dopiero niedawno wyrzucił ze swojego sklepu aplikacje, które wykorzystywały niedozwolone trackingowe kody reklamowe.
Jaki z tego wniosek? Nie traktujmy naszych smartfonów jak „śmietników z aplikacjami”, na których lądują rzeczy od niesprawdzonych, nieznanych nam producentów oprogramowania. Jeśli już mamy zainstalowaną jakąś aplikację, to sprawdźmy jakie dane o nas zbiera (w ustawieniach telefonu, w sekcji „prywatność” wszystko jest wyszczególnione, możemy odwołać zgodę na śledzenie nas przez daną aplikację albo na udostępnianie jej naszych kontaktów w telefonie).
Korzystając ze smartfona nie unikniemy geolokalizacji przez operatora sieci telekomunikacyjnej, ale im rzadziej będziemy korzystali z publicznych sieci wi-fi, tym mniej naszych danych wyjdzie poza telekom. Do banku, czy nawet do e-maila nie logujmy się z publicznej sieci wi-fi – jeśli z niej korzystamy, to najwyżej do przeglądania ogólnodostępnych stron w internecie.
Czytaj też: Wynajmujesz mieszkanie i płacisz rzetelnie czynsz? Oni dają za to nagrody. I punkty do kredytu!
Zapora dla złodzieja – hasło do aplikacji i katalogów, w których przechowujemy cyfrowe dane
Generalnie wyścig technologiczny w ochronie danych osobowych przypomina próbę otwarcia sejfu – każdy sejf i szyfr można złamać, pytanie tylko ile czasu to zajmie złodziejowi i ile będzie go kosztowało pieniędzy oraz jakie ryzyko za sobą pociągnie.
Na pierwszej linii jest ustawienie hasła do wszystkich sprzętów i miejsc, w których przechowujemy nasze dane w wersji cyfrowej. Czasem stosowana jest już autoryzacja biometryczna (skanowanie palca, układu naczyń krwionośnych lub twarzy) lub dwuskładnikowa – login i hasło plus kod przesłany SMS-em albo wyświetlony w aplikacji na smartfonie. Ta ostatnia opcja jest najbezpieczniejsza – złodziej naszych danych musiałby nie tylko poznać login i hasło, ale i mieć w ręku urządzenie, na które zostało przesłane jednorazowe hasło.
Jest kilka uniwersalnych zasad, żeby zwiększyć technologiczną ochronę danych poprzez dobór odpowiednio skomplikowanego hasła do programów, aplikacji, katalogów lub specjalnych „wirtualnych kontenerów” na smartfonach, w których przechowujemy te dane.
Nieprzypadkowo np. banki proszą o wymyślenie hasła składającego się z co najmniej 8 znaków, w tym dużej i małej litery (a czasem i cyfry oraz znaku specjalnego, czyli „&, %, $, # albo czegoś w tym rodzaju). Niestety, mamy tendencję do upraszczania sobie życia – wybieramy nazwy miejsc, imiona, daty, jakieś charakterystyczne słowa. Programy łamiące szyfry w pierwszej kolejności sprawdzają kombinacje wyrazów z powtarzającymi się cyframi. Jeśli chcemy zwiększyć bezpieczeństwo hasła, należałoby się trzymać kilku zasad:
- im dłuższe hasło, tym jest bezpieczniejsze. Hasła sześcioznakowe są dyskwalifikujące, bo są za krótkie i za łatwo je złamać. Absolutne minimum to 8 znaków, a najlepiej 10.
- jak najwięcej różnych znaków w haśle – czyli jeśli to możliwe nie tylko cyfry, małe i wielkie litery, ale też wszelkie znaki jakie możemy znaleźć na klawiaturze: %#<>{}><
- unikanie wyrazów, które możemy znaleźć w słowniku: imion, nazw geograficznych, czegokolwiek
- unikanie haseł składających się z sąsiadujących na klawiaturze z klawiszy: QwErtY, czy PoIuY, choć na pierwszy rzut oka wygląda skomplikowanie, to przecież wpisane po kolei przyciski na klawiaturze.
Przykładowo hasło składające się z samych liter i cyfr,dla przeciętnego programu do odgadywania haseł to kilka sekund „roboty” i sezam jest otwarty. Dla porównania hasło, które wygląda tak: „R8#h81o!” odpowiednio wydajny komputer może złamać w 8 godzin. Ale wystarczy dodać jeden znak i z 8 godzin robi się jeden miesiąc.
Nieprzypadkowo w wielu firmach jest obowiązek zmieniania hasła na nowe, równie silne co 30 dni. Właśnie po to, by nie dać szansy jakiemuś zdeterminowanemu hakerowi na dokonanie włamu, bo po zmianie hasła będzie musiał swoją robotę zaczynać od zera. I nigdy tej roboty nie skończy.
Przeczytaj też: Koniec ze skanowaniem dowodów w bankach? Pokaż dokument w kamerce, a sprawdzą cię biometrią
Jakie narzędzia mogą nam pomóc w walce z ochroną danych osobowych?
Z danych Komendy Głównej Policji za rok 2018 wynika, że przypadków posługiwania się czyimś dokumentem było 7951. W 2014 r. było ich 13.417. W tym przypadku statystyki na szczęście maleją.
Ale jeśli chodzi o fałszerstwa dokumentów lub wyłudzenia pieniędzy, – liczby są wysokie. Z art. 270 § 1 Kodeksu karnego (fałszerstwo dokumentu lub używanie go za autentyczny) w 2018 r. było takich przestępstw 21.861. Z kolei z art. 286 § 1 (oszustwo lub wyłudzenie) mamy w 2018 r. aż 103.033 przypadków, gdy w 2016 r. było 100.529.
Czytaj więcej na ten temat: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… To wszystko można stracić i bywa to groźniejsze, niż kradzież pieniędzy. Czym jest kradzież tożsamości i jak się przed nią obronić?
Wszystkie teksty na temat ochrony tożsamości: znajdziesz na stronie cyklu edukacyjnego “Chroń swoje dane”. Zapraszam do jej odwiedzenia!
Jeśli nasz dowód „wypłynie na mieście”, to z prawdopodobieństwem graniczącym z pewnością można założyć, że ktoś prędzej czy później posłuży się nim, by na nasze dane zaciągnąć zobowiązanie.
W tym przypadku może pomóc m.in. utworzone zawczasu darmowe konto w Biurze Infirnacji Kredytowej. Jeśli utracimy dokument, zgubimy go lub co gorsza podejrzewamy, że ktoś nam go ukradł – trzeba go natychmiast zastrzec. Zakładając konto na www.bik.pl automatycznie otwieramy sobie możliwość zastrzeżenia dokumentu tożsamości. Nie trzeba tej usługi w żaden sposób specjalnie aktywować.
Bywa, że nie mamy pojęcia o tym, że ktoś wyłudza kredyt na nasze dane. Dowód może spokojnie leżeć w naszej torbie czy portfelu, podczas gdy złodziej mógł w inny sposób wejść w posiadanie naszych danych tożsamości.
Z pomocą przychodzi inna usługa Biura Informacji Kredytowej dostępna dla każdego konsumenta – Alerty BIK. Automatycznie nas ona powiadomi SMS-em lub mailem za każdym razem, gdy zostanie złożony wniosek o kredyt lub pożyczkę na nasze dane. Za 2 zł miesięcznie mamy ochronę, która pomaga w walce z wyłudzeniem kredytu. Można ją zamówić pod tym adresem.
A kiedy dostaniemy już SMS-a ostrzegającego o tym, że bank lub firma pożyczkowa zapytała bazę BIK o naszą wiarygodność w związku z wnioskiem kredytowym – a akurat nie staramy się o kredyt – to jak najszybciej kontaktujmy się z BIK, który dalej pokieruje nas, jak wyjaśnić sprawę.
Tutaj: więcej o usłudze Alerty BIK
Partnerem merytorycznym akcji edukacyjnej „Chroń swoje dane” jest Biuro Informacji Kredytowej. Partnerem medialnym akcji jest portal Gazeta.pl