Jeśli chodzi o bezpieczeństwo danych osobowych, najsłabszy element to tzw. czynnik ludzki. Człowiekowi zdarza się zapomnieć, z pośpiechu, świadomie bądź nieświadomie obejść obowiązujące procedury czy odruchowo kliknąć w podejrzany link, umożliwiając cyberprzestępcom przeprowadzenie ataku i kradzież danych wrażliwych. Od miesiąca obowiązują przepisy, które mają zwiększyć ochronę przed takimi nadużyciami.
Kradzież danych często służy do wyłudzania środków finansowych, np. poprzez zaciągnięcie kredytu czy pożyczki na inną osobę lub sprzedaż nieruchomości bez wiedzy i zgody właściciela. Skradziona tożsamość może również posłużyć przestępcy do tzw. SIM swappingu, czyli wyrobienia duplikatu karty SIM i używania jej do autoryzowania oszukańczych transakcji, np. w bankowości elektronicznej. W jaki sposób sprawdzić czy ktoś wykorzystał nasze dane? Jak i gdzie zgłosić takie zdarzenie? Ile trwa procedura weryfikacyjna?
Powstanie rejestr zastrzeżeń
Ma powstać Rejestr zastrzeżeń numerów PESEL prowadzony w systemie teleinformatycznym, w którym gromadzone będą dane o numerze PESEL, tj. zastrzeżeniu i cofnięciu jego zastrzeżenia, dacie takich zdarzeń oraz o organie je rejestrującym. Ustawa nakłada na notariuszy, banki, instytucje kredytowe, dostawców publicznie dostępnych usług telekomunikacyjnych, spółdzielcze kasy oszczędnościowo-kredytowe czy kredytodawców obowiązek weryfikacji zastrzeżenia numeru PESEL klienta, który chce skorzystać z ich usług. Wymienione podmioty są zobowiązane odmówić obsłużenia osoby, której numer PESEL jest zastrzeżony.
* Wskazania nie sumują się do 100 proc., ponieważ można było udzielić więcej niż jednej odpowiedzi
Kradzież tożsamości w świetle prawa
Zgodnie z ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości z 14 grudnia 2018 roku poszkodowany, który padł ofiarą kradzieży tożsamości, powinien złożyć skargę do Urzędu Ochrony Danych Osobowych (UODO). Może się również zwrócić do sądu administracyjnego z żądaniem zadośćuczynienia (np. za opieszałość administratora danych osobowych) czy próbować wymóc ściganie przestępstwa określonego w Kodeksie karnym.
Podobne artykuły
Nie istnieją przepisy, które bezpośrednio dotyczą kradzieży tożsamości. Kodeks karny precyzuje jedynie podszywanie się pod kogoś dla uzyskania korzyści finansowych, bądź osobistych, bezprawne uzyskanie dostępu do systemu informatycznego lub stosowanie phishingu. Ze względu na rosnące statystyki wykrytych przestępstw w Internecie, wobec zjawiska kradzieży tożsamości stosuje się definicje pochodzące z Ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku. W 2022 roku powołano też do życia Centralne Biuro Zwalczania Cyberprzestępczości.
A zatem kradzież tożsamości w sieci to przede wszystkim nieuprawnione wykorzystanie danych osobowych. Przestępcy próbują przechwycić informacje dotyczące kont bankowych, loginów do odwiedzanych przez ofiarę portali, poczty elektronicznej czy instytucji finansowych (np. banków). Skradzione dane można wykorzystać do wyrządzenia szkody majątkowej, jak wyłudzenie kredytu, zakupy w sieci z użyciem karty kredytowej poszkodowanej osoby lub zmiany loginów do konta bankowego.
Jeżeli nie chodzi o pieniądze, to przestępstwo może polegać na zniszczeniu cudzego wizerunku lub dobrego imienia. Uporczywe nękanie innej osoby poprzez strony internetowe (czy to w formie pisemnej, czy przez zamieszczenie krępujących zdjęć) może wpłynąć na zdrowie psychiczne ofiary. Jeżeli pokrzywdzony targnie się na swoje życie, to sprawca podlega karze pozbawienia wolności od 2 do 12 lat.
* Wskazania nie sumują się do 100 proc., ponieważ można było udzielić więcej niż jednej odpowiedzi
Najczęstsze techniki wyłudzeń danych osobowych w internecie
Phishing
Podszywanie się pod nadawców maili lub strony internetowe, by wykraść hasła, numery kart kredytowych, PESEL itd.
Spear phishing
Podanie się np. za właściciela mieszkania i wyłudzenie danych do fikcyjnej umowy, w celu zawarcia umowy najmu. Bardzo często oszuści próbują w ten sposób „ukraść” również dowód osobisty, a dokładniej zawarte w nim dane.
Spoofing
Udawanie przez cyberprzestępcę przedstawiciela banku, urzędu lub instytucji państwowej. Dla zmylenia fałszowane są adresy e-mail, numery telefonów, a nawet adresy IP. Najpopularniejszą metodą oszustów jest dzwonienie do ofiary, podawanie się za policjanta i proszenie o potwierdzenie danych osobowych (tzw. Caller ID Spoofing).
Malware
Instalowanie złośliwego oprogramowania szpiegowskiego (np. zainfekowanego załącznika e-maila), które pozwala przestępcy w nieuprawniony sposób pozyskać dane zbierane przez stronę internetową, portal itd.
Atak DDoS
Odmowa dostępu do używanych aplikacji i portali, aby wymusić zmianę danych, które monitorować będzie już wrogie oprogramowanie.
Hacking
Nielegalny dostęp do systemów teleinformatycznych – zazwyczaj w celu kradzieży danych osobowych w internecie, choć czasem może chodzić o uszkodzenie systemów.
Social engineering
Metoda oszustwa bazująca na autorytecie instytucji finansowej lub państwowej dla zmanipulowania ofiary i nakłonienia jej do przekazania poufnych informacji.
Wyciek danych
Nieautoryzowane ujawnienie poufnych informacji, które mogą wynikać z błędów w zabezpieczeniach, hakerstwa lub nielegalnej sprzedaży danych osobowych.
Tożsamość skradziona. Co dalej?
Jeśli jednak, pomimo zachowania wymienionych środków ostrożności, doszło do kradzieży danych osobowych, to wciąż istnieje jeszcze kilka innych możliwości zabezpieczenia własnego wizerunku i majątku. W przypadku kradzieży hasła dostępu, trzeba bezapelacyjnie zgłosić incydent administratorowi danych osobowych i wymóc na nim zastrzeżenie konta oraz zmianę hasła dostępu na nowe. Jeśli wykradzione hasło wykorzystuje się w innych portalach (np. społecznościowych), również zmieniamy je niezwłocznie.
Gdy utracimy dokumenty z numerami identyfikacyjnymi (np. PESEL, numer i seria dowodu osobistego), powinniśmy zgłosić ów fakt w dowolnym urzędzie gminy czy urzędzie miasta – internetowo lub osobiście. Urzędnik unieważni wówczas dowód, co powinno uniemożliwić używanie skradzionych danych. O zdarzeniu koniecznie muszą się też dowiedzieć organy ścigania. Można dopełnić tych formalności w dowolnym komisariacie. Funkcjonariusz poprosi o przedstawienie informacji uzasadniających zgłoszenie oraz o szczegółowy opis okoliczności w jakich doszło do kradzieży tożsamości w internecie. Wszystkie wymienione działania mają na celu zwiększenie szans na ujęcie cyberprzestępcy.
Świadomość cyberbezpieczeństwa w Polsce
Według CERT Polska, w 2022 roku odnotowano 322 479 incydentów związanych z cyberbezpieczeństwem. Niestety, mimo rosnącej świadomości, unikalność haseł użytkowników oraz stosowanie wiedzy w praktyce pozostawiają wiele do życzenia. Cykliczne raporty firmy Cisco wskazują, że nadal połowa pracowników omija zabezpieczenia firmowe przynajmniej raz w tygodniu. Oszust, który bezprawnie wejdzie w posiadanie danych osobowych innej osoby, a następnie wbrew jej woli za pomocą Internetu podejmie działania naruszające jej wizerunek, podlega karze pozbawienia wolności nawet do 12 lat.
Jak zapobiegać kradzieży tożsamości?
Używaj silnych haseł i zmieniaj je regularnie
- Korzystaj z managerów haseł czy kluczy uniwersalnych.
- Zrezygnuj z tych samych haseł do wszystkiego.
- Stosuj mocne hasła, które powinny zawierać duże i małe litery, znaki specjalne, cyfry i mieć co najmniej 12 znaków.
Używaj antywirusa
- Zawsze aktualizuj oprogramowanie, aby chronić się przed wirusami i atakami typu malware.
Uważaj na podejrzane wiadomości e-mail
- Sprawdzaj poprawną interpunkcję i pisownię polskich znaków – „ą”, „ę” czy „ó” (wiele wiadomości phishingowych nie radzi sobie z naszą gramatyką).
- Ustal czy adres e-mail jest zgodny z aliasem firmy, za którą się podaje i czy nadawca w ogóle istnieje.
- Zwróć uwagę o jakie dane cię proszą (urzędy administracji publicznej czy banki nigdy nie wnioskują o podanie w e-mailu danych osobowych, bądź przesłanie skanów lub zdjęć takich dokumentów, jak np. dowód osobisty).
- Prześwietl zamieszczone w wiadomości linki – zanim klikniesz, sprawdź ich źródło.
Ustaw dwuskładnikowe uwierzytelnianie
- Zabezpieczy to twoje konta w mediach społecznościowych i przeglądarkach internetowych.
Nie udostępniaj swoich danych osobowych w internecie
- Szczególnie pilnuj numeru PESEL, który jest głównym numerem identyfikacyjnym w Polsce.
- Powstrzymaj się od zamieszczania gdziekolwiek zdjęć dokumentów potwierdzających tożsamość, jak prawo jazdy czy paszport.
Unikaj publicznych sieci WiFi
- Szczególnie strzeż się sieci wymagających do odblokowania dostępu podania np. adresu e-mail czy innych danych.
- Dla zwiększenia bezpieczeństwa korzystaj z VPN, który szyfruje ruch internetowy użytkownika.
Monitoruj zabezpieczenie SSL na odwiedzanych stronach internetowych
- Sprawdź czy przed adresem URL znajduje się ikonka kłódki.
Zwróć uwagę na domenę odwiedzanych portali
- Zweryfikuj czy pomiędzy trzema ukośnikami „/” (czyli https://nazwa_strony.pl/) znajdują się właściwe nazwy firm i marek, ponieważ oszuści wykorzystują podobieństwo np. cyfry „0” z dużą literą „O” itp.
Skorzystaj z alertów BIK
- Otrzymuj na bieżąco powiadomienia w przypadku prób wyłudzenia kredytu, pożyczek czy nieudolnych kontroli twoich finansów.
Twórz kopie zapasowe plików
W przypadku wirusów przesyłanych pocztą elektroniczną ważne dokumenty nie zostaną wtedy zniszczone.
