Wyłudzenie danych przy użyciu RODO – jak zminimalizować ryzyko?

Świat cyfrowy stał się nieodłączną częścią naszego życia. Zapewne każda z Was korzysta regularnie z dostępu do sieci do celów zarówno zawodowych, jak i prywatnych. Czy tego chcemy, czy nie, Internet stał się naszym drugim domem. Miejscem, gdzie spędzamy czas wolny, gdzie pracujemy, gdzie załatwiamy większość naszych codziennych spraw. Niestety jest też miejscem, w którym cyberprzestępczość ma się świetnie. Ten rodzaj przestępczości stał się obecnie jednym z najbardziej opłacalnych, tym bardziej, że często sami nieświadomie ułatwiamy przestępcom pracę.

Jak się okazuje, cyberprzestępcy do swoich działań wykorzystują obowiązujące prawo oraz to, że my same chcąc go przestrzegać, zachowamy się w określony sposób. Doskonałym tego przykładem są przepisy RODO oraz wynikające z niego obowiązki administratora danych osobowych, dzięki którym możliwe jest wyłudzenie danych przez osoby nieuprawnione. Jest to zjawisko bardzo powszechne i może dotknąć również Ciebie. Co więcej, możesz być nieświadoma tego, że padłaś ofiarą przestępstwa.

Zapoznaj się z tym artykułem, a dowiesz się na czym dokładnie polega ten mechanizm działania cyberprzestępców oraz w jaki sposób możesz ograniczyć swoje ryzyko i na co zwracać szczególną uwagę.

punktor liść Jak to działa?

Cyberprzestępcy wykorzystują w tym celu art. 15 RODO o prawie do bycia poinformowanym, wysyłając do administratora danych osobowych żądanie o udzielenie informacji o przetwarzanych przez tego administratora danych, należących do konkretnej osoby. Problem polega jednak na tym, że osoba, która pyta (przestępca), nie jest faktycznie osobą, której to zapytanie dotyczy (osoba, której dane osobowe chce wyłudzić przestępca). Spróbuję wyjaśnić to na przykładzie.

Przykład:

Jesteś administratorką danych osobowych internetowego portalu, na którym masz również swój sklep online. Zbierasz więc dane klientów, które są niezbędne do przeprowadzenia procesu sprzedaży. Zazwyczaj są to: imię, nazwisko, adres e-mail, adres zamieszkania/adres wysyłki. Pewnego dnia dostajesz maila, w którym ktoś żąda informacji o wszystkich danych konkretnej osoby, które przetwarzasz. Pyta na jakiej podstawie to robisz, jaki jest cel itd. Jednym słowem prosi o udzielenie informacji zgodnie z art. 15 RODO. W mailu ta osoba podaje imię i nazwisko osoby, którą faktycznie masz w swojej bazie. Teoretycznie wszystko się zgadza. Przygotowujesz więc odpowiedź na to żądanie i wysyłasz wszystko, do czego zobowiązuje Cię RODO. W tym wszystkie dane osobowe tego klienta, łącznie z adresem pocztowym i e-mail. Czujesz ulgę, bo zrealizowałaś przecież swój obowiązek.

Tymczasem rzeczywistość może wyglądać nieco inaczej. Maila z żądaniem, którego otrzymałaś wysłał nie Twój klient, a osoba podająca się za niego. Przestępca wybrał sobie swoją „ofiarę” np. na Facebooku. Zobaczył, że polubiła fanpage Twojego sklepu. Słusznie założył, że w takim razie na pewno ta osoba coś kupiła w Twoim sklepie internetowym, więc musisz mieć jej dane. Wysłał więc maila z żądaniem, podpisując się imieniem i nazwiskiem Twojego klienta, a swojej ofiary. Wysłał jednak maila z innego adresu, niż ten w Twojej bazie danych, ale w treści adresu było imię i nazwisko, więc nie mogłaś podejrzewać, że to nieprawdziwy adres. Udostępniłaś więc nieświadomie nieznajomej osobie dużo danych osobowych swojego klienta, które mogą posłużyć przestępcy np. do kradzieży jego tożsamości. 

punktor liść Ja nigdy bym się na to nie nabrała…

Może Ci się wydawać, że nikt nie nabiera się na takie triki. Jeśli tak myślisz, to niestety jesteś w błędzie. Wyobraź sobie, że masz potwornie ciężki tydzień, dużo pracy, co chwila ktoś coś od Ciebie chce, być może masz home office w obecności małych dzieci. Jesteś zestresowana i masz już dość. Wtedy właśnie dostajesz maila z prośbą o udzielenie informacji o danych osobowych. To powoduje, że ciśnienie podnosi się jeszcze bardziej. Tak bardzo chcesz podejść do tego poważnie i profesjonalnie, że skupiasz się bardziej na ustaleniu wszystkich niezbędnych informacji i opracowaniu odpowiedzi na żądanie, niż na fakcie, że w zasadzie nie masz pewności kto do Ciebie napisał. Nie upewniasz się, że adres e-mail, z którego otrzymałaś wiadomość jest właściwy i identyczny, jak ten, który przetwarzasz, posiadając w swojej bazie klientów. Wysyłasz odpowiedź na żądanie, ujawniając wszystkie dane. Niestety w wyniku zmęczenia i stresu przeoczyłaś fakt, że w adresie e-mail, na który odpowiedziałaś jest literówka i niezauważalnie różni się od tego właściwego.

Właśnie ktoś wyłudził od Ciebie dane, które przetwarzasz… Nadal uważasz, że to nieprawdopodobne, aby dać się nabrać?

punktor liść Dobre procedury działania, to podstawa

Co można było zrobić w takiej sytuacji? Jak się zachować? Podstawą jest opracowanie swoich własnych, wewnętrznych procedur działania. Nie mówię tu o gigantycznym dokumencie, w którym opiszesz jak należy się zachować w każdej sytuacji, która przyjdzie Ci do głowy. Mam na myśli raczej niezbyt obszerną listę, gdzie w punktach wypiszesz kolejne kroki, które musisz zrealizować, gdy otrzymasz takiego maila z żądaniem.

Co więcej, taką listę kolejnych kroków powinien mieć każdy, kto z Tobą współpracuje, tym bardziej każdy, kogo upoważniłaś do dostępu do baz danych osobowych w Twojej firmie. Opisałam tu wyłudzenie, w którym to administrator pada ofiarą wyłudzenia, ale to dotyczy każdego pracownika bez wyjątku. Łącznie z osobą sprzątającą. Kluczem jest nieudostępnianie żadnych informacji nikomu, kto nie powinien takiej informacji otrzymać.

punktor liść Ostrożność i czujność

Jak powinna wyglądać taka lista kolejnych kroków dla administratora? Przede wszystkim powinna być odzwierciedleniem czujności i maksymalnej ostrożności. Nie musisz się śpieszyć. Nie bez powodu na odpowiedź na takie żądanie unijny prawodawca przewidział miesiąc.

Po drugie zwracaj uwagę na adres e-mail, z którego dostałaś tę wiadomość. Sprawdź czy nie zawiera literówek, dzięki którym do złudzenia przypomina adres e-mail osoby, której dane przestępca chce wyłudzić. Adres e-mail może mieć też podobną nazwę, ale funkcjonować w innej domenie niż adres, który masz w swojej bazie. Ponadto, nie daj się zwieść, że ten ktoś stracił dostęp do swojego poprzedniego konta, albo po prostu ma dwa adresy e-mail i z tego wygodniej mu pisać, ale zapytanie dotyczy jego drugiego adresu. Możesz więc odpisać na właściwy adres, zamiast na ten, z którego dostałaś pytanie.

Po trzecie, jeśli masz jakiekolwiek wątpliwości, zweryfikuj dodatkowo tożsamość tej osoby. Poproś o podanie dodatkowej informacji, która mogłaby świadczyć o tym, że korespondujesz z właściwą osobą. Pytanie może być zbliżone do tych, które otrzymujemy w przypadku rozmów telefonicznych z przedstawicielem naszego banku. Np. jaki produkt ostatnio ktoś kupił w Twoim sklepie, albo czy w ciągu ostatniego miesiąca ten ktoś kupił u Ciebie w sklepie X (tu wstaw nazwę tego produktu)?

punktor liść Weryfikacja tożsamości ma swoje granice

Oczywiście nie wszystkie zasady mają zastosowanie w każdym przypadku. Jeśli przetwarzasz wyłącznie dane, które służą do wysyłki Twojego newsletteru, to zapewne są to wyłącznie imiona i adresy e-mail Twoich odbiorców. Zatem jeśli ktoś wysyła do Ciebie adresu e-mail, który posiadasz, a do tego podpisze się właściwym imieniem, to tutaj możesz udzielić informacji, bez dodatkowej weryfikacji. Nie masz już więcej danych do sprawdzenia.

Podobnie jest w przypadku bazy klientów sklepu internetowego. Jeśli ktoś napisze do Ciebie z właściwego adresu e-mail i podpisze się prawidłowym imieniem i nazwiskiem, to teoretycznie jest to wystarczające. Tutaj, w razie wątpliwości, masz mimo wszystko jeszcze możliwość upewnienia się czy rozmawiasz z właściwą osobą.

punktor liść Szkolenie pracowników to konieczność

Na koniec najważniejsze, chociaż tak wielu pracodawców uważa to za zbędny koszt i stratę czasu. Mowa tutaj o szkoleniach dla pracowników. Nie wiem czy zdajesz sobie z tego sprawę, ale najsłabszym ogniwem bezpieczeństwa w firmie najczęściej są nieprzeszkoleni pracownicy. Skąd jednak mają mieć świadomość zagrożeń, jeśli nikt ich wcześniej nie uświadomi. Nie popełniaj tego błędu i zadbaj o to, aby Twoi pracownicy i współpracownicy wiedzieli gdzie leży niebezpieczeństwo, jak działają cyberprzestępcy i jak reagować, gdy zauważą coś niepokojącego.

Musisz mieć jednak świadomość, że te zasady nie wyeliminują ryzyka w 100%, ale z pewnością je ograniczą. Najważniejsza jest świadomość zagrożeń, bo tylko wtedy możemy im zapobiegać, a gdy się wydarzą, reagować na nie.

Gdybyś miała jakieś pytania związane z tematem bezpieczeństwa w sieci, to napisz je w komentarzu pod artykułem lub bezpośrednio do mnie na adres kontakt@poprawniewsieci.pl

Karo

Zobacz też:
Obowiązek informacyjny administratorów danych osobowych – kiedy i jak powinnaś go realizować
Krótki przewodnik po klauzuli informacyjnej

Dodaj komentarz