Kradzieże tożsamości coraz groźniejsze

Data: 23 grudnia 2011 | Autor: | Brak komentarzy »

Nie da się ukryć, że przeważająca część moich wpisów dotyczy zdarzeń ze Stanów Zjednoczonych, ale po pierwsze tamtejszy „rynek antyfraudowy” jest najbardziej dojrzały, zatem zdarzeń wykrywa się i opisuje najwięcej, a po drugie – z dużą pewnością należy założyć, że podobne lub identyczne wypadki pojawią się raczej wcześniej niż później także u nas. Lepiej zatem zapoznać się z nimi wyprzedzająco i być przygotowanym.

Dzisiaj informacja o wykrytej przez władze federalne grupie przestępczej, działającej w obszarze przestępczości finansowej oraz kradzieży tożsamości. Powszechnie kojarzy nam się to z zaciąganiem kredytów gotówkowych lub dokonywaniem zakupów ratalnych na relatywnie niewielkie kwoty, ale w tym przypadku w niecałe 1,5 roku przestępcom udało się uszczuplić konta swoich ofiar o ponad 2 miliony dolarów.

W zasadzie pierwsze spojrzenie na obszary działalności tej grupy, podane przez serwisy agencyjne, nasuwają skojarzenia raczej z praniem pieniędzy niż kradzieżą tożsamości. Podawane były mianowicie takie elementy jak wykorzystywanie „kretów” w bankach, współpracę z fundacjami dealerami luksusowych samochodów oraz firmami z branży obrotu nieruchomościami.

Jak pokazuje jednak rzeczywistość, wszystkie powyższe firmy zostały wykorzystane do kradzieży danych ich klientów – szacuje się, że łupem gangu padło ponad 200 kompletnych zestawów danych osobowych. Nie da się ukryć, że obszary, w którym funkcjonowały, praktycznie gwarantowały pozyskanie danych osób dobrze sytuowanych, które w skrajnych wypadkach mogły nawet nie zorientować się, że ich aktywa są uszczuplane bez ich wiedzy i zgody.

Zakrojone na szeroką skalę dochodzenie trwa nieprzerwanie od 18 miesięcy i nadal się nie zakończyło. Zakres stosowanych środków – z pewnymi ograniczeniami – stanowi dobrą ilustrację sytuacji, w jakiej znajduje się praktycznie każda osoba, postawiona przed zadaniem przeprowadzenia postępowania wyjaśniającego w sprawie o potencjalne nadużycie. Wykorzystywane są bowiem w tej sprawie takie narzędzia jak informatyka śledcza, przesłuchania, analiza historii rachunków bankowych i kart kredytowych, analiza bilingów telefonicznych, a także rzeczy raczej nie znajdujące zastosowania w wewnętrznych postępowaniach korporacyjnych, tj. podsłuchy oraz śledzenie podejrzanych.

Powodem, dla którego opisuję tę konkretną sprawę, jest chęć zwrócenia uwagi Czytelników na problem kradzieży tożsamości. Nie jest to jeszcze rozpowszechnione przestępstwo w naszym kraju, ale występuje coraz częściej i jest coraz lepiej przygotowane. O ile można śmiało powiedzieć, że dane osobowe i finansowe w Stanach Zjednoczonych są znacznie łatwiej dostępne dla zainteresowanych osób niż w Polsce, to należy pamiętać, że nie jest to na rodzimym gruncie przeszkoda nie do obejścia – a podstawową metodą na to jest zastosowane w opisywanej sprawie wykorzystanie „insiderów” pracujących w instytucjach, które takie dane posiadają. Ma to także tę dobrą stronę dla przestępców, że dostęp do dużych grup takich danych pozwala na wybranie spośród nich do wykorzystania jedynie informacji o przyszłych ofiarach, których wykorzystanie przyniesie największe zyski.

Trzeba pamiętać, że informacje, które pozwalają wykorzystać naszą tożsamość do nadużycia, są dostępne w coraz większej liczbie instytucji, co gorsza – instytucje te wiedzą o nas coraz więcej, gromadząc szerokie informacje, nawet jeśli nie są one im w danym momencie potrzebne. Pamiętajmy, że nasz profil, który czyni nas interesującym dla złodzieja tożsamości wcale niekoniecznie musi znajdować się w zasobach banku czy innej instytucji finansowej. Patrząc przez pryzmat naszej potencjalnej wartości dla przestępców, należy pamiętać o bazach danych utrzymywanych przez pracodawców, sklepy (zwłaszcza te z wyższej półki), firmy telekomunikacyjne, firmy wysyłkowe, operatorów Internetu, operatorów programów lojalnościowych i wiele, wiele innych.
Odpowiedzialność za należytą ochronę tych danych spoczywa zarówno na firmie, której je powierzamy, jak i na nas samych. To, jak sami możemy ochronić swoje dane, jest raczej oczywiste, warto jednak zastanowić się, co mogą zrobić firmy w tym celu. Wprawdzie całkowite wyeliminowanie kradzieży danych osobowych jest praktycznie niemożliwe, ale przetwarzające je firmy mogą zrobić wiele, aby to ryzyko zminimalizować, m.in.:

  • ograniczać dostęp do danych swoim pracownikom, bazując na zasadzie need-to-know;
  • ograniczać możliwości kopiowania, powielania, przegrywania itd. danych, np. przez wyłączanie obsługi portów USB, blokadę internetowych serwisów przechowywania plików, monitoring załączników poczty wychodzącej;
  • minimalizować ilość dokumentacji papierowej, którą można skopiować i/lub wynieść firmy, a jeśli taka forma dokumentacji jest niezbędna – digitalizację jak największej jej ilości;
  • szyfrować dane w komputerach służbowych, serwerach i na wykorzystywanych nośnikach – tak dane bieżące, jak i kopie zapasowe;
  • dokładnie sprawdzać i weryfikować pracowników, którzy na co dzień mają stykać się z informacją wrażliwą;
  • wprowadzić klasyfikację informacji i związane z nią procedury bezpieczeństwa w stosunku do każdej z klas;
  • wprowadzić zasady skutecznego niszczenia dokumentacji i nośników informacji;
  • monitorować aktywność pracowników w systemach – do jakich informacji sięgają i czy ich zadania wymagają takiego dostępu, plus obowiązkowo wyjaśniać takie przypadki;
  • szkolić, uświadamiać i informować – żaden z mechanizmów ochronnych nie będzie skuteczny przy niedoinformowanych pracownikach.

Zalecenia te są na tyle uniwersalne, że pozwolą firmie zminimalizować ryzyko nie tylko wypływu informacji o jej cennych klientach, ale praktycznie każdego rodzaju danych.



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.