INFOTEL10/2011

www_bezpieczenstwoWiele osób rozpoczyna swój dzień w pracy od przyłożenia elektronicznej karty do specjalnego czytnika. Tego typu karty to także zyskujący na popularności sposób na zabezpieczenie dostępu do klatki schodowej czy garażu w budynku mieszkalnym. Niemal każdy nosi też w portfelu przynajmniej jedną kartę płatniczą czy kredytową. Oprócz tradycyjnych zagrożeń, związanych z fizyczną kradzieżą karty, obecnie pojawia się także nowe ryzyko.

Karty wydawane przez banki są coraz częściej wyposażone w moduł umożliwiający tak zwaną płatność zbliżeniową, bez podawania przez klienta pinu czy składania podpisu. Zaletą takiego rozwiązania jest wygoda i szybkość dokonywania transakcji bezgotówkowych, a wadą – niemałe ryzyko zostania ofiarą złodzieja naszych danych. Banki, zainteresowane zwiększeniem sprzedaży kart zbliżeniowych, niechętnie mówią o ryzyku związanym z ich stosowaniem oraz poświęcają zbyt mało czasu na edukację swoich klientów. Co gorsza, z usługi płatności zbliżeniowych trudno zrezygnować. Niedawno jeden z największych polskich banków rozpoczął wymianę wszystkich kart bankomatowych swoich klientów na karty zbliżeniowe. Klienci skarżą się, że nie mogą ani wyłączyć funkcji płatności zbliżeniowej, ani zmniejszyć limitu na transakcje dokonywane w ten sposób. Posiadacze kart obawiają się, że osoby niepowołane mogą dokonywać nieautoryzowanych transakcji na kwoty do 50 zł (limit ustalony przez bank).

Rośnie liczba transakcji kartami zbliżeniowymi
(miliony transakcji)		 Zwiększa się łączna wartość transakcji kartami zbliżeniowymi*
(w mln zł)

id_block_4
Źródło: Bankier.pl, * szacunki na podstawie danych zebranych od banków

Rośnie także zagrożenie związane z coraz popularniejszymi kartami dostępu, stosowanymi czy to w miejscu pracy, czy też w budynkach mieszkalnych. Sklonowanie takiej karty powoduje, że złodziej może dokonać przestępstwa posługując się naszymi personaliami. W takim przypadku, gdy w nocy z biura znikną komputery czy kserokopiarki, w systemie kontroli dostępu będą zapisane nasze dane osobowe. Tym samym osoba, która padła ofiarą klonowania danych osobowych, musi udowodnić, że nie jest złodziejem. Zagrożenie jest na tyle poważne, że jeden z producentów kart tego typu, które są stosowane również w Polsce, chciał sądowego zakazu publikacji informacji o zagrożeniach związanych z ich używaniem.

Nasze dane osobowe to atrakcyjny cel dla złodzieja

Kradzież personaliów i klonowanie danych osobowych to przestępstwa z historią, która rozpoczęła się na długo przed wynalezieniem Internetu, kart płatniczych czy elektronicznych kart dostępu do budynków. Fałszerze personaliów wchodzili w posiadanie wrażliwych informacji, na przykład wydobywając z przydomowych śmietników nieopatrznie wyrzucone wydruki dokumentów urzędowych, wyciągi bankowe, billingi telefoniczne, czy wręcz – całe dokumenty, takie jak dowód osobisty czy prawo jazdy. Zdarzało się też, że złodziej danych osobowych dzwonił do swojej ofiary i podając się za pracownika banku czy firmy telekomunikacyjnej, prosił o podanie dokładnych danych osobowych.

Nasze personalia nie zawsze są należycie chronione przez firmy, którym je powierzyliśmy. Pod koniec 2010 r. na jednym ze śmietników w Grudziądzu znaleziono dane klientów firmy zajmującej się zarządzaniem nieruchomościami. Były wśród nich rachunki z pełnymi danymi adresowymi właścicieli mieszkań i numerami ich kont bankowych, faktury, a nawet listy osób ociągających się z regulowaniem opłat. W połowie bieżącego roku mieszkaniec Rybnika znalazł w śmietniku teczkę z danymi osobowymi klientów jednego z salonów samochodowych.

Zdobycie naszych danych osobowych to dla fałszerza prawdziwa gratka. Dzięki nim może sklonować nasze personalia, tworząc dokumenty wyglądające wiarygodnie dla banku, firmy zajmującej się sprzedażą ratalną czy dla serwisu aukcji internetowych. Posługując się naszymi personaliami złodziej może wyłudzić kredyt z banku czy drogi aparat telefoniczny od sieci komórkowej. Zyskując dostęp do danych osobowych, przestępca często wchodzi także w posiadanie informacji o naszym stanie majątkowym (mieszkanie, samochód, wydatki na zakupy itp.), a także o naszych zwyczajach (np. w jakich godzinach nie ma nas w domu). Znacznie ułatwia to dokonanie przestępstwa.

Konsekwencje kradzieży personaliów mogą być katastrofalne, tym bardziej, że często odkrywamy je długo po kradzieży. Dane prezentowane przez amerykańską organizację pozarządową Identity Theft Resource Center (ITRC), monitorującą tematykę kradzieży personaliów, każą traktować zagrożenie wyjątkowo poważnie:

  • Najczęściej popełniane przestępstwo z wykorzystaniem skradzionych danych osobowych to zaciągnięcie kredytu w banku (55 proc. analizowanych przypadków). To przestępstwo popularniejsze nawet niż zakupy dokonane na fizycznie skradzioną kartę płatniczą (34 proc.).
  • Aż 55 proc. ofiar odkrywa fakt kradzieży personaliów w okresie powyżej trzech miesięcy od jego zaistnienia.
  • Likwidowanie skutków przestępstwa jest wyjątkowo kosztowne i czasochłonne. Średni koszt tej operacji to 1693 zł (527$). Czas konieczny na wyjaśnienie sytuacji (kontakty z policją, urzędami, instytucją finansową, dojazdy itp.) to średnio 68 godzin, a w przypadku szczególnie skomplikowanych przestępstw – nawet 141 godzin.
  • 53 proc. ofiar kradzieży personaliów przebadanych przez ITRC, miało później problemy z uzyskaniem kredytów, a 3 proc. straciło pracę.
  • Aż 63 proc. badanych nie ma pojęcia, kto mógł się dopuścić kradzieży. Jedynie 24 proc. jest w stanie przekazać policji wskazówki ułatwiające identyfikację sprawcy.
  • Osoba, której skradziono personalia, ponosi nie tylko koszty finansowe, ale też psychiczne. Aż 37 proc. przebadanych przez ITRC podkreśla, że ich rodziny spotkał znaczny stres związany z kradzieżą. 22 proc. badanych skarżyło się także na brak zrozumienia konsekwencji tego wyrafinowanego przestępstwa ze strony otoczenia.
  • Jak zauważają autorzy raportu, choć problem kradzieży danych osobowych jest często obecny w mediach, to większość konsumentów jest przekonana, że problem ich nie dotyczy. Tym większy jest więc szok i niedowierzanie, gdy to przestępstwo ich dotknie.

Źródło: ITRC -Victim Aftermath Study

Rodzaje przestępstw z wykorzystaniem sklonowanej tożsamości* (w proc.)

id_block_5
* Finansowe (74 proc.) – wyłudzenia kredytów, zakupy na konto ofiary; Kryminalne (2 proc.) – wyłudzenie dokumentów, np. prawa jazdy, uniknięcie aresztu itd.; Defraudacje (6 proc.) – wyłudzenia środków z urzędu skarbowego, z ZUS itp.; Kryminalne i Finansowe – dwa rodzaje przestępstw przy wykorzystaniu tych samych personaliów

Źródło: ITRC -Victim Aftermath Study
Po jakim czasie zorientowałeś(-aś) się, że zostały ci skradzione personalia?

id_block_6
Źródło: ITRC -Victim Aftermath Study
Naukowcy ostrzegają: paszporty można łatwo sklonować

Rozwój techniki przynosi wciąż nowe zagrożenia dla danych osobowych. Wydawane w Polsce paszporty zawierają elektroniczny element, na którym zapisane są nasze dane osobowe, zdjęcie, a nawet odcisk palca. Podobne rozwiązanie znajdzie się także w dowodach osobistych, które będą wydawane już za dwa lata. Na ogromne ryzyko związane z kradzieżą informacji zapisanych w paszportach wskazuje FIDIS (Future of Identity in the Information Society), konsorcjum europejskich uczelni (m.in. politechniki z Berlina i Drezna, a także London School of Economics and Political Science) oraz tak znanych firm, jak IBM czy Microsoft. Finansowana z funduszy Unii Europejskiej organizacja wskazuje, że paszporty wydawane obecnie w państwach Unii, a więc także w Polsce, są szczególnie narażone na atak ze strony złodziei danych osobowych. Badania przeprowadzone przez ekspertów FIDIS wykazały, że dane osobowe zapisane w paszportach mogą być odczytane bez naszej wiedzy z odległości nawet 10 metrów. W tzw. Deklaracji Budapesztańskiej badacze wymieniają następujące zarzuty wobec obecnie stosowanych w UE paszportów:

  • Nasze dane osobowe są zapisane bezterminowo. Nie można ich anulować, więc raz sklonowane, złodziej może wykorzystywać praktycznie bez ograniczeń.
  • Paszporty są bardzo słabo zabezpieczone przed kopiowaniem danych, w tym – przed kopiowaniem na odległość.
  • Możliwość zdalnego odczytania personaliów zapisanych w paszportach powoduje ryzyko wykorzystania ich przez osoby niepowołane.
  • Jeśli poziom zabezpieczeń się nie poprawi, w przyszłości można wyobrazić sobie nawet jeszcze bardziej pesymistyczne scenariusze, takie jak np. elektroniczne śledzenie osoby noszącej przy sobie biometryczny paszport czy dowód osobisty.

Wśród rekomendacji wydanych przez FIDIS rządom państw członkowskich UE znalazło się na przykład zalecenie opracowania procedur postępowania na wypadek sklonowania danych osobowych, edukacji obywateli w zakresie ryzyka związanego z posługiwaniem się tego typu dokumentami, a także opracowania lepszych sposobów ochrony dokumentów. Zalecenia te jednak jak dotychczas nie zostały wprowadzone w życie.

Słabe zabezpieczenie obecnie stosowanych paszportów potwierdza nawet oficjalnie ich producent, Polska Wytwórnia Papierów Wartościowych SA (PWPW). „Faktem jest, że podstawowa kontrola dostępu, jaką zastosowano w paszportach UE, nie jest silnym zabezpieczeniem” – czytamy w wydawanym przez PWPW kwartalniku „Człowiek i dokumenty”. Jak przyznaje autor artykułu, sklonowanie naszych danych osobowych jest możliwe już dziś, choć wymaga zastosowania skomplikowanej techniki komputerowej. Biorąc jednak pod uwagę szybki postęp w tej dziedzinie, możemy się spodziewać, że złodzieje danych osobowych już wkrótce zyskają łatwy dostęp do narzędzi służących do klonowania danych osobowych z paszportów lub innych dokumentów.

ID Block chroni przed kradzieżą danych

id_block_1Piotr Nawrocki, przedsiębiorca z Inowrocławia, wprowadził na rynek innowacyjne zabezpieczenie dla dokumentów i kart zbliżeniowych. Trafił w dobry moment, bo jest ich w Polsce coraz więcej. Samych paszportów wykorzystujących technologię RFID mamy już ponad 6 milionów, a to nie jedyne jej zastosowanie. Produkty ID Block są już dostępne w sprzedaży internetowej na stronie IDBlock.pl, wkrótce pojawią się też w sklepach.

Z przeprowadzonych w minionym tygodniu przez Pentor badań wynika, że ponad połowa Polaków nie słyszała o kartach i dokumentach zbliżeniowych. Tymczasem posiadają już oni ponad 6 milionów paszportów biometrycznych wykorzystujących tę technologię, a do końca roku w obiegu w naszym kraju ma być już 10 milionów zbliżeniowych kart płatniczych (raport POLASIK Research). Do tego należy doliczyć setki tysięcy kart miejskich, elektronicznych legitymacji studenckich oraz niemożliwe do policzenia karty systemów kontroli dostępu. Te ostatnie stosowane są zarówno przez firmy i instytucje publiczne (urzędy, biurowce, budynki produkcyjne), jak i osoby prywatne (wspólnoty mieszkaniowe). Wyniki badań wskazują więc, że wielu użytkowników może nawet nie wiedzieć, co noszą w portfelu.

Nasza prywatność i dane osobowe są dziś narażone na kradzież jak jeszcze nigdy wcześniej, a złodzieje personaliów sięgają po coraz bardziej wyrafinowane metody. Już nie muszą ryzykować wyciągania portfela z kieszeni czy torby. Zamiast tego mogą sklonować nasze dane osobowe i finansowe na odległość. Dlatego warto chronić prywatność i informacje zgromadzone w dokumentach, na kartach płatniczych i kartach dostępowych. ID Block to rozwiązanie, które skutecznie blokuje przepływ fal radiowych, uniemożliwiając kradzież wrażliwych danych. ID Block dostępny jest w różnych rozmiarach, zapewniających ochronę pojedynczego dokumentu, na przykład paszportu, albo całego kompletu najważniejszych dokumentów, kart płatniczych oraz dostępowych. Zastosowane w ID Block rozwiązanie gwarantuje, że osoby niepowołane nie sklonują naszych danych, a tym samym radykalnie ogranicza ryzyko dokonania przestępstwa z ich udziałem. ◊