Proč bychom si měli hlídat svoje osobní data: 1. díl I běžné osobní údaje mohou stačit k podvodu
Často se setkávám s mýtem, že běžný člověk nemusí svoje osobní data příliš hlídat. Kdo není slavný, bohatý nebo veřejně známý, prý nepředstavuje zajímavý cíl. Bohužel právě tenhle omyl vystavuje riziku velké množství lidí — a s rostoucím počtem on-line služeb i schopnostmi umělé inteligence se bude toto riziko dál zvyšovat.
Tento článek je prvním ze série, kde se podíváme na to, proč má smysl chránit si vlastní data i v situacích, které působí úplně nevinně. Chci na konkrétních příkladech ukázat, že podobné věci se skutečně dějí a že často začínají docela obyčejně.
Začneme u údajů, které většina lidí nepovažuje za nijak zvlášť nebezpečné. Jméno, datum narození, obec nebo adresa a číslo občanského průkazu nepůsobí jako něco, kvůli čemu by měl být člověk ve střehu. Jenže právě v kombinaci mohou tvořit velmi použitelný základ pro podvod.
Osobní údaj
Osobní údaj není jen intimní nebo tajná informace. Je to i jakýkoliv údaj, podle kterého lze člověka poznat, dohledat nebo odlišit od ostatních.
Citlivé údaje jsou zvláštní kategorie, například údaje o zdraví. To ale neznamená, že by sdílení běžných údajů bylo bez rizika. Samotný jeden údaj útočníkovi často nestačí, ale kombinace několika osobních údajů už může být dostatečným základem pro podvodné jednání.
Pojďme se nyní podívat na jeden typický příklad, který přinesl server Aktuálně. Paní Marcele přišla výzva k zaplacení půjčky, o kterou nikdy nežádala. Když začala věc řešit, ukázalo se, že je na její jméno vedený cizí dluh a že situace může velmi rychle přerůst v mnohem větší problém.
Někdo použil její skutečné základní údaje a doplnil je do falešné identity, která byla dost přesvědčivá na to, aby prošla žádostí o půjčku. Sedělo jméno, datum narození, adresa bydliště i číslo průkazu, ale fotografie patřila jiné osobě a některé další údaje nesouhlasily.
Právě tady se ukazuje, jak milný je předpoklad, že krádež identity musí být složitá a že vždycky míří na velké částky. Útočník totiž nemusí zkoušet žádat o jednu velkou půjčku, u které jsou vysoké nároky na ověření. Stačí zkusit více menších žádostí u různých poskytovatelů nebo zprostředkovatelů. U některých neuspěje, u jiných ano. Když se to sečte, může jít o zisk v řádu desítek tisíc, a to už je pro potenciálního pachatele zajímavé. V době, kdy lze o některé malé půjčky žádat během několika minut online, to není vůbec nepodstatná věc. Při žádosti o takovou malou půjčku navíc může stačit doložit fotografii občanského průkazu, kterou dnes lze zfalšovat i bez zvlášť pokročilých technických znalostí.
Případ paní Marcely tak ukazuje, že problém nezačíná až ve chvíli, kdy vám unikne heslo do bankovnictví nebo přístup do e-mailu. Někdy začíná mnohem dřív, u zdánlivě obyčejných údajů, které se dají spojit dohromady a použít jako základ dostatečně věrohodné identity.
Odkud se takové údaje berou? Člověk je poctivě předává v celé řadě běžných situací a časem ztrácí přehled o tom, kde všude zůstala jejich kopie. Sama poškozená přitom říká, že si nevybavuje žádný okamžik, kdy by své údaje poskytla v nějaké zjevně podezřelé situaci. I to ukazuje, že podobné problémy často nevznikají jedním nápadným selháním, ale spíš nenápadně, v součtu mnoha běžných kontaktů se službami a formuláři.
Ještě citlivější je posílání scanu občanského průkazu. V takové chvíli totiž neposíláme jeden údaj, ale celý balíček identifikátorů najednou. Proto stojí za opatrnost každá situace, kdy po nás někdo chce kopii dokladu — zvlášť pokud ji máme poslat e-mailem, přes chat nebo jiným kanálem, nad kterým pak ztrácíme kontrolu.
Co si z toho vzít prakticky?
Reagovat hned při prvním podezřelém signálu. Podivná výzva k úhradě, neznámá smlouva nebo dopis od firmy, se kterou jste nikdy nic neuzavíral, nejsou drobnosti, které je rozumné odložit. Čím dřív začnete věc řešit, tím větší máte šanci, že se problém nerozroste.
Před odesláním jakýchkoliv osobních údajů je dobré se na chvíli zastavit. Kdo ty údaje chce, proč je chce a opravdu je potřebuje v takovém rozsahu? Pokud po nás nějaká služba vyžaduje zbytečně mnoho osobních údajů, může to být samo o sobě dobrý důvod zvolit jinou.
Průběžná kontrola. Ochrana osobních dat není jen o tom něco neposlat, ale i o tom všímat si, co se kolem našich údajů děje. Sledovat poštu, výpisy, neobvyklé zprávy nebo podezřelé výzvy není paranoia. Je to obyčejná forma opatrnosti. Dobré může být i jednou za čas projít různá sdílená úložiště, sociální sítě a podobně a smazat vše, co obsahuje nějaké osobní údaje a už to není potřeba.
Na případu paní Marcely je nakonec podstatné ještě něco jiného než samotná hrozba finanční škody. Tím, že zareagovala, snad její případ skončí bez újmy na majetku. Ale i tak ji to bude stát čas, vysvětlování, nejistotu a dost možná i nepříjemný pocit, že někde v cizích rukou koluje něco, co mělo zůstat pod její kontrolou. A právě to je dobrý důvod brát osobní data vážně i tehdy, když se na první pohled zdají úplně obyčejná.
V příštím díle se podíváme na méně nápadné digitální stopy, které po sobě necháváme každý den — třeba na e-mail nebo informace ukryté ve fotografiích. Nejsou nebezpečné proto, že by byly složité, ale proto, že je většina lidí snadno přehlédne.