Varovanje identitete v spletu
Vsem dobro znan hollywoodski scenarij: iz bunkerja na neznanem kraju nepridipravi z maskami na obrazu in rokavicami z odrezanimi konci prstov na rokah besno tipkajo po majhnem prenosniku. Na zaslonu se izpisujejo podatki zaupnih zbirk, iz katerih nabirajo osebne in finančne podatke nič hudega slutečih posameznikov in jih izkoristijo za svojo korist. Na koncu izginejo v meglo oziroma, če je film uspešen, v drugi del.
Spletna identiteta postaja za posameznika vedno pomembnejša, saj se vedno več dejavnosti odvija prav ob pomoči tega komunikacijskega kanala. Elektronska pošta, kreditno plačevanje, profili v družabnih omrežjih ... vse to so viri informacij in podatkov, ki jih uporabnik prostovoljno pušča v spletu. Nihče vas ne sili, da po elektronski pošti sporočite številko kreditne kartice, nihče vam s pištolo na senceh ne narekuje, da v omrežju Facebook objavljate zasebne fotografije, nihče vam ne prepoveduje nakupovati v fizični trgovini in vas s tem sili nakupovati v spletu.
Kljub temu kraja identitete v spletu ni nov pojav, poznamo jo že od začetka množične rabe tega komunikacijskega kanala, ki je zaradi pregovorne anonimnosti in omejenega preverjanja resničnosti identitet sogovornikov idealno igrišče za nepridiprave.
Dodaten izziv predstavlja spletanje mrež ob pomoči spletnih komunikacij, kjer se identitete posameznikov dopolnjujejo, oziroma kjer si posamezniki, ki komunicirajo na isti platformi (Facebook, Twitter, Linkedin …), zaupajo, da za profili stojijo tisti, ki se s tem profilom predstavljajo. Po raziskavi podjetja Experian, ki se ukvarja z izračunavanjem kreditih tveganj, se je med letoma 2010 in 2012 kraja identitet v spletu povečala za dvesto odstotkov, glavni krivec pa so bila ravno družabna omrežja oziroma razširjena nepazljiva raba teh omrežij.
Shranjevanje finančnih podatkov pohitri nakupe, a ogrozi varnost.
Kazenski zakonik republike Slovenije v 143. členu opredeljuje zlorabo osebnih podatkov, k čemur sodi tudi kraja spletne identitete. Takole pravi:
Kdor uporabi osebne podatke, ki se obdelujejo na 1. podlagi zakona, v neskladju z namenom njihovega zbiranja ali brez osebne privolitve osebe, na katero se osebni podatki nanašajo, se kaznuje z denarno kaznijo ali zaporom do enega leta.
Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek.
Kdor na svetovnem medmrežju objavi ali omogoči drugemu objavo osebnih podatkov žrtev kaznivih dejanj, žrtev kršitev pravic ali svoboščin, zaščitenih prič, ki se nahajajo v sodnih spisih sodnih postopkov, kjer po zakonu ali po odločitvi sodišča ni dovoljena prisotnost javnosti ali identifikacija žrtev ali zaščitenih prič ter osebnih zapisov o njih v zvezi s sodnim postopkom, na podlagi katerih se te osebe lahko določi ali so določljive, se kaznuje z zaporom do treh let.
Kdor prevzame identiteto druge osebe in pod njenim imenom izkorišča njene pravice, si na njen račun pridobiva premoženjsko korist ali prizadene njeno osebno dostojanstvo, se kaznuje z zaporom od treh mesecev do treh let.
Če stori dejanje iz prejšnjih odstavkov tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do petih let.
Pregon iz tretjega odstavka tega člena se začne na predlog.
Mini intervju
Državni nadzornik mag. Andrej Tomšič, Urad informacijskega pooblaščenca
Kaj vse šteje za krajo identitete?
Načeloma se pod krajo identitete šteje krajo podatkov, s katerimi lahko nekaj pridobimo, oziroma s krajo nekomu škodujemo.
Se kraje identitet v Sloveniji večajo ali upadajo?
Uradne statistike ni, ocenil pa bi, da je tega vedno več. V ZDA je kriminal, povezan s krajo osebnih podatkov, zelo problematičen, predvsem zaradi tamkajšnjega sistema številk socialnega zavarovanja (social security number).
Na katere podatke naj bomo še posebej pozorni?
Predvsem na enolične identifikatorje, kot so EMŠO, davčna številka, številka obveznega zavarovanja ... ki omogočajo povezovanje naših podatkov v različnih zbirkah. Vedno se je treba vprašati, komu zaupamo te podatke in ali jih res potrebuje.
Pet najpogostejših načinov kraje spletne identitete
Nepridipravi zbirajo osebne in druge podatke z različnimi cilji. Lahko gre za namen pridobivanja finančne koristi, pri čemer se osredotočajo na krajo finančni podatkov, lahko skušajo z zbranimi podatki škodovati ugledu žrtve oziroma upravljati njegovo identiteto v spletu brez vednosti žrtve.
Zavedati se je treba, da se redke kraje dogajajo brez sodelovanja žrtve. Hollywoodski scenarij iz uvoda tega prispevka je zelo neverjeten, skoraj vedno je pri kraji podatkov na koncu mogoče ugotoviti človeški dejavnik, ki pripelje do kraje.
Velika večina zlorab pa se ne ukvarja s specifičnim posameznikom, temveč meri na čim večje število zbranih podatkov in jih nato uporablja na različnih lokacijah.
01 Enostavna gesla fizičnih oseb
Presenetljivo je, da se kljub več kampanjam o varnih geslih in preventivnem varovanju spletne identitete še vedno veliko kraj identitete zgodi zaradi enostavnih gesel, s katerimi posamezniki varujejo dostop do družabnih omrežij oziroma drugih zbirk podatkov v spletu. Ko so konec lanskega leta v podjetju SplashData naredili analizo gesel, ki so jih nepridipravi ukradli in javno objavili v spletu, so ugotovili, da je med njimi še vedno veliko uporabnikov, ki za geslo uporabljajo besedo »password«. Nič manj ni tistih, ki mislijo, da je zaporedje številk 123456 varno geslo, in tistih, ki so prepričani, da bodo nepridiprave ukanili s tem, da bodo temu zaporedju dodali številki 7 in 8.
Google Authenticator pomaga pri varovanju dostopa do računov z generiranjem gesel za enkratno uporabo.
02 Vdor v večje zbirke podatkov
Zaradi nezadostnega varovanja zbirk osebnih podatkov, ki jih posamezna podjetja hranijo o svojih uporabnikih, so vedno pogostejše kraje identitete, v katere končna žrtev niti ni neposredno vpletena. Čeprav so podjetja z zakonom zavezana k spoštovanju smernic varovanja osebnih podatkov, analitiki opozarjajo, da so vdori v večje zbirke osebnih podatkov lani pomenili enega pogostejših razlogov za krajo identitet. Poleg tega dodajajo še, da so bili vlomi posledica enostavnosti tega početja in ne posebnega ciljanja.
03 Fizična kraja naprav
Čeprav nanje velikokrat ne pomislimo, so podatki še vedno v fizičnih napravah, ki jih je razmeroma lahko odtujiti. Intel je konec leta 2010 objavil raziskavo, v kateri je ugotovil, da so bili v slabi polovici vseh ukradenih prenosnikov občutljivi podatki, samo tretjina ukradenih prenosnikov pa je imela vklopljeno enkripcijo podatkov oziroma druge zaščite za varovanje pred krajo.
04 Virusi in zlonamerna programska oprema
Eden od problemov ilegalnega pridobivanja osebnih in drugih podatkov so še vedno zlonamerna programska oprema in virusi, s katerimi omogočijo dostop do računalniške opreme posameznika in mu tako ukradejo podatke.
S programom TrueCrypt bomo zaščitili tudi podatke na disku.
05 Kompleksna kraja gesel (phishing in scamming)
Lažna spletna mesta, ki posnemajo spletišče priljubljenega družabnega omrežja, spletne banke oziroma druge spletne destinacije, kjer se mora uporabnik prijaviti in pustiti svoje uporabniško ime in geslo, so še en priljubljen način pridobivanja gesel in uporabniških imen. Uporabnik po elektronski dobi lažno obvestilo in prošnjo, naj se prijavi v spletišče. Ko klikne povezavo, ga odpelje na lažno spletišče, ki je ponavadi tako podobno pravi destinaciji, da skoraj ne opazi razlike. Ko se hoče prijaviti, mu sistem zavrne prijavo, a shrani njegovo uporabniško ime in geslo.
Zanimive povezave
Varovanje gesel
Google 2-step authentication - bit.ly/dva-koraka
1password - bit.ly/enogeslo
LastPass – lastpass.com
Varnostne kopije podatkov
Dropbox – www.dropbox.com
Wuala – www.wuala.com
Spider Oak - spideroak.com
Zaščita zasebnosti in antivirusna zaščita
Microsoft Security Essentials – bit.ly/MAntivirus
Avast! Pro Antivirus – www.avast.com
Bitdefender Antivirus Plus – www.bitdefender.com
Kam po pomoč
SI-CERT - www.si-cert.si
Urad informacijskega pooblaščenca - www.ip-rs.si
Varni na internetu - www.varninainternetu.si
Policija - www.policija.si
Pet načinov varovanja digitalne osebnosti
Ker so načini zlorab in kraj osebnih ter drugih podatkov zelo raznoliki, je varovanje osebnih podatkov in spletne identitete prav tako raznoliko. Oglejmo si pet korakov, s katerimi bomo ukrepali v smeri varnosti pri uporabi spletnih tehnologij.
01 Zdrava pamet
Zelo veliko bomo naredili, če bomo pri spletni komunikaciji uporabljali zdravo pamet. Varovanje zasebnosti je predvsem stvar posameznika in največ naredimo s premišljenim ravnanjem, ko podatkov ne objavljamo po nepotrebnem, premislimo, preden klikamo povezave, za katere ni jasno razvidno, kam vodijo, in tako naprej.
Hvaležno je tudi spremljati obvestila tujih in domačih organizacij, ki se ukvarjajo z varovanjem zasebnosti v spletu (seznam na koncu članka), in upoštevati njihova priporočila.
02 Varna gesla in ločevanje prijav
Eden največjih izzivov je uporabljati varna gesla, ki jih je težko razvozlati in si jih je lahko zapomniti. Ker je to skorajda nemogoče, so na voljo generatorji varnih gesel, ki jih lahko uporabljamo v kombinaciji s pametnim telefonom oziroma spletnim brskalnikom.
Za generiranje varnih gesel si lahko pomagamo tudi s programsko opremo. Eden od varnostnih ukrepov je, denimo, dvostopenjsko potrjevanje identitete, ki jo poznajo izdelki družine Google (Gmail, Google Docs ...). Pri dvostopenjskem potrjevanju se v sistem najprej prijavimo s svojim geslom, nato pa ob pomoči posebne programske opreme na mobilniku zgeneriramo geslo za enkratno rabo.
Gesla lahko ob pomoči programske opreme tudi shranjujemo v enkriptiranem stanju in s tem še dodatno zavarujemo dostop do spletnih zbirk, v katerih imamo shranjene finančne ali osebne podatke.
Googlovo uporabniško ime, Facebook Connect ... na prvi pogled se zdijo sistemi, ki združujejo prijave v več različnih zbirkah, koristni in enostavni za uporabo, a redkokdo pomisli, da bo ob zlorabi gesla Googla oziroma Facebookovega računa nepridipravom odprl vrata do veliko večje zbirke podatkov. Zato je primerno, da v kombinaciji z drugim korakom ločujemo prijave v zbirke in se v različne sisteme vpisujemo z različnimi identitetami.
Lastpass je celostna rešitev upravljanja z gesli.
03 Programska zaščita zasebnosti in posodobljena programska oprema
Pri varovanju zasebnosti ima pomembno vlogo tudi posodobljena programska oprema in programsko varovanje zasebnosti. Večina antivirusnih programov namreč v paketu ponuja tudi varovanje identitete s preverjanjem spletnih mest in filtriranjem elektronske pošte, ki vsebuje zlonamerne povezave.
Seveda je pomembno, da skrbimo za posodabljanje programske opreme in antivirusne zaščite, saj nam v nasprotnem primeru ne bo kaj dosti koristila.
Pri prenosnikih in mobilnih napravah, kjer je večja nevarnost fizične kraje, predlagamo namestitev programske opreme oziroma dodatnih gesel, s katerimi boste ob morebitni kraji lahko na daljavo onemogočili napravo oziroma nepridipravom preprečili dostop do podatkov, ki so v njej.
04 Varovanje finančnih podatkov
Res je, da večina zaupanja vrednih spletnih trgovcev (amazon, ebay, itunes, steam ...) vlaga veliko energije in denarja v razvoj varovanja zasebnosti in finančnih podatkov uporabnikov. Kljub temu vam svetujemo, da podatkov o kreditnih karticah ne shranjujete v zbirke, temveč jih vpisujete ob vsakem nakupu.
05 Varnostne kopije podatkov
S krajo identitete oziroma uporabniških računov so zelo povezane tudi izgube podatkov, do katerih dostopamo s temi uporabniškimi računi. Zato priporočamo varnostno kopiranje podatkov, za katere res nočete, da bi končali v napačnih rokah, oziroma jih nočete izgubiti. Na voljo je več spletnih in fizičnih rešitev, končna odločitev pa je odvisna od vaših potreb.
Varovanje lastne spletne identitete in osebnih podatkov nam mora preiti v kri. Zavedati se je treba pomembnosti posameznega osebnega podatka, z njim varno razpolagati in imeti pregled nad zapisovanjem podatka v različne zbirke podatkov. Predvsem pa, tako kot pri življenju nasploh, uporabljati zdravo pamet.