Väčšina ľudí vníma ako najcitlivejší osobný údaj svoje rodné číslo. Audítor TÜV SÜD Slovakia Igor Straka však hovorí, že rodné číslo už dnes nespadá do osobitnej kategórie osobných údajov, hoci naďalej zostáva veľmi zaujímavou informáciou, keďže ide o jednoznačný identifikátor. „Ak podvodník získal rôzne databázy osôb musí ich nejakým spôsobom prepojiť. Práve preto potrebuje rodné číslo,“ konštatuje Igor Straka. Upozorňuje však, že rodné číslo je síce pre podvodníkov najefektívnejšia cesta, ale na prepojenie rôznych databáz vedia použiť aj číslo mobilného telefónu.
Ľudia ho bežne rozdávajú. Takýto údaj je nápomocný na získanie zdravotných záznamov alebo prihlasovacích údajov k realizácii finančných transakcií. Okrem toho sa mobilný telefón často používa ako doplňujúci prostriedok autentifikácie osôb do informačných systémov. Podľa medzinárodných štatistík je najväčší záujem o nelegálne získanie práve zdravotnej dokumentácie alebo prihlasovacích údajov do rôznych informačných systémov, prioritne systémov komerčných bánk.
Nerozdávajte údaje hocikomu
Ľudia by si preto mali dávať pozor na to, komu a aký údaj poskytnú. Dôležitá je prevencia. Treba dobre zvážiť dobrovoľné poskytovanie osobných údajov, a to najmä prostredníctvom sociálnych sietí, súťaží, vernostných programov, či pri online nakupovaní.
Je získanie malých výhod alebo registrácia do rôznych súťaží naozaj pre vás nevyhnutná? „Treba si uvedomiť, že práve to je mechanizmus, ako podvodníci zbierajú osobné údaje a nezriedka sa tieto databázy nelegálne obchodujú ďalej, bez možnosti zistenia, kto porušil zásady spracovania osobných údajov,“ dodáva Igor Straka. Stačí raz neuvážene poskytnúť osobné informácie – najčastejšie korešpondenčné údaje - a budú sa neriadene šíriť ďalej.
Kedy zvýšiť opatrnosť
Častým spôsobom poskytovania osobných údajov je vstup do budovy. V takom prípade je síce normálne predložiť občiansky preukaz, ale nie je dôvod na to, aby ste napríklad poskytli číslo telefónu, e-mailu alebo iné údaje, ktoré sú nad rámec identifikácie osoby. „Treba vždy posudzovať oprávnenosť a primeranosť každého poskytnutého osobného údaja,“ vysvetľuje odborník.
Veľmi dôležité pri poskytovaní osobných údajov je všímať si, či sa prevádzkovateľ alebo sprostredkovateľ riadi nariadením GDPR. Ak zanedbáva svoje povinnosti, môže sa ľahko stať, že sa osobné údaje dostanú medzi nepovolané osoby. Základná povinnosť pri každom prijímaní osobných údajov je informovanosť. Treba si dávať pozor, či vás informovali o účele spracovania, právnom základe, možnom prenose vašich osobných údajov do tretích krajín mimo Európskej únie, o dobe, dokedy budú uchovávať vaše údaje a tiež či vás poučili o vašich právach.
„Pokiaľ prevádzkovateľ základnú povinnosť zanedbá, je vysoko pravdepodobné, že aj ďalšie spracovanie nebude v súlade s GDPR. V tomto prípade je vhodné zvýšiť opatrnosť a začať sa pýtať,“ varuje Igor Straka. Ďalším spôsobom, ako môže niekto zneužiť osobné údaje, je vedomá krádež zamestnancom prevádzkovateľa či sprostredkovateľa. „Posledný spôsob je hackerský útok,“ dodáva.
Ako riadiť firemnú bezpečnosť
Podľa skúseností audítorov TÜV SÜD Slovakia, až 80 percent prípadov zneužitia osobných údajov sa deje kvôli zlyhaniu ľudského faktora.
Medzinárodný štandard pre riadenie informačnej bezpečnosti ISO 27001, ktorý majú zodpovedné firmy implementovaný do svojich procesov, určuje napríklad aj potrebu bezpečného uloženia fyzických nosičov osobných údajov, šifrovania uložených a prenášaných údajov, riadenie prístupov zamestnancov ale aj logovanie prístupu a aktivít poverených osôb.
Napríklad prihlasovanie a odhlasovanie sa z počítača môže byť pre neželané osoby jednoduchým spôsobom, ako získať citlivé osobné údaje. Podľa audítora Igora Straku, únik takýchto údajov môže stáť firmu reputáciu.
Kreatívne firmy to vedia
Firmy sa preto snažia s takýmito situáciami bojovať a niektoré sú vo svojom boji veľmi kreatívne. Zo svojich skúseností Igor Straka prezrádza, že firmy s mladým a neskúseným kolektívom majú často nepísané pravidlo, že ak zamestnanec nie je odhlásený a nenachádza sa na svojom pracovnom mieste, na porušenie informačnej bezpečnosti sa upozorní skutočne netradičným spôsobom.
Z neuzamknutého počítača sa v mene skompromitovaného zamestnanca pošle mailová správa s pozvaním všetkých zamestnancov na pracovné raňajky, samozrejme s povinnosťou úhrady za účet. Je to síce do istej miery neetický, ale zato veľmi účinný spôsob, ako bojovať proti tomu, aby zamestnanci vo firmách nebrali informačnú bezpečnosť ľahkovážne.