Zaštita identiteta

U prehodnoj kolumni ustvrdili smo da je najdragocjenija imovina svakoga od nas - naš osobni identitet. Tvrdnja na prvi pogled izgleda kao pretjerivanje, pa zaboga svima je jasno tko su i što su, zašto bi netko u to mogao sumnjati? Nema problema sve dok netko zlonamjeran ne "ukrade", odnosno ne preuzme naš identitet. Tada nastaje prava noćna mora za žrtvu. Zato ćemo se u ovom nastavku pozabaviti zaštitom identiteta.

No prije toga još malo primjera iz naše neposredne okoline. Prošli put smo spomenuli ljude koji otplaćuju kredit koji je netko drugi digao s njihovim identitetom. Otkrili smo još jedan sličan slučaj. Što biste uradili kada bi vam na vrata banula specijalna policija, maskirani policajci u oklopima (robocops) zgrabili vas, vezali, odveli u zatvor, gdje biste proveli nekoliko dana dok se ne obavi prepoznavanje. Upravo je to doživio moj znanac. Nepoznati je prevarant nagovarao ljude da ulože u "sjajan posao". Među ljudima koje je nagovorio bila je i umirovljenica koja mu je dala svoju životnu ušteđevinu. Kad je nestao s novcem, krenula je u potragu. Nažalost, pronašla je pogrešnu osobu, s istim imenom i prezimenom. Policija je bez mnogo provjeravanja zatvorila nedužnog čovjeka. Kad se bakica pojavila i razočarano izjavila da to nije čovjek koji ju je prevario, žrtvu zabune su bez mnogo riječi spakirali i vratili kući. Nitko mu se nije ni ispričao. Susjedi koji su gledali njegovo privođenje prestali su ga pozdravljati. Nije ih zanimalo objašnjenje kako je sve skupa bila samo neugodna zabuna. U njihovim očima ostao je zauvijek obilježen. Što se zapravo dogodilo? Kriminalac se svojim žrtvama identificirao osobnom iskaznicom s podacima koji pripadaju žrtvi iz našeg primjera. Svi su podaci na krivotvorenom dokumentu bili identični žrtvinim, osim fotografije. Loš momak bio je sličan žrtvi, s nešto dužom kosom. Pitanje gdje je prevarant nabavio krivotvorenu osobnu s podacima koji pripadaju stvarnoj osobi ostaje bez odgovora. Kao i pitanje gdje se izgubila presumpcija nevinosti? Iako žrtva krađe identiteta u ovom slučaju nije dospjela na sud i osuđena, ispalo je da je zatvoren kao da je by default kriv, dok se ne dokaže suprotno.

Iz ovog se primjera može izvući pouka. Treba paziti na svoje osobne dokumente i podatke koje sadrže. Svatko bi trebao znati tko ga ima pravo legitimirati, odnosno tražiti od njega da pokaže osobnu. Policija, carinici, bankari, zaposlenici telekoma, portiri i zaštitari koji kontroliraju ulaz u poslovne zgrade - svim oni redovito od nas traže osobne. Ali tko od njih ima pravo snimiti dokument i sačuvati kopiju? To je pravo pitanje! Ne zaboravimo hotele, dokumente ostavljamo na recepciji dok ih ne unesu u računalo! Ne možemo biti sigurni da ih netko neće snimiti, izraditi kopiju.

Nedavno smo u TV u emisiji posvećenoj zaštiti potrošača slušali o prijevarama zaposlenika telekoma, koji koristeći fotokopije dokumenata i krivotvoreći potpise klijenta sklapaju u njihovo ime ugovore. Ugovore neku raskošnu tarifu i šminkerski mobitel koji preuzmu oni sami, a žrtva koja ništa ne sluti dobija račune i službi za reklamacije pokušava dokazati da nisu tražili ni skupu tarifu ni skupi mobitel.

Što dakle učiniti kad dođete na šalter i traže vas osobnu? Pokažite im je, ali nemojte dozvoliti da naprave fotokopiju! Neka službenik provjeri vaš identitet, to je sasvim dovoljno. Taj je savjet u spomenutoj TV emisiji dala predstavnica Agencije za zaštitu osobnih podataka. Pri tome ćete se sigurno sukobiti sa šalterskim radnicima. Oni su prošli obuku i rade onako kako su ih poslodavci naučili. A za zakon o zaštiti osobnih podataka najčešće nisu ni čuli. Zgodno rješenje našao je jedan naš kolega sistemac: on im da fotografiju osobne/putovnice na kojoj su zacrnjeni podaci koje im ne želi ili ne mora dati, i još je dijagonalno preko snimke postavio vodeni žig s tekstom: ova preslika dana je za određenu svrhu (upišite koju) i samo se za nju može koristiti. :)

U ranim danima Interneta u Hrvata naumio sam sklopiti ugovor s jednim telekomom za bežični pristup Internetu i uzeti USB stick sa SIM karticom. Spomenuo sam da sam član CARNetove zajednice i da tražim popust, kao što je CARNet ugovorio s njima. Nema problema, odgovorili su mi, dajte nam svoj AAI pasword, da provjerimo da li radi. Odbio sam im dati zaporku, jer bih time u najmanju ruku prekršio sigurnosnu politiku ustanove za koju sam radio. Nisu htjeli ni čuti moja obrazloženja. Ako im ne dam password, ništa od posla! Uzalud sam objašnjavao da bih ja bio na gubitku da nemam CARNetov korisnički račun, jer bi do kraja ugovora plaćao pretplatu za uslugu koju ne bi mogao koristiti. Požalio sam se CARNetovom CERT-u, bili su šokirani i obećali da će to riješiti s telekomom. Ne znam što je bilo nakon toga, jer sam posve odustao od sticka kad sam čuo da se za autentikaciju ne koristi enkripcija. Moji username i password neće letjeti kroz eter kao plain text!

Apsurdan primjer doživio sam kupujući - vodokotlić! Trgovac je prilikom plaćanja tražio moje osobne podatke, ime, prezime, broj telefona, kućnu adresu! Samo sam čekao za zatraži osobnu i putovnicu! Nasmijao sam i pitao što će mu to? Radi garancije, odgovorio je samouvjereno. Ali garancija vrijedi uz račun, to je dovoljno. Ali kako da vam ispunim garanciju, zbunjeno me upitao. A što ako sam kupio kotlić za nekog drugoga, zar onda garancija neće vrijediti za njega, provocirao sam. Naravno da mu nisam dao osobne podatke, održao sam mu predavanje o tome da čuvanje osobnih podataka samo komplicira njegovoj tvrtki poslovanje, jer moraju imenovati službenika odgovornog za njihovu zaštitu, moraju kupcima davati izjavu u koju svrhu prikupljaju podatke i garantirati da ih u druge svrhe neće koristiti, moraju se učlaniti u registar AZOP-a itd its. Ukratko, zaštita osobnih podataka poskupljuje im poslovanje.

U to sam doba bio CISO, što je tada kod nas bio pionirski posao. Obučavao sam ljude, neumorno im objašnjavao važnost zaštite osobnih podataka. Ali gruba realnost bila je jača od mog idealizma, pa mi je s vremenom dosadilo jurišanje na vjetrenjače. Trgovci naprosto jure za zaradom, a radnici se boje za svoju egzistenciju i rade kako im gazde narede. Shvatio sam jednu stvar: kod nas ljudi baš i ne mare za zakone, samo ih inspekcije i globe mogu natjerati da ih poštuju.

Kad već druge nije briga, moramo se sami brinuti za sebe i nastojati zloupotrebljavačima otežati posao. Oni idu za lakšom metom, vrebaju ljude kojim praktički sami ulijeću u njihove zamke. Kako smanjiti vjerojatnost da nam se dogodi krađa identiteta?

• Prije svega treba prihvatiti činjenicu da se krađe identiteta događaju i da se mogu dogoditi svakome od nas.
• Kad netko od vas traži osobnu, pitajte ga zašto mu treba i koja je pravna osnova za to. Pokažite im da dobro poznajete svoja prava. Spomenite da uvijek možete zatražiti od njih da unište osobne podatke, pogotovo kad prestane poslovni odnos.
• Ne ostavljajte osobne podatke gdje ne baš ne morate, ni na Mreži ni kod raznih trgovaca. Pitajte za što će oni koristiti vaše podatke, dužni su vam dati izjavu u koju svrhu ih prikupljaju.
• U hotelu dajte svoju osobnu recepcionaru, odnesite stvari u sobu i odmah se vratite po dokumente. Što su kraće na recepciji, bit će dostupni manjem broju zaposlenika i manja je vjerojatnost da će netko napraviti kopiju.
• Redovito provjeravajte izvode koje vam šalju banke i kartičari. Čim otkrijete troškove kojie niste sami napravili, odmah ih  osporite, najprije telefonom, a onda i pismeno. Banke su osigurane za takve slučajeve, ako brzo reagirate spasit ćete svoj novac.
• Zatvorite bankovne račune ako sumnjate da su kompromitirani, vratite kreditne kartice!
• Čuvajte svoj novčanik! Prečesto na poslu gledam otvorene ženske torbice i muške novčanike na radnim stolovima, kao da se nude lopovima. Jest da su kolege pošteni i nisu nam dosad naškoditi, ali uredima prolaze i stranke koje ne poznajemo.
• Interntom se obavlja sve više financijskih transakcija. Možete otvoriti bankovne račune u on-line u banci ili nekom payment procesoru na drugom kraju svijeta. Svi će tražiti verifikaciju vašeg identiteta. Najčešće je dovoljno poslati presliku osobne ili putovnice i neki račun na kojem se vdii vaša kućna adresa. Neki traže i selfie s osobnom koju držite u ruci. Ali pripazite: ako tvrtka koristi sigurnu vezu i upload dokumenata preko httpsa, to je u redu, ali ako žele da im dokumente pošaljete nekriptiranim mailom - vrijeme je da se zabrinete.
• EU ima bolju zaštitu svojih građana od ostatka svijeta. Zato kad birate gdje ćete otvoriti mail adresu ili bilo kakvu drugu online uslugu, radije izaberite tvrtku iz EU. SAD štiti svoje građane, ali ne i ostatak svijeta. U slučaju problema najlakše ćete se obraniti ako je dobavljač u Hrvatskoj, dohvatljiv našoj državi. Prečesto sam čuo da se ne može ništa poduzeti jer je počinitelj u drugoj državi.
• Budite svjesni činjenice da na Internetu ostavljate svoje digitalne otiske (digital footprint), tragove koje mnogi skupljaju, objedinjuju i izrađuju vaše profile. Te profile prodaju, a tko zna za što ih sve kupci mogu koristiti. Ako vas počnu spamati i zasipati reklamama, to je još najmanje što vam se može dogoditi.
• Prije nego pristanete na bilo što, pažljivo pročitajte sve pravne dokumente. Budite svjesni rizika prije nego naivno uletite u neizvjestan poslovni odnos.
• I na kraju, treba pratiti što se događa u svijetu i neprestano se educirati. Na webu ćete naći mnoštvo siteova koji vam daju korisne savjete, a čak je i naša vlada započela educirati građane: https://gov.hr/moja-uprava/drzavljanstvo-i-isprave/isprave/zastita-osobnih-podataka/415

Nedavno sam naletio na Disclaimer tvrtke registrirane u susjednoj Sloveniji. Oni traže od svojih klijenata verifikaciju identiiteta, pozivajući se na EU regulativu, konkretno Anti Money Launderig direktivu, donesenu radi zaštite od pranja novca i financiranja terorizma. Ali ni riječi o zaštiti osobnih podataka, iako EU i to propisuje! Disclaimer se može prevesti s pravničkog engleskog u nekoliko riječi svakodnevnog govora: tvrtka nije odgovorna ni za što, ne možemo ih tužiti, možemo jedino raskinuti ugovor s njima ako smo nezadovoljni. Dakle poslujemo s njima isključivo na vlastitu odgovornost i sami smo krivi ako nešto loše ispadne! Pitam se tko bi normalan pristao na takve uvjete? Ali uopće ne sumnjam da su mnogi nehotice pristali jer nisu ni pročitali Disclaimer.

Vrijeme u kojem živimo donosi nove izazove kojima se treba prilagoditi. Krađa identiteta postala je česta u digitalnom svijetu, ne možemo i ne smijemo je negirati. Zato budite oprezni i ugradite taj oprez u dnevnu rutinu, baš kao i osobnu higijenu. "Prije i poslije jela treba ruke prati, nemoj da te na to opominje mati." Neki pjesnik nove generacije trebao bi spjevati upgrade ove odgojne dječje pjesmice, tako da djecu od malena možemo pripremiti za vrli novi digitalni svijet.