Napotki informacijskega pooblaščenca: kako ravnati ob razkritju osebnih podatkov

Po razkritju nepooblaščenega dostopa v bazo osebnih podatkov v okviru sistema uprave za varno hrano so pri Informacijskem pooblaščencu pripravili nekaj napotkov, kako ravnati ob razkritju osebnih podatkov in s tem povezanimi tveganji.

Pri Informacijskem pooblaščencu (IP) pojasnjujejo, da po razkritju odtekanja podatkov o EMŠO, davčnih številkah, imenih in priimkih ter naslovih posameznikov prejemajo večje število vprašanj, kakšna tveganja to prinaša za posameznike in kako naj ravnajo.

Pri IP pojasnjujejo, da dostopnost podatkov iz velikih državnih registrov nepooblaščenim osebam lahko trajno ogrozi njihovo zaupnost in posameznike izpostavi tveganjem za kraje identitete, nenamenske uporabe njihovih osebnih podatkov in druge zlorabe. Velja sicer, da je za pomembnejše pravne posle poleg naših osnovnih identifikatorjev, kot so ime in priimek, EMŠO, davčna številka in naslov, pogosto treba navesti ali izvesti še dodatne ukrepe, kot je dvojna avtentikacija, fizična prisotnost osebe, vpogled v osebni dokument in podobno, zato so lahko do neke mere pomirjeni, so zapisali v sporočilu za javnost.

A kot so dodali, to ni nujno pri vseh poslih in v vseh situacijah, zato so posamezniki lahko izpostavljeni kraji identitete, zlasti v kombinaciji z drugimi podatki, na primer z uporabo umetne inteligence za ustvarjanje lažnih osebnih in drugih dokumentov, s potvarjanjem podpisov in podobno. "Naši osnovni podatki so lahko prvi korak, ki ga z metodami socialnega inženiringa lahko izkoristijo nepridipravi za pridobivanje dodatnih podatkov, zato njihova izguba oziroma razkritje nepooblaščenim osebam ni nedolžna," so opozorili.

Kjer dodatni ukrepi za preverjanje istovetnosti osebe niso potrebni, lahko pride do naročanja in opravljanja storitev v imenu posameznika, potvarjanja in pridobivanja dodatnih podatkov o posameznikih ter posledične kraje identitete, so sporočili. Poznavanje kombinacije EMŠO, davčne številke, imena in priimka in naslova posameznika namreč ni nekaj običajnega in lahko marsikoga na drugi strani, zlasti na daljavo, po telefonu ali prek spleta, pretenta, da ima opravka s to osebo in ne z nekom drugim, ki je potvoril njegovo identiteto in si želi pridobiti določene koristi ali škodovati posamezniku.

Priporočajo uporabo standardne prakse glede informacijske varnosti, kot je izbira varnih gesel, redno preverjanje bančnih in drugih izpiskov ter podatkov o njihovih statusih, opravljenih nakupih in storitvah. Svetujejo pa tudi veliko pozornost pri prepoznavanju nenavadnih situacij in dogodkov, ki lahko kažejo na to, da se je nekdo izkazoval za nas bodisi za pridobitev protipravne koristi bodisi za ustvarjenje potvorjenih dejstev o naših dejavnostih, komunikacijah, lokacijah ali statusih in drugih zlorab.

Pri IP opozarjajo, da je pomembno tudi dobro prepoznavanje metode socialnega inženiringa, kot je phishing. Uporabnike so napotili na njihove smernice o kraji identitete in napotke o preprečevanju socialnega inženiringa. Na spletu pa so na voljo tudi določena orodja, kjer objavljajo sezname ukradenih podatkovnih zbirk. Posamezniki lahko tam preverijo, ali so se njihovo geslo ali drugi podatki znašli na internetu.