Dane wrażliwe – jak je chronić? 8 najważniejszych zasad

Twoje dane wrażliwe to łakomy kąsek dla cyberprzestępców. Przyjmij zasadę, że już wyciekły do sieci lub wkrótce wpadną w ręce niepowołanych osób. Sprawdź, jak możesz zminimalizować straty spowodowane ich przejęciem. Nie daj okraść się z tożsamości!

Najlepszym rozwiązaniem jest niezapisywanie danych wrażliwych lub osobistych na nośnikach cyfrowych. Jednak w praktyce jest to niemal niemożliwe do osiągnięcia. Masz przecież mnóstwo zdjęć, filmów czy dokumentów, które przechowujesz w formie elektronicznej. Korzystasz też z bankowości i innych usług online. Informacje o Tobie są umieszczone w setkach miejsc, nie tylko w sieci.

Jak słabo chronimy swoje dane wrażliwe, dowiódł eksperyment serwisu Zaufana Trzecia Strona z 2020 roku.

Jego autorzy kupili na OLX i zbadali 40 używanych kart pamięci w popularnym formacie SD o pojemności 1-16 GB. Co się okazało?

Tylko 10 kart nie zawierało żadnych danych, a na pozostałych 30 kartach były tysiące prywatnych zdjęć, pliki Word i Excel oraz PDF z danymi osobowymi, kopii zapasowych danych z telefonu, książek adresowych vCard. W 19 przypadkach poprzedni właściciel próbował usunąć dane, ale niezbyt umiejętnie – kasując pliki lub robiąc szybkie formatowanie. Można je bardzo łatwo odzyskać.

“Świadomość dotycząca ochrony danych na podstawowym, osobistym poziomie (dotyczy wszystkich nośników) jest bardzo ograniczona” – podkreślali autorzy eksperymentu.

Dla przestępcy takie dane są na wagę złota. Wykorzysta je do zdobycia pełnej wiedzy o ofierze i kradzieży jej tożsamości.

Spójrz, co to są dane wrażliwe, a później pokażemy Ci jak je chronić.

Dane wrażliwe – co to jest?

Aby sprawdzić czym są dane wrażliwe, zajrzyjmy do słynnego RODO. Według tego unijnego rozporządzenia dane wrażliwe to szczególne kategorie danych dotyczące:

• pochodzenia rasowego/etnicznego,
• poglądów politycznych,
• przekonań religijnych/światopoglądowych,
• przynależności do związków zawodowych.

Przetwarzanie danych wrażliwych jest zabronione, chyba, że osoba, której dane dotyczą wyraźnie się na to zgodziła.

Dlaczego na liście nie widzisz np. numeru PESEL? Ten numer to przykład tzw. danych zwykłych osobowych.

Choć potocznie przyjęło się stosować określenia dane wrażliwe i osobowe zamiennie, to są to według prawa różne kategorie.

Dane wrażliwe i dane osobowe – czym się różnią

Dane osobowe to – według RODO – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, na podstawie:

• imienia i nazwiska,
• numeru identyfikacyjnego (np. PESEL, numeru dowodu osobistego),
• danych o lokalizacji,
• identyfikatora internetowego,
• jednego/kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

To oznacza, że do danych osobowych można zaliczyć m.in. adresy IP oraz identyfikatory plików cookie (ciasteczek), a nawet zmienny adres IP ponieważ umożliwia pośrednią identyfikację użytkownika.

W niektórych przypadkach dane osobowe powinieneś traktować jak dane wrażliwe. Np. jeżeli przestępca znajdzie na Twoim komputerze, poczcie elektronicznej czy też dysku zewnętrznym plik z imieniem i nazwiskiem oraz numerem PESEL, to konsekwencje mogą być bardzo poważne.

Za chwilę zobaczysz, do czego przestępca może użyć Twoich danych.

Dane wrażliwe, pożyczki, chwilówki – na to musisz uważać

Przestępcy wykradają lub kupują bazy danych, które wyciekły np. z serwisów internetowych czy sklepów online. Próbują również dostać się do zasobów komputerów, smartfonów, kart pamięci, poczty e-mail, żeby zdobyć jak najwięcej danych osobowych i wrażliwych. Oto do czego mogą je wykorzystać:

• Szantaż – narzędziem są np. programy ransomware, które po pobraniu i uruchomieniu szyfrują pliki na zainfekowanym dysku. To w ostatnich latach coraz większy problem dla firm. Przestępcy żądają okupu za zwrot dostępu do danych, jednak wpłata kryptowalut często nie rozwiązuje problemu.

Agresor może nie wywiązać się z obietnicy lub użyć oprogramowania, które nieodwracalnie niszczy pliki (wiper). To nie wszystko. Część ransomware umożliwia pobranie danych i kolejny szantaż. Tym razem przestępcy chcą pieniędzy za nieujawnianie prywatnych danych klientów firmy, np. stanu zdrowia, numerów identyfikacyjnych, numerów kart kredytowych.

• zaciągnięciu kredytu w instytucjach pozabankowych – często do wzięcia chwilówki wystarczy tylko posiadanie imienia i nazwiska oraz numeru PESEL ofiary,
• zdobycia i wykorzystania/sprzedania numerów kart kredytowych,
• wynajęcia nieruchomości lub innych umów cywilno-prawnych,
• zamówienia tzw. dowodu kolekcjonerskiego – może ułatwić niepowołanym osobom dostęp do karty SIM, a później do innych usług powiązanych z Twoim numerem telefonu (np. bankowości online, skrzynki e-mail lub mediów społecznościowych),
• rozsyłania spamu – jeżeli przestępca przejmie kontrolę nad Twoim komputerem może go wykorzystać w sieci botnet,
• użycia danych osobowych w kontaktach z urzędami czy też policją (z wykorzystaniem tzw. kolekcjonerskiego prawa jazdy),
• zdobycia informacji o stanie zdrowia i wykorzystaniu ich np. do szantażu,
• wykorzystaniu danych do działalności przestępczej, np. zarejestrowania karty pre-paid służącej później do oszustw, użycia danych do logowania na Facebooka do kradzieży “na Blika” (przestępca podszywa się pod Ciebie i rozsyła do Twoich znajomych prośbę o szybki przelew pieniędzy),
• skorzystania z Twoich praw obywatelskich – np. posiadając imię i nazwisko + nr PESEL oszust może głosować nad podziałem pieniędzy z budżetu obywatelskiego.

Dane wrażliwe – jak je chronić?

Co możesz zrobić, aby skutecznie chronić swoje dane osobowe i dane wrażliwe? Oto podstawowe zasady, których warto się trzymać:

1. Zawsze pamiętaj, że Twoje dane osobowe/wrażliwe mogą wyciec do internetu lub zostać skradzione. CERT Polska radzi: załóż, że Twoje dane już zostały upublicznione lub że wkrótce to nastąpi. Taka czujność pomoże zminimalizować skutki zdobycia danych przez przestępców.

2. Podawaj minimum wymaganych danych osobowych – “Im mniej informacji na nasz temat będzie przetwarzanych, tym mniej atrakcyjne będą dla atakujących, bądź trudniej będzie ich użyć do przeprowadzenia ataku lub kradzieży tożsamości” – podkreśla CERT.

Załóż konto pocztowe bez podawania prawdziwych danych osobowych, do wykorzystania na mniej ważnych serwisach. Możesz też korzystać z tymczasowych adresów e-mail bez konieczności rejestracji i ujawniania Twoich prywatnych danych (np. Guerrilla Mail).

3. Oddziel komputerową przestrzeń prywatną od przestrzeni służbowej – to obejmuje również stworzenie różnych kont e-mail: firmowych, zawodowych, do zakupów online, do Netflixa czy też innych serwisów rozrywkowych).

4. Używaj uwierzytelnienia dwuskładnikowego (2FA) – podczas logowania na konto online system zażąda podania dwóch elementów zamiast tylko loginu i hasła. Drugim elementem może być SMS, kod wysłany e-mailem, powiadomienie push na telefon (tego używają np. banki) lub fizyczny klucz bezpieczeństwa U2F.

5. Korzystaj z menedżera haseł – to aplikacja, która generuje i przechowuje silne, unikalne hasła. Nie będziesz miał pokusy korzystania z tego samego hasła do różnych kont online.

6. Przed sprzedażą/odstąpieniem/wyrzuceniem dowolnego nośnika pamięci lub komputera, smartfona czy też laptopa dokładnie wymaż jego pamięć.

Przeniesienie plików do kosza zmieni tylko ich lokalizację, szybki format pozwoli specjaliście na odzyskanie danych. Najlepiej użyj programu do skutecznego wymazywania dysku SSD/HDD (dostępne są osobne aplikacje oraz niszczarki plików w programach antywirusowych) czy też kart pamięci SD (https://www.sdcard.org/downloads/formatter/). Przed pozbyciem się smartfona, zaszyfruj go, a potem wykonaj reset do ustawień fabrycznych.

7. Szyfruj zawartość telefonów, komputerów, laptopów (możesz użyć np. programu VeraCrypt).

8. Przestrzegaj zasad higieny cyfrowej – nie otwieraj załączników w mailach od nieznanych/podejrzanych nadawców, nie klikaj w linki w SMS-ach jeżeli nie masz pewności, co do tożsamości ich nadawców, nie pobieraj programów, filmów, gier, muzyki, ebooków z pirackich serwisów.

Niezłym pomysłem, choć wymagającym nieco czasu i wysiłku, jest czytanie materiałów na stronach poświęconych cyberbezpieczeństwu (Zaufana Trzecia Strona, CERT Polska). Tam znajdziesz informacje o najnowszych atakach przestępców, np. kampaniach phishingowych. Taka inwestycja czasu i energii w wiedzę z pewnością się zwróci.

Obawiasz się, że Twoje poufne dane trafiły do sieci? Sprawdź to na stronie haveibeenpwned.com lub dehashed.com.

Wiele programów antywirusowych ma też narzędzia do monitorowania Darknetu w poszukiwaniu prywatnych danych, które zostały skradzione lub wyciekły.

Dane wrażliwe – pytania i odpowiedzi (Q&A)

Jakie to są dane wrażliwe?

Dane wrażliwe to według RODO szczególne kategorie danych dotyczące pochodzenia rasowego/etnicznego, poglądów politycznych, przekonań religijnych/światopoglądowych oraz przynależności do związków zawodowych.

Czy PESEL to dane wrażliwe?

Nie, PESEL nie jest zaliczany do danych wrażliwych. Numer PESEL (Powszechny Elektroniczny System Ewidencji Ludności) to dane zwykłe osobowe czyli umożliwiające identyfikację konkretnej osoby.

Jakich danych osobowych nie wolno ujawniać?

Nie wolno ujawniać (przetwarzać) danych o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub światopoglądowych, przynależności do związków zawodowych. Dodatkowo RODO zabrania przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności/orientacji seksualnej tej osoby. Mówi o tym – wraz z wyjątkami od zasad – Artykuł 9 RODO.

Jakie dane nie są wrażliwe?

Do danych, które nie są formalnie (z punktu widzenia prawa) wrażliwe należą zwykłe dane osobowe, m.in. imię i nazwisko, numer PESEL (lub inny identyfikacyjny), identyfikator internetowy (m.in. adres IP) czy też czynniki określające tożsamość osoby fizycznej (np. wzrost, waga, kolor oczu).

Czy imię i nazwisko to dane wrażliwe?

Nie, imię i nazwisko to nie są dane wrażliwe – należą do zbioru danych osobowych. Jednak jeżeli imię i nazwisko w połączeniu z numerem PESEL trafi w ręce nieuczciwych osób, może narazić posiadacza na poważne problemy, w tym kradzież tożsamości.