Z jednego z amerykańskich biur kredytowych skradziono dane wrażliwe 143 mln konsumentów. Konsumenci obawiają się wykorzystania ich do przestępstw finansowych.

Jak informują amerykańskie media, jedno z trzech amerykańskich biur kredytowych – Equifax podało do publicznej wiadomości informację o wycieku danych aż 143 mln konsumentów.

Dane dotyczą głównie Amerykanów, ale także osób z Kanady oraz Wielkiej Brytanii.

Wśród skradzionych danych znalazły się tak wrażliwe informacje jak:

• Imię i nazwisko
• Social Security Number
• Data urodzenia
• Adres
• Numer prawa jazdy.

Dodatkowo, w przypadku 209 tys. osób skradzione zostały numery kart kredytowych.

Wyciek danych trwał od połowy maja do lipca br., ale Equifax dopiero w czwartek poinformował o tym zdarzeniu konsumentów.

Amerykańskie media podają również, że był to 3 przypadek naruszenia bezpieczeństwa danych w firmie Equifax w tym roku.

Incydent ten wzbudza dużo emocji miedzy innymi ze względu na skalę naruszenia. Dotychczasowe przypadki kradzieży danych osób prywatnych dotyczyły niekiedy dużych zbiorów danych, ale nie obejmowały tylu danych wrażliwych. A jeśli skradzione zostały dane wrażliwe, to dotyczyły one znacznie mniejszej liczby osób.

Biura kredytowe są to instytucje specyficzne, bowiem gromadzą one dane klientów z wszystkich banków. Dodatkowo są to informacje szczególnie wrażliwe – oprócz sporej ilości danych osobowych, znajdują się tam również informacje o przeszłym i aktualnym zadłużeniu tych osób.

Taki zakres danych czyni je bardzo wartościowymi dla działań przestępczych, w szczególności zaciągania kredytów na czyjąś tożsamość i co ważne, mogą być one wykorzystywane w długim okresie.

Co mówią liczby o problemie naruszenia bezpieczeństwa danych osobowych?

W USA 2016 rok był rekordowy pod względem liczby zdarzeń naruszenia bezpieczeństwa danych osób prywatnych. Poinformowano o 1093 takich przypadkach i było to o 40% więcej niż w 2015 roku.

Ale te liczby odnoszą się tylko do znanych incydentów, a przecież nie o wszystkich wiadomo. Zatem dane te należy traktować jako „optymistyczne” dla tego problemu.

Najczęściej kradzież danych ma miejsce w szeroko rozumianym biznesie (wyróżniają się tutaj instytucje finansowe, gdzie te sytuacje występują rzadziej) oraz w ochronie zdrowia.

Zapewne nieco większe bezpieczeństwo instytucji finansowych wynika z ich silnego uregulowania i  nadzoru oraz szczególnej dbałości o reputację.

Niestety biura kredytowe, choć w pewnym stopniu są częścią tego systemu, to nie podlegają większości tych regulacji.

Czy jesteśmy świadomi ryzyka kradzieży naszych danych?

Niestety my konsumenci nie jesteśmy świadomi rzeczywistej skali działania cyberprzestępców i ryzyka kradzieży naszych danych osobowych.

Badanie przeprowadzone przez Digital Transformation Institute w 8 krajach świata pokazuje, że konsumenci postrzegają banki i firmy ubezpieczeniowe jako prawie całkowicie bezpieczne z punktu widzenia ryzyka wystąpienia cyber-ataku. Aż 83% konsumentów darzy je takim zaufaniem. Dla porównania podam, że tylko 13% badanych w takim samym stopniu ufa firmom telekomunikacyjnym.

Według autorów badania, tak duże zaufanie wynika z braku wiedzy konsumentów na temat rzeczywistej skali cyber-ataków na banki i firmy ubezpieczeniowe.

Tylko 3% badanych konsumentów wskazało, że bank lub firma ubezpieczeniowa, z usług których korzystają, była przedmiotem takiego ataku w ostatnich 12 miesiącach. Natomiast same instytucje aż w 26% potwierdziły, że były ofiarami cyber-ataku.

Zdecydowanie większą rozbieżność pomiędzy wskazaniami konsumentów i instytucji finansowych odnotowano w tych krajach, w których nie ma obowiązku informowania konsumentów o przypadku kradzieży ich danych osobowych.

Zatem tam, gdzie taki obowiązek istnieje i informacje o tym pojawiają się w mediach, konsumenci mają większą świadomość ryzyka cyber-ataków i kradzieży danych osobowych. W konsekwencji mniej ufają firmom w zakresie bezpieczeństwa ich danych i być może przykładają nieco większą uwagę do tego, co się dzieje oraz co może się stać z ich danymi.

W Polsce instytucje, które dotknął problem naruszenia bezpieczeństwa danych osób prywatnych (z wyjątkiem firm telekomunikacyjnych) nie są zobowiązane do informowania ich o tym.

Dlatego nie mamy świadomości skali takich zdarzeń, nie postrzegamy tego jako realne ryzyko i nie kształtujemy dobrych zwyczajów bezpiecznego korzystania z udogodnień świata cyfrowego oraz kontroli wykorzystania naszych danych. A to, że należy o to dbać, pokazuje zarówno przypadek firmy Equifax, jak i statystyki dotyczące tego problemu.

W Polsce w ubiegłym roku głośno było o wycieku danych z bazy PESEL, którego w rzeczywistości nie było. Ale ta sytuacja pozwoliła uświadomić sobie, że takie incydenty mogą się zdarzyć i jakie mogą być tego konsekwencje.

Szczególnie dużo mówiono o możliwym wykorzystaniu danych osobowych do przestępstw finansowych, w tym zaciąganiu kredytów i pożyczek na nieświadome niczego osoby.

I to znalazło swoje odzwierciedlenie w statystykach Biura Informacji Kredytowej (BIK), który podał niedawno, że z Alertów BIK korzysta 100 tys. osób. Zapewne większość tych Alertów zostało uruchomionych po publikacji informacji o „wycieku danych z bazy PESEL”.

Czy nasze dane będą lepiej chronione?

W maju 2018 roku wchodzi w życie nowe unijne rozporządzenie o ochronie danych osobowych, które wprowadzi wiele ważnych praw dla osób prywatnych i obowiązków dla firm przetwarzających nasze dane.

Między innymi pojawi się obowiązek informowania konsumentów o naruszeniu bezpieczeństwa ich danych osobowych. Powinno to sprzyjać zarówno bardziej świadomemu funkcjonowaniu konsumentów w świecie cyfrowym, jak i podnoszeniu poziomu ochrony naszych danych przez firmy je przetwarzające.

Za brak przestrzegania przepisów rozporządzenia grozi kara w wysokości do 20 mln euro lub 4% rocznego obrotu.

O tym, jak możemy się chronić przed nieupoważnionym wykorzystaniem naszych danych do zaciągnięcia kredytów czy pożyczek, opiszę w kolejnym artykule.

.