30.6.08

Krađa identiteta na vratima

"Krađa identiteta" nas obično asocira na nepouzdanost Interneta, neopreznost u otvaranju i odgovaranju na mail poruke i potencijalne probleme s kreditnim karticama. Ako ste primarno okrenuti Internet zajednici možda ne znate da je "krađa identiteta" davno definiran scenarij prijevare, utemeljen u netehnološkom kontekstu. Zaparavo, i danas je veoma čest. Naše novine redovito donose primjere krađe identiteta koje su zasnovane na takvim klasičnim scenarijima. Unatrag nekoliko mjeseci, Jutarnji list je pisao o više takvih primjera. Krajem svibnja opisan je slučaj krađe podataka o identitetu invalida domovinskog rata kredita, nakon čega su neovlašteno podignuti krediti Splitu i okolici. Mjesec dana kasnije, opisan je slučaj hrvatskog državljanina koji živi u SAD-u, a postao je žrtva prijevare, te zamalo ostao bez kuće na Krku (netko je, na temelju ukradinih podataka o njegovom identitetu, sastavio kupoprodajni ugovor). Kakve veze imaju spomenuti primjeri s temom ovih stranica?

Nesumnjivo, radi se o klasičnom kriminalu koji pripada crnoj kronici. No, u njima možemo prepoznati određene veze s informacijskom sigurnošću. Povezanost klasične krađe identiteta s informatikom dodatno će argumentirati i prošlogodišnji primjer prijevare u osječkoj podružnici RBA.

Naime, da bi krađa identiteta bila uspješna, napadač mora na što je moguće bolji način utjeloviti identitet žrtve. Nasuprot pred-digititalnom razdoblju kada su podaci bili reducirani teško dostupni i ograničeni, danas se takvi podaci lakše pronalaze. Ponekad samo u poslovnom okruženju s ograničenim pristupom, no veoma često u javno dostupnim izvorima i uz suglasnost potencijalnih žrtava (Google može puno toga otkriti, no tu su i sve brojni oblici "socijalnih" sadržaja).

Stoga nas ne treba čuditi ako ovih primjera bude sve više. Možda smo premala zajednica da bi masovna krađa identiteta zloupotrebom elektroničke pošte ("phishing") bila ekonomična za napadače, no klasične prijevare i usmjerena krađa identiteta nailazi na plodno tlo (osobni identifikacijski broj će dodatno olakšati pomoć napadačima). Procjena informacijskih rizika u poslovnim sustavima, a naročito u procesima državne uprave mora ozbiljno uzeti u obzir ove prijetnje, te na vrijeme izabrati odgovarajuće zaštitne mjere. Procjenjujem da neće uvijek ići lako, s obzirom da je strategija obrane uglavnom usmjerena prema informatičkoj infrastrukturi, a veoma rijetko prema podacima (što je u slučaju krađe identiteta neophodno)

Druga poveznica s ovim stranicama leži u činjenici da je u svim citiranim slučajevima došlo do propusta u provjeri i verifikaciji identiteta žrtava. U ovim primjerima to, naravno, nema veze s informacijskim tehnologijama: isprave su krivotvorene na klasičan način, bilježnici su površno provjeravali ugovore, dolazilo je do propusta sudskih službenika - pretpostavljam da će istražna tijela imati dovoljno posla. No, iz ovih slučajeva pouku treba izvući državna uprava: jedna od funkcija tijela u pravnoj državi je i pružanje servisa kroz koji se potvrđuje vjerodostojnost transkacija, podataka o predmetima ovih transkacija, a naročito identitet osoba koje sudjeluju u transkacijama. Zamahom digitalne državne uprave, servisi potvrde vjerodostojnosti postati će kritični. Dizajn i implementacija servisa mora biti izuzetna, a operativna provedba treba onemogućiti sve zloupotrebe. Pored toga, već sada bi trebalo dati jasne odgovore tko će biti odgovoran za slične slučajeve u sustavu digitalne državne uprave, a naročio tko će pokrivati financijske štete u ovim slučajevima?

Nema komentara: