Co z tym ryzykiem i co z tą materializacją zagrożenia vs. SPOOFING

Sprawa okazuje się nie być ani oczywista, ani prosta. Dlatego choć to nie literatura piękna zapraszam do przeczytania artykuły do końca. Artykuł traktuje o przypadkach, których postrzeganie zależy bardzo mocno od punktu przyłożenia nacisku. Ale zacznę od ponownego przybliżenia zagadnienia, jakim jest wysokość ryzyka odnoszącego się do zdarzenia, czyli na ile dane osobowe były narażone na naruszenie.

Zatem na szybko – kurier gubi przesyłkę – na kopercie są dane adresowe, a w środku umowa i dane, co najmniej ważne. Dlaczego UODO uznał ryzyko za wysokie, skoro koperta w nienaruszonym stanie wróciła do nadawcy? Bo nie chodzi o to, co się wydarzy, tylko o to, na ile może się wydarzyć. Nie chodzi o to, że naruszono / nie naruszono ale o to, że  ryzyko naruszenia było wysokie. W końcu rozdarcie  koperty to drobnostka…

No to porozmawiajmy o spoofingu i innych przypadkach…

Bierzemy na tapetę dwa zdarzenia z niedalekiej przeszłości. W jednym i drugim poszło o to samo. Wyłudzenie danych z wykorzystaniem wizerunku banku lub czymś, co ten wizerunek przypomina.

W obu przypadkach klient/klientka sami podali przestępcom swoje dane osobowe, sami  zainstalowali sobie oprogramowanie, z którego korzystali przestępcy. No i na koniec sami nie zauważyli nic podejrzanego w działaniach rozmówców. Tak w ogólności…

I na tym etapie wszyscy się zgadzamy, bankowi nic do tego poza tym, że może być mu przykro, że Klient padł ofiarą działania przestępców,  więc o tej części nie będziemy się rozpisywać… Za to przyjrzyjmy się temu, co było dalej…

W jednym przypadku została złożona dyspozycja przelewu i miał miejsce kontakt ‘klienta’ z bankiem z pretensjami: dlaczego przelew jeszcze nie wyszedł.

W drugim przypadku, korzystając z pozyskanych danych przestępcy skontaktowali się z bankiem próbując dokonać zmiany limitów na rachunku Klienta, którego tożsamość przejęli.

I tu dopiero zaczyna się robić ciekawie, bo wraz z kontaktem z bankiem, w obu przypadkach mamy do czynienia z przestępstwem już nie tylko kradzieży tożsamości ale z podszyciem się pod czyjąś tożsamość wraz z próbą uzyskania określonych korzyści, w tym przypadku, ni mniej ni więcej, w ramach próby kradzieży środków finansowych. I zgadzam się z policją, która mówi: ale to poszkodowany ma zgłosić nauka światowa zna przypadki wyroków, gdzie bank został ukarany za słabe procedury bezpieczeństwa…  Ale do rzeczy…

W jednym z tych przypadków dzwoniący pseudo klient trafił na osobę bardzo świadomą, dla której wschodni akcent już był podejrzany, bo nie pasował do profilu klienta. Osoba ta podjęła rozmowę z jak się okazało nie do końca świadomym działania banku złodziejem i odpytała go na okoliczność prawie wszystkich informacji o prawdziwym kliencie. Co się okazało pseudo klient znał prawie wszystkie odpowiedzi. Padł dopiero na mailu, który się nie zgadzał i koniec końców żaden przelew z konta nie wyszedł.

W drugim przypadku, sprawa utknęła na próbie zmiany limitów. Niestety szczegółów brak – decyzją zarządu dalsze procedowanie sprawy zostało wstrzymane, a szkoda…

Szkoda z dwóch powodów – co do zasady utrudnianie działań IOD stanowi naruszenie RODO, tak, tak naruszenie. A z drugiej… 

Efektem analizy tego co się stało w pierwszym przypadku, były wnioski co do tego, co bank może zrobić w ramach walki ze spoofingiem. Teoretycznie nic, skoro służby państwowe nic z tym nie robią. Ale to tylko teoretycznie, bo można np. wrócić do starej dobrej praktyki call backu, czyli bank dzwoni, klient oddzwania. Skoro bank nie prosi o oddzwonienie, znaczy się to nie bank. Spoofing w drugą stronę nie działa.

Ale to nie wszystko. Według naszej wiedzy sprawa ma szerszy wymiar niż dwa banki.  Nie wiemy jak obroniła się obsługa klienta w drugim przypadku ale z ze stuprocentową pewnością wiemy, że prędzej czy później sprawa trafi na pracownika mniej świadomego lub bardziej przestraszonego, a wtedy dojdzie do rzeczywistego naruszenia. A zgłaszanie incydentów do PUODO nie dotyczy tylko tych zmaterializowanych incydentów ale zdarzeń obarczonych dużym ryzykiem naruszenia (patrz Santander) i wystarczy tylko to ryzyko aby incydent wymagał zgłoszenia.

Rolą IOD nie jest dyscyplinowanie administratora, podobniej jak rolą administratora nie jest mówienie inspektorowi kiedy coś należy uznać za incydent, a kiedy nie,  bo to jego prawo do wydania niezależnej  opinii. Ale z całą pewnością zdarzenia, z którymi się spotkaliśmy kwalifikują się do rekomendacji: nie bagatelizować, bo to się może bardzo źle skończyć. I nie mam tu na myśli  tylko kar od PUODO, bo to banki udźwigną ale mam na myśli pozwy klientów, które w nie jednej sytuacji mogą być przez banki przegrane, a takie przypadki też już znamy.

Bernadet Gronowska, Jacek Rembikowski, Poznań 2024