Dajte pozor pri poskytovaní informácií o užívateľovi, ktoré si sám vyžiadal - GDPR Slovensko

Všeobecné nariadenie o ochrane osobných údajov Európskej únie obsahuje ustanovenie s názvom Právo na prístup, v ktorom sa uvádza, že jednotlivci majú právo na prístup k svojim osobným údajom. Spoločnosti nemajú inú možnosť ako im vyhovieť, inak budú čeliť sankciám. Máloktoré z nich si však dostatočne overia totožnosť žiadajúceho. Takto sa veľmi ľahko môžu dostať citlivé informácie do cudzích rúk. 

 

Krátko po tom ako nariadenie GDPR vstúpilo do platnosti, prebehlo viacero štúdií, kde sa skúmalo, ako sú spoločnosti pripravené na novú legislatívu. Firmy síce riešili to, ako správne implementovať nariadenie, no akosi zabudli na overenie identifikácie žiadateľa o svoje osobné údaje. Mnohým spoločnostiam tiež chýbali nástroje na spracovanie týchto žiadosti.

Techniky útočníkov

Potenciálni útočníci môžu ľahko prísť k osobným údajom človeka. Zdrojom môžu byť napríklad sociálne siete, kde obete sami zverejnili citlivé informácie. Útočníci môžu využiť napríklad techniky sociálneho inžinierstva, ktoré sa zameriava sa na najslabšiu časť systému, čiže na človeka.

 

Sociálne inžinierstvo je podvodná technika získavania informácií. Ide napríklad podvodné emaily alebo pochybné webové stránky, ktoré sa snažia oklamať používateľa. Ten potom nevedomky odovzdá svoje osobné informácie do rúk útočníka. 

 

Overovanie identity

Na identifikáciu používateľa vyžaduje množstvo spoločností nespoľahlivé informácie. Vyskytli sa prípady, kedy spoločnosti požadovali celé meno, emailovú adresu k účtu alebo telefónne číslo. Treba si uvedomiť, že keď útočník osloví pár spoločností a čo i len jedna mu vydá osobné informácie, zvyšuje sa mu šanca uspieť i u ďalších. 

 

Z tohto dôvodu by mal by preto existovať konzistentný spôsob, akým reagovať na žiadosti o prístup k osobným údajom. Útočník sa totižto vie dopracovať k veľmi citlivým údajom, akými sú osobné údaje, čísla kreditných kariet, čísla pasov alebo cestovné trasy. 

 

V súčasnosti spoločnosti vylepšili spôsoby overovania identity, no napriek tomu sa stále robia chyby. Firmy by mali vedieť povedať podozrivým žiadostiam “nie”.