Į LRT GIRDI kreipėsi klausytojas Laurynas, kuriam kilo klausimas, kokius asmens duomenis yra saugu pateikti telefonu ar elektroniniu paštu, kai skambina telekomunikacijų ar kitų paslaugų teikimo bendrovės ir siekia identifikuoti vartotoją. Ekspertai ir paslaugų teikėjai sako, kad skambučiai klientui neturėtų būti netikėti, o kilus įtarimui žmogus gali pats susisiekti su bendrove arba paprašyti jos atstovų kreiptis elektroniniu paštu.
Plačiau – LRT RADIJO laidos „10–12” įraše:
Laiške LRT GIRDI Laurynas atkreipia dėmesį į didžiųjų Lietuvos įmonių praktiką telefonu prašyti klientų pateikti asmens duomenis identifikacijai. Tačiau, anot jo, atsiliepęs žmogus neturi galimybės suprasti, kas iš tikrųjų jam skambina, nes skambinančiojo numerį gali lengvai suklastoti telefoniniai sukčiai.
„Mano požiūriu, tokiu būdu verslai taupo gyventojų sąskaita. Kliento identifikacijai galima panaudoti saugesnes priemones, pavyzdžiui, „Smart ID“ arba žinutę kliento savitarnoje. Nors valstybės pinigai yra leidžiami kampanijoms „Padėk ragelį“, dabar tokie verslai normalizuoja duomenų prašinėjimą telefonu vien tam, kad pasilengvintų pardavimus“, – rašo Laurynas.
Klausytojas pateikia pavyzdį iš asmeninės patirties, kai praėjusių metų rugsėjį dėl naujos sutarties sudarymo jam paskambino konsultantas iš „Telia“. Pokalbio pabaigoje konsultantas pareiškė, kad neturi jo dokumento numerio bei galiojimo datos ir paprašė šiuos duomenis padiktuoti, tačiau kilus abejonei dėl duomenų saugumo Laurynas atsisakė tai padaryti.
„Sutarėme, kad dėl duomenų pateikimo į mane kreipsis elektroniniu paštu. Netrukus sulaukiau laiško iš Telia el. pašto adreso su tuo pačiu prašymu bei pradėjau naudotis paslaugomis, todėl tikrai žinau, jog bendravau su „Telia“ atstovu. Jei tema įdomi, turiu elektroninius laiškus, įrodančius tokią praktiką, tačiau panašu, kad įmonės to net neneigia“, – rašoma laiške.
„Telia“ atstovas Audrius Stasiulaitis sako, kad klausytojas iškėlė svarbų klausimą, kaip dėl sukčių organizuojamų schemų praktikos, anksčiau klientų laikytos savaime suprantamomis bei patogiomis, staiga tapo įtartinomis.
„Galiu pasakyti, kad šis klausimas yra kilęs ne vienam iš mūsų klientų. Tai iš dalies galbūt rodo išaugusį žmonių sąmoningumą dėl to, kam ir kaip jie teikia savo asmeninius duomenis“, – situaciją komentuoja A. Stasiulaitis.
Vis dėlto jis pabrėžia, kad „Telia“ niekada neprašo visų asmens duomenų ir dažniausiai prieš skambinant klientui tam tikru klausimu pirmiausia išsiunčiama SMS žinutė, informuojanti apie būsimą skambutį, pavyzdžiui, dėl sutarties pratęsimo.
„Mūsų klientas tikrai turėjo gauti tokią SMS. Galėjo būti, kad ir negavo, jeigu skambino dėl ypatingų įsigijimų. Bet jeigu baigėsi paslauga, mes reguliaria tvarka visada iš anksto perspėjame, kad bus skambutis. Tai yra pirmas saugumo lygis – kad dėl skambučio pranešama iš anksto“, – teigia telekomunikacijų įmonės atstovas.
Pasak jo, kliento identifikavimui paprastai užtenka nepilnų duomenų – paskutinių keturių asmens kodo skaičių arba gimimo datos.
„To užtenka, kad žmogus patogiai galėtų teisiškai prasitęsti galiojančias sutartis. Bet ko niekada neprašysime, tai bankinių prisijungimo duomenų, ką visada ir pabrėžiame“, – akcentuoja A. Stasiulaitis.
Jo teigimu, vienas iš aspektų, padedančių atpažinti sukčių skambučius, yra bendravimas rusų kalba.
„Joks operatorius, kaip ir ne kartą jau buvo kalbėta, nekalba su savo klientais rusų ar kita užsienio kalba. Tai vienas iš pagrindinių požymių, kaip atskirti, kada skambina sukčiai, o kada – jūsų operatorius“, – pažymi ekspertas.
Jis taip pat sako, kad kilus įtarimui, kai prašoma asmens duomenų identifikacijai, klientai gali patys susisiekti su bendrove dėl sutarties pratęsimo ar kitos paslaugos.
„Mes tikrai esame ne vienam klientui pasakę, kad jie gali patys susisiekti nemokamu klientų telefonu dėl paslaugos. Tai vėlgi yra tam tikras garantas, kad žmogus valdo situaciją, nes pats surinko to paslaugų tiekėjo numerį, kurio ir norėjo“, – teigia A. Stasiulaitis.
Advokatų kontoros „WIDEN“ asocijuota partnerė Daiva Tamulionienė pritaria, kad skambutis dėl duomenų pateikimo klientui neturėtų būti netikėtas. Pasak jos, gavęs išankstinį pranešimą, pavyzdžiui, SMS žinutę, žmogus jau žinos, kokių duomenų bus prašoma ir kaip vyks identifikacijos procesas, o tai yra tam tikras saugumo garantas.
„Kai iš žmogaus yra viliojami duomenys, mes, kaip teisininkai, sakome vertinti du aspektus: vienas dalykas – skambučio netikėtumas. Ar tai būtų skambutis, ar tai būtų elektroninis laiškas, reikia išsiaiškinti, ar kažkas tave sieja su tuo subjektu, asmeniu, kuris tau skambina arba rašo laiškus. Jeigu nesieja ir kontekstas, apie ką eina kalba, yra nesuprantamas, tai jau gali būti sukčiavimo požymis“, – aiškina D. Tamulionienė.
Pasak jos, antras aspektas, į kurį reikėtų atkreipti dėmesį, yra galimybė perkelti bendravimą į elektroninį paštą arba pačiam inicijuoti susisiekimą su paslaugų tiekėju.
„Jeigu kilo bent menkiausia abejonė, niekas nedraudžia, kaip pašnekovas ir padarė, dėl duomenų pateikimo kreiptis elektroniniu paštu. Socialinės inžinerijos atakų kontekste tu taip pat gali pasiimti pauzę ir perskambinti bendrovei vėliau. Žmogus gali pats paskambinti į bendrovę, kurios darbuotoju buvo prisistatoma, paklausti, ar galėjo būti toks skambutis, ar viskas tvarkoje. Kai pats inicijuoji skambutį ir žinai, kam skambini, informacija galima pasitikėti labiau“, – sako advokatė.
Visgi, jos teigimu, nors ypač svarbu su savo duomenimis elgtis atsakingai ir juos saugoti, nereikėtų ir be reikalo panikuoti, jei paprašoma, pavyzdžiui, asmens kodo.
„Rimtos organizacijos, vien tik žinodamos asmens kodą, neturėtų atskleisti daug informacijos ar suteikti kažkokias paslaugas. Kalbant apie nuotolinį identifikavimą, Valstybinė duomenų apsaugos inspekcija taip pat yra pasakiusi, kad vien asmens kodo tam nepakanka“, – atkreipia dėmesį D. Tamulionienė.
Parengė Vaida Račkauskaitė
