Ukrepanje v primeru phishing napada (ribarjenja podatkov)

Datum

06.04.2023

Številka

07121-1/2023/465

Kategorije

Razno

Pri Informacijskem pooblaščencu (IP) smo dne 3. 4. 2023 prejeli vaše zaprosilo za mnenje glede sporočila, ki ste ga prejeli na svoj elektronski naslov. Pošiljatelj elektronskega sporočila se predstavlja kot Davčna uprava Republike Slovenije in od vas želi pridobiti osebne podatke, domnevno z namenom obdelave davčnega obračuna. Prosite za nasvet, kako postopati v takšnih primerih.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP v okviru svojih zakonskih pooblastil opravlja le nadzor nad izvrševanjem pravice do varstva osebnih podatkov, ni pa pristojen za ukrepanje v primerih zaznanih kibernetskih napadov, kamor uvrščamo tudi primere phishing napadov.

Obrazložitev

Glede na podatke, ki ste nam jih posredovali, IP ocenjuje, da gre v opisanem primeru najverjetneje za primer phishing napada oziroma ribarjenja podatkov. S tovrstnimi napadi želijo storilci z lažnim predstavljanjem, da gre za zaupanja vreden subjekt, ki dejansko podatke potrebuje (na primer banka, pošta ali kot v obravnavanem primeru državni organ) pridobiti osebne podatke žrtev, ki jih potem nadalje uporabijo za izvršitev drugih kaznivih dejanj.

Število phishing napadov se iz leta v leto povečuje, obenem pa se povečuje tudi domiselnost in iznajdljivost napadalcev, zato je lažna sporočila vedno težje ločiti od resničnih sporočil. IP vam uvodoma svetuje, da svojih osebnih podatkov, predvsem gesel za elektronsko pošto, identifikacijskih podatkov za spletno banko in podatkov o kreditnih karticah, nikoli ne posredujete nepreverjenim uporabnikom. Več o phishing napadih si lahko preberete na strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/informacijske-tehnologije-in-osebni-podatki/varstvo-osebnih-podatkov-na-internetu#c412 ali na spletni strani Varni na internetu: https://www.varninainternetu.si/phishing-kraja-podatkov/.

Vendar pa lahko IP v okviru svojih zakonskih pooblastil opravlja le nadzor nad izvrševanjem pravice do varstva osebnih podatkov, ni pa pristojen za ukrepanje v primerih zaznanih kibernetskih napadov, kamor uvrščamo tudi primere phishing napadov. Zato vam svetujemo, da se obrnete na nacionalni odzivni center za kibernetsko varnost (SI-CERT). Prijavo lahko pošljete preko elektronskega naslova cert@cert.si, prijavitelje pa pozivajo, da si preberejo navodila za prijavo incidenta, ki so dostopna na spletni strani: https://www.cert.si/prijava-incidenta/.

Če so bili vaši podatki uporabljeni za neupravičen vstop v informacijski sistem (na primer spletne banke) ali ste bili zaradi posredovanja osebnih podatkov oškodovani, lahko napad prijavite policiji, ki bo nadalje preiskala, ali so podani znaki kaznivega dejanja.

V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.

Pripravila

dr. Pika Šarf, Svetovalka IP za mednarodne odnose

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka