Niedoskonała technologia kart zbliżeniowych
Generalny Inspektor Ochrony Danych Osobowych (GIODO) z dużym niepokojem śledzi doniesienia na temat możliwości nieuprawnionego pozyskania danych osobowych właścicieli tzw. zbliżeniowych kart płatniczych. Wykorzystywana przy tego rodzaju kartach technologia "budzi wiele wątpliwości w zakresie dotyczącym bezpieczeństwa przetwarzanych danych".
W opinii Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO), technologia stosowana w przypadku kart zbliżeniowych, tzw. zbliżeniówek, nie jest wystarczająco dopracowana i wymaga dokładnej analizy. Chodzi przy tym o tzw. technologię NFC, czyli technologię komunikacji bliskiego zasięgu (ang. Near Field Communication - komunikacja bliskiego zasięgu).
GIODO ma wątpliwości, czy używanie kart zbliżeniowych jest bezpieczne i gwarantuje ochronę danych osobowych oraz zgromadzonych na koncie pieniędzy.
- Zachęcam do ostrożności, jeśli chodzi o używanie kart zbliżeniowych (...). Mamy wątpliwości, co do tego, czy te rozwiązania techniczne, które zostały wprowadzone w tej chwili przez banki, są w odpowiedni sposób przetestowane - powiedział Wiewiórowski. Zgodnie z jego słowami, zastosowana tam technologia "budzi wiele wątpliwości w zakresie dotyczącym bezpieczeństwa przetwarzanych danych".
Zarówno posiadaczom kart zbliżeniowych, jak i osobom, które z nich jeszcze nie korzystają, a rozważają taką możliwość, GIODO zaleca ostrożność i przeanalizowanie, czy rzeczywiście jest to rozwiązanie znacznie ułatwiające dokonywanie płatności.
- Oczywiście każdy z nas samodzielnie podejmuje decyzję, czy chce skorzystać z rozwiązania, które nie jest do końca bezpieczne. Każdy z nas zdaje sobie sprawę z tego, że również dokonywanie operacji finansowych przy pomocy internetu nie jest w pełni bezpiecznie. Mimo że istnieją różnego rodzaju zagrożenia, takie jak np. ataki na nasz komputer czy na urządzenia transmisyjne, to jednak podejmujemy decyzję o tym, że chcemy skorzystać z takiego rozwiązania, bo uznajemy, że daje nam ono wystarczająco dużo plusów, aby zgodzić się na pewnego rodzaju minusy - podkreślał Wiewiórowski, zaznaczając jednocześnie, że każde nowe rozwiązanie techniczne przechodzi choroby wieku niemowlęcego.
W związku z zaobserwowanymi możliwościami dokonywania nadużyć, Generalny Inspektor Ochrony Danych Osobowych zwrócił się do Komisji Nadzoru Finansowego, aby ta, jako instytucja odpowiedzialna za bezpieczeństwo transakcji finansowych w Polsce, dokonała odpowiedniej analizy stosowanych w "zbliżeniówkach" rozwiązań.
Biznes INTERIA.PL na Twitterze. Dołącz do nas i czytaj informacje gospodarcze
Analiza ta dotyczyć ma przy tym wpływu zastosowanych rozwiązań wykorzystujących technologię kart zbliżeniowych na ochronę danych osobowych w poszczególnych zastosowaniach.
Wyniki badania mają przy tym zostać skonfrontowane z zaleceniami zawartymi w znowelizowanej w styczniu 2013 r. rekomendacji D, dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.
W piśmie skierowanym do KNF wskazano między innymi, że: "Moduły NFC stosowane w kartach płatniczych są modułami pasywnymi, a odczytywane z nich lub zapisywane na nich dane nie są zabezpieczane kryptograficznie, co może stanowić potencjalne źródło nieuprawnionego dostępu do danych lub nieuprawnionej ingerencji w ich treść".
Choć dokonywanie płatności kartami zbliżeniowymi jest z punktu widzenia ich użytkownika bardzo wygodne, ponieważ nie wymaga autoryzacji transakcji niskich wartości kodem PIN, to jednak właśnie ta ich cecha sprawia, że są one łakomym kąskiem dla potencjalnych złodziei. Ci bowiem, wyposażeni w odpowiednie rozwiązania technologiczne, mogą czysto teoretycznie dokonywać transakcji naszą kartą zbliżeniową, nie mając doń nawet fizycznego dostępu. Nadużycia tego typu mogą być więc dokonywane np. w miejscach publicznych zupełnie bez naszej świadomości.
Opublikowany w ostatnich dniach raport Komisji Nadzoru Finansowego, dotyczący bezpieczeństwa użytkowania kart zbliżeniowych, uspokaja jednak posiadaczy "zbliżeniówek", wskazując, iż ryzyko sklonowania karty lub odczytania znajdujących się na niej danych jest dość ograniczone, a ryzyko związane z korzystaniem z tego rodzaju kart jest zbliżone do poziomu ryzyka powiązanego z wykorzystywaniem kart niewyposażonych w tę funkcjonalność.