Między majem a lipcem 2017 roku hakerzy weszli w posiadanie numerów Social Security 145 milionów Amerykanów. Cyberprzestępcom udało się przeniknąć do systemów komputerowych Equifax – jednej z trzech największych agencji, zbierających informacje o historii kredytowej mieszkańców USA. Biały Dom zadeklarował, że chce odejść od używania tych danych jako podstawowej formy identyfikacji. Nie będzie to łatwe.
Do informacji o włamaniach do systemów komputerowych zdążyliśmy się przyzwyczaić. Ofiarami hakerów padały wielkie sieci handlowe, z których wyciekały numery kart kredytowych klientów, instytucje państwowe – urzędu podatkowego nie wyłączając, a nawet wielkie studia filmowe, które stały się ofiarą szantażu. Atak na Equifax był szczególnie groźny – ofiarą padła bowiem instytucja, której zadaniem jest gromadzenie danych finansowych o setkach milionów konsumentów. Potencjalnie – każdego z nas, jeśli instytucja, w której kiedykolwiek staraliśmy się o kredyt albo usługę właśnie w Equifaxie sprawdzała naszą wiarygodność.
Identyfikacja z przypadku
Numery Social Security (SSN) w pierwotnym założeniu nie miały pełnić funkcji dowodów tożsamości. Kiedy w 1935 roku tworzono obecny system emerytalno-rentowy podjęto decyzję, że do śledzenia wysokości wpłacanych składek i wypłacanych świadczeń potrzebny będzie numer, który pozwoli odróżnić osoby posiadające identyczne dane osobowe. W USA aż roi się od Johnsonów, Smithów, czy Kowalskich. W przypadku posiadania tego samego nazwiska, czy daty urodzenia, numer Social Security pozwalał na odróżnienie poszczególnych osób. Wprowadzenie SSN od początku wiązało się ze sporymi kontrowersjami – wiele osób obawiało się, iż rząd otrzymuje dodatkowe narzędzie pozwalające na kontrolę obywateli. Co ciekawe, przy wydawaniu pierwszych numerów kluczową rolę odegrała amerykańska poczta – urzędy Social Security były dopiero w stadium tworzenia.
SSN dla każdego
Początkowo numery ubezpieczenia społecznego wydawano tylko dorosłym pracującym w większych zakładach pracy. Kolejne legislacje rozszerzały je na następne grupy osób, włącznie z małoletnimi. Dziś bez podania SSN dzieci nie można rozliczyć się z podatków razem całą rodziną. Numery Social Security są wymagane przy staraniu się o prawo jazdy, zakupie domu, zapisach na studia. Ci, którzy nie mają „legalnego” numeru dobrze wiedzą jak trudno założyć bez tego dokumentu konto bankowe, czy dostać kredyt.
Numeru Social Security uczymy się na pamięć i jesteśmy go w stanie wyrecytować w każdej chwili. Początkowo był on więc jedynie 9-cyfrowym kodem rozpoznawczym na użytek federalnego systemu emerytalnego. Z czasem stał się nieodzownym elementem identyfikacji każdego legalnego mieszkańca USA. Podobnym do systemu PESEL, z tym zastrzeżeniem, że polski numer ujawnia jeszcze więcej danych osobowych – zawiera bowiem datę urodzenia.
Systemowi daleko do doskonałości i szczelności. Przykładem może być wynik audytu sprzed trzech lat. Według opublikowanego w 2014 roku raportu Pata O’Carrolla, szefa biura inspektora generalnego Social Security, w latach 2006-2011 aż 66920 osób w USA rozliczyło się z podatków na podstawie numeru ubezpieczenia społecznego osoby, która urodziła się przez 16 czerwca 1901 rokiem. Jak łatwo obliczyć, dochody osiągali podatnicy, którzy w chwili przygotowywania wyników audytu mieliby co najmniej 113 lat. Ci „superstulatkowie” zarobili w sumie 3,1 miliarda dolarów.
[blockquote style=”4″]Administracja już zwróciła się do poszczególnych departamentów i agencji rządowych o zgłaszanie propozycji w jaki sposób można by było zastąpić obowiązujący dziś system numerów ubezpieczenia społecznego[/blockquote]
Muzealny przeżytek?
– Myślę, że numery Social Security to dziś przeżytek. Każde użycie SSN wiąże się dziś z ryzykiem – uważa Rob Joyce, doradca Białego Domu ds. cyberbezpieczeństwa. I przypomina, że w odróżnieniu od innych danych, takich jak np. numery kont, czy kar kredytowych, numeru Social Security nie można zmienić w przypadku jego kradzieży. – W takiej sytuacji wszystkie systemy, które wykorzystują SSN jako metodę identyfikacji należy uznać za z definicji niebiezpieczne – ostrzega Joyce.
Administracja już zwróciła się do poszczególnych departamentów i agencji rządowych o zgłaszanie propozycji w jaki sposób można by było zastąpić obowiązujący dziś system. Według Joyce’a rząd rozpatruje możliwość opracowania jakiegoś systemu identyfikacyjnego obejmującego możliwość zaszyfrowania informacji zawierającego dane personalne.
Do rąk złodziei wpadają numery Social Security przy wielu cyberwłamaniach. Sprzedawane na czarnym rynku wraz z innymi danymi osobowymi mogą zostać wykorzystane przy wyłudzaniu kredytów, zakładaniu kart kredytowych, czy zakupach cennych i drogich towarów – ostrzegają organizacje chroniące praw konsumentów. – Osobiście wiem, że mój SSN został w niecny sposób wykorzystany co najmniej czterokrotnie w ciągu mojego życia – wyznał przed kongresową komisją Richard Smith, były dyrektor wykonawczy Equifaxu. Przykład jego firmy, która oparła swój wielomiliardowy model biznesowy na bazie danych, w której wykorzystuje się numery ubezpieczenia społecznego dowodzi, że nikt nie jest bezpieczny.
Muzyka przyszłości
Założenie alternatywnego systemu identyfikacji, który objąłby ponad 330 milionów mieszkańców nie będzie jednak łatwe. Projekt wymagałby ogromnych inwestycji infrastrukturalnych. Według ekspertów musiałby opierać się co najmniej na dwustopniowym systemie identyfikacji z włączeniem elementów kryptograficznych. Powinien też obejmować dane biometryczne. Można już sobie wyobrazić protesty obrońców prawa do prywatności przeciwko ingerencji rządu federalnego w życie obywateli. ––
– Zastąpienie obecnego systemu nowym byłoby gigantycznym przedsięwzięciem – przyznaje John Witte, emerytowany profesor nauk politycznych na University of Wisconsin-Madison, a prywatnie prawnuk Edwina Witte’a, jednego z twórców systemu Social Security za czasów prezydenta Franklina D. Roosevelta. I przypomina, że wojna hakerów z
„dobrymi chłopcami” od zabezpieczeń nigdy się nie skończy. A podobno nie ma systemu, którego nie dałoby się złamać.
Propozycje Roba Joyce’a należy traktować jako dopiero pierwsze przymiarki do stworzenia alternatywy dla obecnie stosowanego systemu identyfikacji. Na razie jesteśmy skazani na nauczenie się na pamięć 9-cyfrowego numeru i korzystania z niego przy różnych okazjach. Ze świadomością, że numer ten może już znajdować się w posiadaniu cyberprzestępców.
Jolanta Telega
