Skattesæsonen er officielt i bakspejlet, hvilket betyder, at de fleste af os ånder lettet op. Men nogle af os er stadig bekymrede. Det handler ikke om risikoen for at blive revideret (som er lille, om end skræmmende), men snarere om frygten for, at vi får stjålet vores identitet.
Hvis du er selvstændig erhvervsdrivende – uanset om du er Uber-chauffør, Etsy-kunstner eller noget mindre 21. århundrede (som f.eks. freelancejournalist) – er de virksomheder, der betaler dig, lovmæssigt forpligtet til at udlevere en 1099 for at hjælpe dig med at forberede din skat. Og med eksplosionen af “deleøkonomien” får flere mennesker disse dokumenter i stedet for W-2s, som er den skatteformular, der er forbeholdt ansatte. Virksomhederne sender 1099’erne fysisk med posten, men fordi der sker fejl, fordi skattefristerne er ubevægelige, og fordi internettet er så bekvemt, sender nogle finansafdelinger disse formularer pr. e-mail i stedet.
Og ofte sender de disse skatteformularer ukrypteret pr. e-mail, selv om det er uforsvarligt at gøre det. Det skyldes, at disse dokumenter indeholder følsomme data som f.eks. personnumre, og at e-mail er et oplagt mål for hackere, der er på udkig efter identiteter at stjæle.
Hvis du ikke tror, at dette kan ske for dig, så tænk på dette. I løbet af de sidste seks år har mere end et halvt dusin mennesker sendt mig ukrypterede finansielle formularer med personligt identificerende oplysninger pr. e-mail. En virksomhed – et stort amerikansk mærke med mange millioner dollars – har endda gjort det to gange.
“Social security numbers are more susceptible and more valuable than ever”, siger Rob Douglas, en sikkerhedskonsulent, der har specialiseret sig i identitetstyveri og svindel. Douglas vidnede første gang for Kongressen om beskyttelse af personlige identifikationsoplysninger i 1998. Siden da er stort set det eneste, der har ændret sig, hvor let det er blevet for svindlere at snuppe vores følsomme tal.
Fra det massive omfang af identitetstyveri i forbindelse med hacket af Office of Personnel Management til de milliarder, der er gået tabt i forbindelse med svindel med tilbagebetaling af skattepenge, er det klart, at der er mange ting, som skurke kan gøre med dit socialsikringsnummer. “Kriminelle elsker denne forbrydelse, fordi det er en forbrydelse, der betaler sig, og der er så lidt interesse fra anklagemyndighedens side,” siger Douglas. For eksempel vil politiet i San Diego ikke engang se på en sag om identitetstyveri, medmindre der er mindst 40.000 dollars involveret, siger han, fordi der er så mange af dem. Forestil dig at få det beløb hævet fra din bankkonto i dag og ikke finde nogen, der er villige til at hjælpe dig i morgen.
Så du ville naturligvis antage, at det er ulovligt at behandle nogens livsvigtige oplysninger så skødesløst, ikke sandt? Forkert. Selv om socialsikringsnummeret er en føderal identifikator, har staterne myndighed over, hvordan de håndteres, hvilket betyder, at protokollerne varierer. I øjeblikket er det kun 12 stater, der begrænser den fysiske forsendelse af personnumre, men ingen stater forbyder e-mailing af dem. Igen: Det er helt lovligt at indsætte en persons personnummer i en e-mail.
Det er et problem. Selv om vi måske føler, at e-mail er sikkert, og selv om udbydere som Apple, Google og Microsoft har gjort det sådan, at noter, der sendes og modtages fra adresser inden for deres domæne (f.eks. gmail.com), er sikre, så er alt tabt, så snart en besked begynder at krydse det åbne net.
Når e-mails sendes, flyttes de typisk fra softwaren på den afsendende computer til servere, der kaldes mail transfer agents. De vil sandsynligvis gå gennem flere af disse knudepunkter, indtil de når frem til modtageren. Mellem disse relæer er e-mails krypteret, men når de rammer en server, bliver de ukrypteret, læst og derefter gen-krypteret, inden de sendes videre til den næste knude. Milton Mueller, professor i offentlig politik ved Georgia Institute of Technology, advarer om, at denne proces kan være “ufuldkommen” med hensyn til sikkerhed. “Indholdet af beskederne afsløres for og kan ændres af mellemliggende e-mail-relæer”, siger han.
Mueller siger, at problemet er, at e-mail-knudepunkterne forvaltes uafhængigt af hinanden, så en knudepunkts krypteringspolitik kan være lidt uforenelig med en anden knudepunkts politik. Og nogle knudepunkter kan endda være kompromitteret, så hackere kan få adgang til alle de oplysninger, der strømmer gennem dem.
Selvfølgelig kan du beskytte dine data ved at kryptere filer, der indeholder private oplysninger. Senest har jeg i forbindelse med det store amerikanske mærke anmodet dem om at gøre dette. Til min forbløffelse vidste ikke blot en finansperson i denne Fortune 500-virksomhed ikke, hvordan man krypterer en PDF-fil, men det vidste deres tekniske team heller ikke. (Det er så simpelt som at sætte kryds i en boks.) “Folk, der burde vide, hvordan man krypterer – især når det drejer sig om følsomme finansielle oplysninger – det er ikke fordi de ikke ved, hvordan man gør det, det er ikke engang i deres protokol,” siger Douglas. “Det er utroligt, at vi ikke har fået styr på dette problem.”
Jeg fortalte dette firma præcis, hvordan jeg skulle kryptere min fil, og alligevel blev den stadig sendt ubeskyttet. Hvad skal der til for at få folk til at respektere andres private data og håndtere dem ansvarligt, ligesom de ville gøre med deres egne følsomme oplysninger? Douglas siger, at det kræver, at finansfolk holder op med at betragte disse vitale data som detaljer, som bare tal på en side, og i stedet ser dem for det, de er: en persons finansielle identitet.
Men det vil sandsynligvis ikke gøre en stor nok forskel. I stedet mener Douglas, at det eneste, der vil ændre den nonchalante måde, folk håndterer socialsikringsnumre via e-mail eller på papir, vil være “en tragedie af en sådan karakter med fysisk skade på nogle mennesker, at det chokerer nationens samvittighed.”
For eksempel blev den 15. oktober 1999 den 20-årige Amy Boyer myrdet foran sin lejlighed af Liam Youens, en stalker, der fandt Boyers adresse efter at have købt hendes socialsikringsnummer fra et websted. Han skød hende flere gange, før han vendte pistolen mod sig selv. I den efterfølgende forargelse blev der fremsat en “Amy Boyers lov”, der skulle forhindre, at man kunne vise eller sælge nogens personnummer. Loven blev aldrig vedtaget, så det samvittighedskick, som Douglas henviste til, er endnu ikke kommet.
Og på trods af mit personnummer, der går rundt på internettet som en faneborg, er jeg ikke blevet offer for identitetstyveri eller anden form for svindel. Det er mit håb, at jeg er i sikkerhed, men Douglas er ikke så optimistisk. “Jeg er ikke i tvivl om, at din er derude,” siger han. “Statistisk set, flere gange.”
Kontakt os på [email protected].