Verokausi on virallisesti takanapäin, mikä tarkoittaa sitä, että useimmat meistä hengittävät helpotuksen huokausta. Mutta jotkut meistä ovat edelleen ahdistuneita. Kyse ei ole tilintarkastuksen mahdollisuudesta (joka on pieni, joskin pelottava) vaan pikemminkin pelosta, että henkilöllisyytemme varastetaan.
Jos olet itsenäinen ammatinharjoittaja – olitpa sitten Uber-kuljettaja, Etsy-taiteilija tai jotain vähemmän 2000-luvun tapaista (kuten freelance-toimittaja) – sinulle palkkaa maksavien yritysten on lakisääteisen velvoitteensa mukaan toimitettava 1099-ilmoitus, jonka avulla voit valmistella verojasi. Jakamistalouden räjähdysmäisen kasvun myötä yhä useammat ihmiset saavat nämä asiakirjat työntekijöille varatun verolomakkeen W-2:n sijaan. Yritykset postittavat 1099-lomakkeet fyysisesti, mutta koska virheitä sattuu, verotuksen määräajat ovat muuttumattomia ja Internet on niin kätevä, jotkut talousosastot lähettävät nämä lomakkeet sähköpostitse.
Ja usein ne lähettävät nämä verolomakkeet sähköpostitse salaamattomina, vaikka se on holtitonta. Tämä johtuu siitä, että näissä asiakirjoissa on arkaluonteisia tietoja, kuten sosiaaliturvatunnuksia, ja sähköposti on ensisijainen kohde hakkereille, jotka etsivät identiteettejä varastettavaksi.
Jos et usko, että näin voisi tapahtua sinulle, mieti tätä. Viimeisten kuuden vuoden aikana yli puoli tusinaa ihmistä on lähettänyt minulle sähköpostitse salaamattomia talouslomakkeita, jotka sisältävät henkilökohtaisia tunnistetietoja. Yksi yritys – monimiljoonainen, suuri amerikkalainen tuotemerkki – teki sen jopa kahdesti.
”Sosiaaliturvatunnukset ovat alttiimpia ja arvokkaampia kuin koskaan”, sanoo Rob Douglas, identiteettivarkauksiin ja huijauksiin erikoistunut turvallisuuskonsultti. Douglas todisti ensimmäisen kerran kongressissa henkilötietojen suojaamisesta vuonna 1998. Sen jälkeen lähes ainoa asia, joka on muuttunut, on se, miten helppoa huijareiden on ollut napata arkaluonteiset numeromme.
Vaikka henkilöstöhallintoviraston hakkerointiin liittyneistä massiivisista identiteettivarkauksista veronpalautuspetoksissa menetettyihin miljardeihin, on selvää, että sosiaaliturvatunnuksillasi voi tehdä vaikka mitä. ”Rikolliset rakastavat tätä rikollisuutta, koska se on rikos, josta maksetaan, ja syyttäjien kiinnostus on niin vähäistä”, Douglas sanoo. Esimerkiksi San Diegon poliisi ei edes tutki identiteettivarkaustapausta, ellei siihen liity vähintään 40 000 dollaria, hän sanoo, koska niitä on niin paljon. Kuvittele, että pankkitililtäsi nostetaan tuo summa tänään, etkä löydä huomenna ketään, joka olisi valmis auttamaan sinua.
Todennäköisesti oletat siis, että on laitonta käsitellä jonkun elintärkeitä tietoja näin huolimattomasti, eikö niin? Väärin. Vaikka sosiaaliturvatunnus on liittovaltion tunnus, osavaltioilla on valtuudet päättää, miten niitä käsitellään, mikä tarkoittaa, että protokollat vaihtelevat. Tällä hetkellä vain 12 osavaltiota rajoittaa sosiaaliturvatunnusten fyysistä postittamista, mutta yksikään osavaltio ei kiellä niiden lähettämistä sähköpostitse. Vielä kerran:
Tämä on ongelma. Vaikka sähköpostiviestit ovat mielestämme turvallisia ja vaikka Applen, Googlen ja Microsoftin kaltaiset palveluntarjoajat ovat varmistaneet, että niiden verkkotunnuksen sisällä olevista osoitteista (esimerkiksi gmail.com) lähetetyt ja vastaanotetut viestit ovat turvallisia, kun viesti alkaa kulkea avoimen verkon kautta, kaikki vedot ovat poissa.
Kun sähköpostiviestejä lähetetään, ne siirtyvät tyypillisesti lähettävän tietokoneen ohjelmistosta palvelimille, joita kutsutaan postinsiirtoagenteiksi. Ne kulkevat todennäköisesti useiden tällaisten solmupisteiden kautta, kunnes ne saavuttavat vastaanottajan. Näiden välittäjien välillä sähköpostit salataan, mutta kun ne saapuvat palvelimelle, ne puretaan, luetaan ja salataan uudelleen ennen kuin ne lähetetään seuraavaan solmuun. Georgia Institute of Technologyn julkisen politiikan professori Milton Mueller varoittaa, että tämä prosessi voi olla ”epätäydellinen” turvallisuuden kannalta. ”Viestien sisältö paljastuu välikätenä oleville sähköpostin välityspisteille, ja ne voivat muuttaa sitä”, hän sanoo.
Mueller sanoo, että ongelmana on se, että sähköpostisolmuja hallitaan itsenäisesti, joten yhden solmun salauskäytäntö saattaa olla hieman ristiriidassa toisen solmun salauskäytännön kanssa. Ja jotkin solmut voivat jopa olla vaarassa, jolloin hakkerit pääsevät käsiksi kaikkeen niiden kautta kulkevaan tietoon.
Siltikin voit suojata tietosi salaamalla yksityistä tietoa sisältävät tiedostot. Viimeksi tuon suuren amerikkalaisen tuotemerkin kohdalla pyysin heitä tekemään näin. Hämmästyksekseni tämän Fortune 500 -yrityksen talousasiantuntija ei vain tiennyt, miten PDF-tiedosto salataan, mutta ei myöskään sen tekninen tiimi. (Ihmisten, joiden pitäisi tietää, miten salaus tehdään – etenkin kun on kyse arkaluonteisista taloudellisista tiedoista – ei ole kyse siitä, etteivätkö he osaisi tehdä sitä, vaan se ei kuulu edes heidän protokollaansa, Douglas sanoo. ”On ällistyttävää, ettemme ole kietoneet ajatuksiamme tämän asian ympärille.”
Kerroin tälle yritykselle tarkalleen, miten tiedostoni pitäisi salata, ja silti se lähetettiin edelleen suojaamattomana. Mitä tarvitaan, että ihmiset todella saadaan kunnioittamaan toisten yksityisiä tietoja ja käsittelemään niitä vastuullisesti, kuten he tekisivät omien arkaluontoisten tietojensa kanssa? Douglas sanoo, että se edellyttää, että rahoitusalan ammattilaiset lakkaavat pitämästä näitä elintärkeitä tietoja vähäpätöisinä, pelkkinä numeroina sivulla, ja sen sijaan näkevät niissä sen, mitä ne ovat: henkilön taloudellisen identiteetin.
Mutta se tuskin saa aikaan tarpeeksi suurta muutosta. Sen sijaan Douglas uskoo, että ainoa asia, joka muuttaisi ihmisten välinpitämättömän tavan käsitellä sosiaaliturvatunnuksia sähköpostitse tai paperilla, olisi ”tragedia, jossa joillekin ihmisille aiheutuu niin paljon fyysistä vahinkoa, että se järkyttää kansakunnan omaatuntoa.”
Esimerkiksi lokakuun 15. päivänä 1999 20-vuotias Amy Boyer murhattiin asuntonsa edessä Liam Youensin toimesta, joka oli väijyjä ja joka löysi Boyerin osoitteen sen jälkeen, kun hän oli ostanut hänen sosiaaliturvatunnuksensa verkkosivuilta. Hän ampui naista useita kertoja ennen kuin käänsi aseen itseään vastaan. Sitä seuranneessa kohussa esitettiin ”Amy Boyerin laki”, jonka tarkoituksena on estää kenenkään sosiaaliturvatunnuksen näyttäminen tai myyminen. Lakia ei koskaan hyväksytty, joten Douglasin mainitsemaa omantunnon potkua ei ole vielä tullut.
Ja vaikka sosiaaliturvatunnukseni paraatipaikalla internetissä kuin värikaarti, en ole joutunut identiteettivarkauden tai minkään muunkaan petoksen uhriksi. Toivon, että olen turvassa, mutta Douglas ei ole yhtä optimistinen. ”Minulla ei ole epäilystäkään siitä, että sinun on olemassa”, hän sanoo. ”Tilastollisesti moninkertaisesti.”
Ota yhteyttä osoitteeseen [email protected].
.