Identyfikacja i ochrona PII (informacji umożliwiających identyfikację osoby)

Blog

Dowiedz się, czym są dane osobowe (PII), jak chronić swoje dane oraz jakie wymogi prawne muszą spełniać firmy, aby zapewnić prywatność.

przez Ahona Rudra

Ostatnia aktualizacja:
8 czas czytania: 2 minuty
Identyfikacja i ochrona PII (informacji umożliwiających identyfikację osoby)
Spis treści-

Kto chciałby, aby jego dane osobowe i dane wrażliwe zostały naruszone i wykorzystane przez kogoś do nieuczciwych działań? Ale smutna rzeczywistość jest taka, że stało się to powszechną praktyką.

Niedawno ujawniono, że prawie 50% naruszeń danych w latach 2021-2023 dotyczyło danych osobowych klientów (PII), a 40% tych danych pochodziło od pracowników. Dane te zostały zarejestrowane podczas a ankiety w październiku 2023 r..

Dane osobowe nie są zbyt skomplikowane, ale nadal ważne jest, aby zrozumieć, czym one są i dlaczego identyfikowanie i ochrona danych osobowych jest tak ważna. Niniejszy przewodnik zawiera wszystkie odpowiedzi, które pomogą Ci chronić swoje dane osobowe i siebie samego. 

 

Kluczowe wnioski

  1. Informacje osobiste obejmują zarówno wrażliwe, jak i niewrażliwe informacje, które można wykorzystać do identyfikacji osób.
  2. Wrażliwe informacje osobiste mogą wyrządzić znaczne szkody, jeśli zostaną naruszone, podczas gdy niewrażliwe informacje osobiste same w sobie są mniej niebezpieczne.
  3. Firmy muszą stosować solidne środki w celu ochrony gromadzonych i przechowywanych przez nie danych osobowych.
  4. Naruszenie danych może nastąpić różnymi metodami, takimi jak phishing i złośliwe oprogramowanie, co podkreśla potrzebę zachowania czujności.
  5. Zgodność z przepisami takimi jak RODO i HIPAA jest niezbędna dla firm w celu ochrony danych osobowych i uniknięcia kar.

Co to są dane osobowe (PII)?

PII, czyli Personally Identifiable Information, to informacje, które stanowią istotną część tożsamości użytkownika i mogą wskazywać bezpośrednio na niego. 

Wyobraź sobie, że jest to tajny kod, który sam w sobie lub w połączeniu z innymi informacjami może ujawnić Twoją tożsamość. To nie tylko imię, nazwisko i adres; to jak elementy układanki, które po złożeniu tworzą pełny obraz "ciebie". 

Załóżmy na przykład, że użytkownik ma na imię John. Na całym świecie jest wiele innych osób o tym samym imieniu, dlatego nie można go uznać za dane osobowe. Ale co, jeśli powiemy, że nazywasz się John Doe i mieszkasz na Manhattanie z numerem ubezpieczenia społecznego AXY123? Teraz staje się on informacją osobistą i może jednoznacznie identyfikować cię spośród innych Johnów mieszkających w innych obszarach.

Dane osobowe można podzielić na niewrażliwe i wrażliwe. Zajmiemy się tym w następnej kolejności.

 

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo

Informacje PII niewrażliwe i wrażliwe

Departament Obrony Stanów Zjednoczonych udostępnia listę przykładów dotyczących danych osobowych. Od numerów ubezpieczenia społecznego po adresy osobiste – wszystkie te dane mogą być uznane za dane osobowe. Twoim celem powinno być właśnie identyfikowanie i ochrona wrażliwych danych osobowych. 

Przyjrzyjmy się dwóm wyróżniającym się kategoriom danych osobowych: 

Wrażliwe informacje osobiste

Wrażliwe informacje osobiste to informacje, które mogą bardzo łatwo zidentyfikować daną osobę. Ten rodzaj informacji osobistych może być szkodliwy dla osoby, do której należy, jeśli zostanie odzyskany przez cyberprzestępcę. 

Przykłady wrażliwych informacji umożliwiających identyfikację osób

  • Numer ubezpieczenia społecznego (SSN)
  • Prawo jazdy
  • Adres do korespondencji
  • Informacje o karcie kredytowej
  • Informacje o paszporcie
  • Informacje finansowe
  • Dokumentacja medyczna

Niewrażliwe informacje osobiste

Wszelkie informacje, takie jak nazwisko panieńskie, które mogą zidentyfikować osobę, ale nie mogą być wykorzystane do wyrządzenia jej krzywdy, są definiowane jako niewrażliwe informacje osobiste. 

Przykłady niewrażliwych informacji umożliwiających identyfikację osób

  • Imię
  • Kod pocztowy
  • Wyścig
  • Płeć
  • Data urodzenia
  • Miejsce urodzenia
  • Religia

Jeśli Ty lub jakakolwiek inna firma chce zbierać dane osobowe, będzie musiała korzystać z formularzy online, ankiet i mediów społecznościowych, najlepiej z dołączoną umową o zachowaniu poufności. Upewnij się, że za każdym razem, gdy udostępniasz komuś swoje dane osobowe, sprawdzasz, czy ma on odpowiedni plan wykorzystania, przechowywania i ochrony informacji.

Dlaczego informacje osobiste są ważne?

Identyfikacja i ochrona danych osobowych ma kluczowe znaczenie, ponieważ chroni Twoje dane. Wszystkie firmy i organizacje, które posiadają Twoje dane osobowe, są prawnie zobowiązane do ich ochrony za wszelką cenę. Zapewnia to bezpieczeństwo i ochronę Twoich danych osobowych.

Firmy mogą wykorzystywać informacje o użytkowniku do różnych celów, takich jak

  • Reklama ukierunkowana
  • Zapobieganie oszustwom
  • Egzekwowanie prawa
  • Scoring kredytowy
  • Kontrola zatrudnienia

Jak można ukraść dane osobowe?

Jak można ukraść PII?

Ataki takie jak inżynieria społeczna przy użyciu sfałszowanej nazwy domeny lub wiadomości e-mail mogą nakłonić ludzi do ujawnienia informacji osobistych. Istnieje również możliwość wycieku prywatnych informacji w wyniku zhakowania konta e-mail, naruszenia bezpieczeństwa danych itp.

Oto kilka typowych sposobów kradzieży danych osobowych: 

  1. Wiadomości phishingowe: Fałszywe wiadomości e-mail nakłaniające ofiary do ujawnienia swoich danych osobowych
  2. Naruszenia danych: Atakujący wykorzystują luki w zabezpieczeniach systemu, aby włamać się do wrażliwych baz danych
  3. Nurkowanie w śmietniku: Odzyskiwanie z kosza usuniętych dokumentów zawierających dane osobowe
  4. Inżynieria społeczna: Manipulowanie niczego niepodejrzewającymi ofiarami w celu udostępnienia danych osobowych.
  5. Złośliwe oprogramowanie: Złośliwe oprogramowanie, które infiltruje pliki zawierające dane osobowe na komputerze użytkownika.
  6. Zagrożenia wewnętrzne: Własni pracownicy ujawniający dane osobowe w złych zamiarach lub dla pieniędzy.
  7. CyberpodsłuchPodsłuchiwanie komunikacji online w celu kradzieży danych osobowych
  8. Zhakowane konta e-mail: Uzyskanie dostępu do kont e-mail w celu odczytywania czatów zawierających dane osobowe
  9. Ataki typu man-in-the-middle: Atakujący przechwytujący komunikację online w celu kradzieży danych osobowych
  10. Ataki siłowe: Uzyskanie nieautoryzowanego dostępu do kont przy użyciu brutalnej siły, takiej jak ciągłe ponawianie prób, a następnie kradzież danych osobowych.

Metody ochrony informacji osobistych

Różne kraje przyjęły wiele przepisów dotyczących ochrony danych, aby stworzyć wytyczne dla firm, które gromadzą, przechowują i udostępniają dane osobowe klientów. Przyjrzyjmy się sposobom identyfikacji i ochrony danych osobowych.

  • W razie potrzeby używaj silnych haseł.
  • Zachowaj ostrożność przy udostępnianiu informacji online.
  • Rutynowo monitoruj swoje raporty kredytowe pod kątem oznak oszustwa.

Jeśli jesteś właścicielem firmy, powinieneś rozważyć poniższe kroki:

  • Zbieramy tylko te dane osobowe, które są niezbędne do świadczenia określonej usługi.
  • Szyfrowanie stosowane w firmach powinno być solidne, aby zapobiec nieautoryzowanemu dostępowi do danych osobowych pracowników i klientów.
  • Dostęp do informacji osobistych powinien być ograniczony tylko do tych pracowników, którzy potrzebują ich do wykonywania swoich obowiązków.
  • Należy przeprowadzić sesję szkoleniową w celu przeszkolenia pracowników w zakresie ochrony danych osobowych.
  • Zawsze uważnie obserwuj wszelkie naruszenia bezpieczeństwa, które mogą wystąpić nagle.
  • Powinien istnieć plan reagowania na naruszenie danych, aby można było szybko zareagować na naruszenie danych i zminimalizować szkody.

Aby jeszcze bardziej wzmocnić praktyki ochrony danych, wiele organizacji decyduje się na współpracę ze zdalnymi programistami, którzy mogą wdrażać bezpieczne systemy i zaawansowane protokoły szyfrowania. Budując rozproszony zespół ze sprawdzoną wiedzą z zakresu cyberbezpieczeństwa, firmy mogą zapewnić spójne monitorowanie, szybką reakcję na zagrożenia i zgodność z globalnymi przepisami dotyczącymi danych.

Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych opublikował również wnikliwy dokument określający, jak bezpiecznie chronić i udostępniać swoje dane osobowe.

Znaczenie ochrony informacji osobistych przed naruszeniami danych

Naruszenie bezpieczeństwa danych ma miejsce, gdy osoba nieposiadająca upoważnienia od firmy uzyskuje dostęp do systemów komputerowych, co może prowadzić do pozyskania poufnych informacji

Podczas poszukiwań znaleźliśmy badanie, które wykazało, że ponad 6 milionów rekordów zostało naruszonych na całym świecie w 2023 roku. Jest to jeden z najbardziej niepokojących czynników dla liderów firm.

Naruszenia danych mogą wystąpić z różnych powodów, takich jak

  • Malware
  • Hakowanie
  • Błędy ludzkie

Firmy mogą stosować się do poniższych praktyk, aby chronić swoje dane przed naruszeniami:

  • Wdrożenie odpowiednich środków bezpieczeństwa.
  • Kształcenie pracowników w zakresie najlepszych praktyk w dziedzinie cyberbezpieczeństwa na świecie.
  • Posiadanie planu reagowania i naprawczego na wypadek nagłego naruszenia danych.

Przepisy i regulacje dotyczące informacji osobistych

Dane osobowe są regulowane przez wiele przepisów i regulacji. Zapewniają one, że prywatność osób fizycznych jest bezpieczna i nie muszą się one martwić o zagrożenia, takie jak podszywanie się. Niektóre z tych przepisów federalnych to:

1. Ustawa o prywatności z 1974 r.

Ustawa o Ustawa o prywatności z 1974 r. określa zasady dla agentów federalnych, jeśli chodzi o gromadzenie, wykorzystywanie i ujawnianie danych osobowych. Ustawa ta sprawia również, że agencje federalne muszą informować ludzi, czy mogą ujawnić swoje dane osobowe, a jeśli ktoś tego nie zrobi, czekają go kary. Istnieją jednak pewne szczególne przypadki i wyjątki.

2. Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych

Następnie jest HIPAA, czyli Health Insurance Portability and Accountability Actsuperbohater dokumentacji medycznej. Wymaga ona, aby instytucje opieki zdrowotnej i świadczeniodawcy przechowywali informacje o pacjentach w tajemnicy i nie ujawniali ich dokumentacji medycznej bez zgody.

3. Ustawa o wolności informacji

I nie zapominajmy o FOIA, ustawie o Ustawa o wolności informacji. To złoty bilet dla osób, które chcą zagłębić się w rządowe akta. Mówi agencjom federalnym: "Pokaż swoje karty, chyba że jest to super tajne". Zasadniczo jest to przepustka publiczna do informacji rządowych! Jednak FOIA działa również jako obrońca danych osobowych, prosząc organy ścigania o nieujawnianie informacji, które mogą być identyfikowalne lub szkodliwe.

4. Ogólne rozporządzenie o ochronie danych (RODO) 

W 1995 r. obowiązywała dyrektywa o ochronie danych, ale później, RODO w celu ochrony danych osobowych. Teraz każda firma zajmująca się danymi osobowymi obywateli UE, niezależnie od tego, czy ma siedzibę w UE, czy gdzie indziej (tak, nawet w USA!), musi przestrzegać tego samego zestawu zasad.

Niezgodność z przepisami może skutkować wysokimi grzywnami - 4% globalnego rocznego przychodu lub 20 milionów euro, w zależności od tego, co jest bardziej bolesne - za naruszenie niektórych przepisów. Ponadto osoby fizyczne mają prawo do złożenia skargi, jeśli uważają, że ich prawa wynikające z RODO zostały naruszone. 

Należy pamiętać, że RODO jest globalnym szeryfem prywatności danych, który dba o to, by firmy nie postępowały zbyt pochopnie z danymi osobowymi użytkowników. To strażnik Twoich danych, trzymający cyfrowy świat w ryzach.

Jak firmy mogą chronić dane swoich klientów?

Firmy poszukujące sposobów identyfikacji i ochrony danych osobowych w celu zwiększenia swojego bezpieczeństwa mogą rozważyć poniższe przydatne wskazówki:

  • Wdrożenie segmentacji sieci: Pomyśl o tym jak o budowaniu murów w swoim cyfrowym królestwie. Jeśli jeden obszar zostanie naruszony, inne mogą pozostać silne. To jak posiadanie tajnych przedziałów w skarbcu danych.
  • Egzekwowanie zasad i procedur bezpieczeństwa: Ustal zasady i upewnij się, że wszyscy ich przestrzegają. To jak posiadanie podręcznika bezpieczeństwa - każdy wie, co jest dozwolone, a co nie.
  • Często twórz kopie zapasowe danych: Wyobraź sobie swoje dane jako skarb, a kopie zapasowe jako tajną skrytkę. Jeśli pojawią się piraci (czyli dojdzie do naruszenia danych), nadal masz swój tajny magazyn, na którym możesz się oprzeć. 
  • Stwórz kompleksowy plan reagowania na naruszenia danych: Zaplanuj każdy ruch - od wykrycia problemu po jego usunięcie. 

Wpływ kradzieży tożsamości i niewłaściwego wykorzystania danych osobowych

Kradzież tożsamości to nie żart - może przynieść poważny finansowy ból głowy. Wyobraź sobie, że ktoś podszywa się pod Ciebie i idzie na zakupy lub zaciąga pożyczki w Twoim imieniu bez pytania - lub co gorsza, prowadzi nielegalną działalność! 

Kradzież tożsamości i skradzionych danych osobowych może prowadzić do: 

  1. Poważne szkody finansowe 
  2. Niepokój emocjonalny i lęk 
  3. Zawirowania prawne związane z przestępstwami popełnionymi w Twoim imieniu
  4. Utrata wiarygodności i reputacji w branży 
  5. Utrata zaufania klientów

Słowa końcowe

Popularnym sposobem pozyskiwania danych osobowych są wiadomości phishingowe podszywające się pod Twoją nazwę domeny. Zalecamy skonfigurowanie DMARC dla swoich wiadomości e-mail i domen, aby identyfikować i chronić dane osobowe. Nie ma lepszego sposobu na bezpieczną konfigurację i monitorowanie wdrożenia niż PowerDMARC! Jesteśmy zespołem ekspertów ds. bezpieczeństwa domen, którzy specjalizują się w pomaganiu klientom w minimalizowaniu oszustw e-mailowych poprzez uwierzytelnianie. Skontaktuj się z nami już dziś, aby uzyskać bezpłatną DMARC

Pamiętaj, aby udostępniać jak najmniej danych osobowych w Internecie! Zachowaj bezpieczeństwo i czujność online.

Latest posts by Ahona Rudra (zobacz wszystkie)
Ostatnia aktualizacja:
Studium przypadku DMARC MSP: Jak firma Systemgemisch zautomatyzowała zabezpieczenia związane z uwierzytelnianiem wiadomości e-mail...Mieszanka systemowaStudium przypadku MSP: Hubelia upraszcza zarządzanie bezpieczeństwem domeny klien...