Microsoft Outlook потребует DMARC к 5 мая 2025 года.
Подробнее
  • Идентификация и защита PII (персонально идентифицируемой информации)

Идентификация и защита PII (персонально идентифицируемой информации)

Блог

Узнайте, что такое персонально идентифицируемая информация (PII), как ее защитить и каковы юридические требования к предприятиям. Защитите свою конфиденциальность и будьте в безопасности в Интернете!

Ахона Рудра

Время чтения: 7 мин
Идентификация и защита PII (персонально идентифицируемой информации)
Оглавление-

Кто захочет, чтобы его личная информация и конфиденциальные данные были скомпрометированы и использованы кем-то для мошеннических действий? Но печальная реальность такова, что сейчас это стало обычной практикой.

Недавно стало известно, что почти 50 % утечек данных в период с 2021 по 2023 год были связаны с персональной информацией клиентов (PII), а 40 % этих данных были получены от сотрудников. Эти данные были записаны во время a опроса в октябре 2023 года.

PII не очень сложна, но все же важно понимать, что она собой представляет и как важно ее защищать. В этом руководстве вы найдете ответы на все вопросы, которые помогут вам защитить вашу PII и себя. 

 

Ключевые выводы

  1. PII включает как чувствительную, так и нечувствительную информацию, которая может быть использована для идентификации личности.
  2. Чувствительная PII может нанести значительный ущерб в случае компрометации, в то время как нечувствительная PII сама по себе менее опасна.
  3. Предприятия должны принимать надежные меры по защите собираемой и хранимой ими PII.
  4. Утечки данных могут происходить различными способами, например, с помощью фишинга и вредоносных программ, что подчеркивает необходимость проявлять бдительность.
  5. Соблюдение таких законов, как GDPR и HIPAA, необходимо компаниям для защиты личной информации и избежания штрафов.

Что такое PII (персонально идентифицируемая информация)?

PII, или персонально идентифицируемая информация, - это информация, которая является значительной частью вашей личности и может указывать непосредственно на вас. 

Представьте, что это секретный код, который сам по себе или в сочетании с другой информацией может раскрыть вашу личность. То есть это не просто ваше имя и адрес; это как кусочки головоломки, которые, будучи собранными вместе, создают полную картину "вас". 

Например, предположим, что вас зовут Джон. В мире существует множество других людей с таким же именем, поэтому оно не может считаться PII. Но что, если мы скажем, что вас зовут Джон Доу, и вы живете на Манхэттене с номером социального страхования AXY123? Теперь он становится PII и может однозначно идентифицировать вас от других Джонов, живущих в других районах.

PII можно разделить на нечувствительную и чувствительную. О них мы расскажем далее.

 

Упростите безопасность с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Нечувствительная и чувствительная информация PII

Министерство обороны США приводит список примеров в отношении PII. От номеров социального страхования до личных адресов - все это может относиться к персональной идентифицируемой информации.

Давайте рассмотрим две различные категории PII: 

Чувствительная конфиденциальная информация

Чувствительная PII - это информация, которая может легко выделить отдельного человека. Этот тип PII может нанести ущерб человеку, которому он принадлежит, если его получит киберпреступник. 

Примеры чувствительной информации, идентифицирующей личность

  • Номер социального страхования (SSN)
  • Водительские права
  • Почтовый адрес
  • Информация о кредитной карте
  • Паспортные данные
  • Финансовая информация
  • Медицинская документация

Нечувствительная PII

Любая информация, например девичья фамилия, которая может идентифицировать человека, но не может быть использована для нанесения ему вреда, определяется как нечувствительная PII. 

Примеры нечувствительной информации, идентифицирующей личность

  • Имя
  • Почтовый индекс
  • Гонка
  • Гендер
  • Дата рождения
  • Место рождения
  • Религия

Если вы или какая-либо компания хотите собирать PII, им придется использовать онлайн-формы, опросы и социальные сети, к которым желательно приложить соглашение о неразглашении. Убедитесь, что при предоставлении PII кому-либо у вас есть соответствующий план по использованию, хранению и защите информации.

Почему PII важна?

PII очень важна, поскольку она защищает ваши данные. Любые предприятия и организации, владеющие вашей PII, по закону обязаны защищать ее любой ценой. Это дает гарантию безопасности и сохранности вашей личной информации.

Предприятия могут использовать вашу информацию в различных целях, например:

  • Целевая реклама
  • Предотвращение мошенничества
  • Правоохранительные органы
  • Кредитный скоринг
  • Проверка при приеме на работу

Как можно украсть PII?

Как можно украсть конфиденциальную информацию

Такие атаки, как социальная инженерия с использованием поддельного доменного имени или электронной почты, могут обманом заставить людей раскрыть PII. Также возможна утечка частной информации через взломанный почтовый ящик, утечку данных и т. д.

Вот несколько распространенных способов, с помощью которых может быть украдена PII: 

  1. Фишинговые письма: Поддельные электронные письма, заманивающие жертв раскрыть свои PII
  2. Нарушения данных: Злоумышленники используют уязвимости систем для взлома конфиденциальных баз данных
  3. Погружение в мусорный контейнер: Извлечение из мусора удаленных документов, содержащих PII
  4. Социальная инженерия: Манипулирование ничего не подозревающими жертвами с целью заставить их поделиться личной информацией
  5. Вредоносные программы: Вредоносное программное обеспечение, которое проникает в файлы, содержащие PII, на вашем компьютере.
  6. Инсайдерские угрозы: Ваши собственные сотрудники раскрывают PII по злому умыслу или за деньги
  7. Киберподслушивание: подслушивание онлайн-коммуникаций с целью кражи PII
  8. Взломанные почтовые ящики: Получение доступа к учетным записям электронной почты для чтения чатов, содержащих PII
  9. Атаки типа "человек посередине: Злоумышленник перехватывает онлайн-коммуникации, чтобы украсть PII
  10. Атаки грубой силы: Получение несанкционированного доступа к учетным записям с помощью грубой силы, например постоянных повторных попыток, и последующая кража PII

Методы защиты персональных данных

В разных странах приняты многочисленные законы о защите данных, устанавливающие правила для компаний, которые собирают, хранят и передают личную информацию клиентов. Давайте рассмотрим способы, с помощью которых вы можете защитить свою PII.

  • Используйте надежные пароли везде, где это необходимо.
  • Будьте осторожны с информацией, которой вы делитесь в Интернете.
  • Регулярно проверяйте свои кредитные отчеты на наличие признаков мошенничества.

Если вы являетесь владельцем бизнеса, вам стоит обратить внимание на перечисленные ниже шаги:

  • Собирайте только ту PII, которая необходима для предоставления конкретной услуги.
  • Шифрование, используемое на предприятиях, должно быть надежным, чтобы защитить PII сотрудников и клиентов от несанкционированного доступа.
  • Доступ к PII должен быть ограничен только теми сотрудниками, которым он необходим для выполнения своих обязанностей.
  • Необходимо провести тренинг, чтобы обучить сотрудников способам защиты PII.
  • Всегда внимательно следите за любыми неожиданными нарушениями безопасности.
  • Необходимо иметь план реагирования на утечку данных, чтобы можно было быстро отреагировать на утечку и минимизировать ущерб.

Министерство внутренней безопасности США также опубликовало содержательный документ определяющий, как безопасно защищать и передавать вашу PII.

Важность защиты PII от утечек данных

Нарушение целостности данных происходит, когда кто-то, не имеющий разрешения от компании, получает доступ к компьютерным системам, что потенциально может привести к получению конфиденциальной информации. 

В ходе исследования мы нашли данные о том, что более 6 миллионов записей было взломано по всему миру в 2023 году. Это один из самых тревожных факторов для руководителей компаний.

Такие утечки данных могут происходить по разным причинам, например:

  • Вредоносные программы
  • Взлом
  • Человеческие ошибки

Чтобы защитить свои данные от утечки, компании могут следовать приведенным ниже рекомендациям:

  • Внедрение соответствующих мер безопасности.
  • Обучение сотрудников лучшим практикам в области кибербезопасности мир.
  • Разработайте план реагирования и устранения последствий, если вдруг произойдет утечка данных.

Законы и нормативные акты о защите персональных данных

PII регулируется множеством законов и нормативных актов. Они гарантируют, что частная жизнь людей будет в безопасности и им не придется беспокоиться о таких угрозах, как выдача себя за других. Вот некоторые из этих федеральных законов:

1. Закон о конфиденциальности 1974 года

Сайт Закон о конфиденциальности 1974 года устанавливает правила для федеральных агентов, когда речь идет о сборе, использовании и разглашении PII. Этот закон также обязывает федеральные агентства сообщать людям, могут ли они раскрывать свои PII, а в случае невыполнения этого требования их ждут штрафы. Однако есть и особые случаи и исключения.

2. Закон о переносимости и подотчетности медицинского страхования

А еще есть HIPAA, закон Закон о переносимости и подотчетности медицинского страхованиясупергерой для медицинских записей. Он требует, чтобы медицинские учреждения и поставщики услуг хранили информацию о пациентах и не раскрывали их медицинские записи без согласия.

3. Закон о свободе информации

И не забывайте о FOIA, Законе о свободе информации. Закон о свободе информации. Это золотой билет для людей, желающих покопаться в правительственных файлах. Он говорит федеральным агентствам: "Покажите свои карты, если это не очень секретно". То есть, по сути, это пропуск за кулисы к правительственной информации! Однако FOIA также выступает в роли защитника PII, требуя от правоохранительных органов скрывать информацию, которая может быть идентифицирована или причинить вред личности.

4. Общее положение о защите данных (GDPR) 

В 1995 году была принята Директива о защите данных, но позже, GDPR который призван обеспечить защиту личной информации. Теперь любая компания, работающая с персональными данными граждан ЕС, независимо от того, где она расположена - в ЕС или в других странах (да, даже в США!), должна следовать единому своду правил.

Несоблюдение требований GDPR может привести к крупным штрафам - 4% от вашего глобального годового дохода или 20 миллионов евро, в зависимости от того, что окажется более болезненным, - за нарушение некоторых положений. Кроме того, частные лица имеют право подать жалобу, если они считают, что их права GDPR были нарушены. 

Помните, что GDPR - это глобальный шериф по защите данных, который следит за тем, чтобы компании не играли с личной информацией людей. Он стоит на страже ваших данных и держит цифровой мир под контролем.

Как компании могут защитить данные своих клиентов?

Предприятиям, желающим повысить уровень своей безопасности, стоит обратить внимание на эти полезные советы:

  • Внедрите сегментацию сети: Думайте об этом как о строительстве стен в вашем цифровом королевстве. Если одна область будет нарушена, остальные останутся непоколебимыми. Это все равно что иметь секретные отделения в хранилище данных.
  • Обеспечьте соблюдение политик и процедур безопасности: Установите правила и убедитесь, что все их соблюдают. Это все равно что иметь руководство по безопасности - каждый знает, что разрешено, а что - нет.
  • Часто создавайте резервные копии данных: Представьте, что ваши данные - это сокровища, а резервные копии - секретный тайник. Если придут пираты (они же нарушители целостности данных), у вас останется тайник, на который можно опереться. 
  • Разработайте комплексный план реагирования на утечки данных: Продумайте каждый шаг - от обнаружения проблемы до ее устранения. 

Последствия кражи личных данных и неправомерного использования PII

Кража личных данных - это не шутка, она может принести серьезные финансовые проблемы. Представьте, что кто-то выдает себя за вас и отправляется за покупками или берет кредиты на ваше имя без спроса - или, что еще хуже, совершает незаконные действия! 

Кража личных данных и похищение PII может привести к: 

  1. Серьезный финансовый ущерб 
  2. Эмоциональное расстройство и беспокойство 
  3. Юридические неприятности в связи с преступлениями, совершенными от вашего имени
  4. Потеря доверия и репутации в отрасли 
  5. Потеря доверия клиентов

Заключительные слова

Популярный вектор получения PII - фишинговые письма, выдающие себя за ваше доменное имя или подделывающие его. Мы рекомендуем настроить DMARC для ваших писем и доменов, чтобы обезопасить себя от этого. И нет лучшего способа безопасно настроить и проконтролировать внедрение, чем PowerDMARC! Мы - команда экспертов по безопасности доменов, которые специализируются на том, чтобы помочь вам минимизировать мошенничество с электронной почтой с помощью аутентификации. Свяжитесь с нами сегодня, чтобы получить бесплатную пробная версия DMARC!

Помните, что в интернете нужно сообщать как можно меньше личной информации! Оставайтесь в безопасности и будьте бдительны в Интернете.

Последние сообщения Ахона Рудра (см. все)
Руководство по настройке Mailchimp DMARC, SPF и DKIMЧто такое аутентификация электронной почты? Проверка и аутентификация электронной почты