Odgovorni ste za varovanje zasebnih podatkov, ki jih shranjujete v računalniku, ali za prenos prek interneta. Kaj pa vaši osebni podatki, ki so v rokah neke organizacije, ki ji zaupate?
Od IRS do vašega lokalnega cvetličarja se vaši zasebni podatki pogosto delijo. Vsak dan nekatere organizacije izgubijo občutljive podatke o svojih strankah ali strankah - bodisi zaradi hek napada ali (bolj verjetno) zaradi izgube ali kraje računalnika ali naprave za shranjevanje.
Tukaj so trije nedavni primeri iz baze podatkov o izgubi podatkov Open Security Foundation:
- Nezadovoljni zaposleni krade številke socialnega zavarovanja, račune kreditnih kartic in druge osebne podatke približno 1.200 strank. Podatki se uporabljajo za ustvarjanje lažnih računov za brezposelnost, pri čemer je izkoreninil Marylandski oddelek za delo, licenciranje in ureditev do 170.000 dolarjev.
- Prenosni računalnik, ukraden pri družbi za upravljanje nepremičnin v Vermontu, vsebuje nekaj SSN in drugih zasebnih podatkov o prebivalcih, v skladu z obvestilom, ki ga je podjetje poslalo prizadetim strankam (pdf).
- Služba za pripravo davkov je izseljena iz njihove pisarne v San Franciscu in pušča škatlo starih davčnih napovedi pred vhodnimi vrati.
Še en uporaben vir informacij o nedavnih kršitvah podatkov je Kronologija kršitev pravic do zasebnosti, ki navaja dogodke iz leta 2005, ko organizacije izgubljajo občutljive podatke.
Kako učinkoviti so zakoni o obveščanju o kršitvah?
V skladu z nacionalno zakonodajo o kršitvah varnosti državnih zakonodajalcev iz leta 2011, 46 držav trenutno zahteva, da organizacije pošljejo obvestila ljudem, katerih zasebni podatki so bili ogroženi zaradi kršitev, ki vplivajo na minimalno število ljudi (običajno 500). Podatki, ki se štejejo za zasebne, so neka kombinacija imena, priimka, srednjega začetka, SSN, finančnih podatkov in zdravstvenih ali zdravstvenih podatkov.
(Ameriško ministrstvo za zdravje in človeške storitve pojasnjuje strožje zahteve HIPAA glede obveščanja o kršitvah glede zdravstvenih podatkov. Do izdaje zvezne zakonodaje o obveščanju o kršitvah podatkov so vključeni zakon o obveščanju o kršitvah kršitev podatkov iz leta 2011 in zakon o varstvu osebnih podatkov in kršitvah odgovornosti 2011.)
Seznam lahko kmalu vključuje nekatere ali vse e-poštne naslove, kot je pojasnil Mark G. McCreary iz Loxa Fox Rothschild v obvestilu o kršitvah: Čas za poziv za prebujanje. Ciljno usmerjeni e-poštni napadi - ali phishing phishing - so pogosto poslani z ogroženih računov, zato se zdi, da so iz zaupanja vrednih virov. Kršitev e-poštnih naslovov bi lahko povzročila finančno škodo za žrtve.
Sedanji in predlagani zakoni, ki zahtevajo obvestilo o kršitvi, ne jamčijo, da vam bodo povedali vsakič, ko tretje osebe razkrijejo vaše osebne podatke. Uprava za socialno varnost je ostro kritizirana zaradi tega, ker ni obvestila na tisoče ljudi, katerih imena, datumi rojstva in SSN so bili nenamerno objavljeni v glavni datoteki smrti, ki je na voljo za prodajo na različnih spletnih mestih, glede na spletno mesto Consumer Watchdog. .
Najenostavnejša rešitev: Šifrirajte vse podatke
V mnogih primerih bi organizacija, ki je izgubila zasebne podatke, lahko praktično odpravila tveganje s šifriranjem občutljivih datotek. Na žalost, samo Nevada in Massachusetts trenutno zahtevata, da organizacije šifrirajo zasebne podatke, ki jih hranijo, v skladu s Keithom Vanceom na strani eSecurityPlanet.
Nacionalni inštitut za standarde in tehnologijo, zvezni standardi za obdelavo informacij (FIPS) in dvajset kritičnih varnostnih kontrol, služijo kot smernice za velika podjetja, ki izvajajo načrte za zaščito podatkov od juhe do oreškov. Manjkajo smernice za mala podjetja.
Better Business Bureau ponuja temeljne podatke o varnosti podatkov za mala podjetja (pdf), ki vključuje kontrolne sezname za popis podatkov, smernice za varnostne revizije in nasvete za odkrivanje kraje identitete. (Upoštevajte, da so poročilo sponzorirali Visa in Symantec, zato priporočila za izdelek upoštevajte z zrnom soli.)
Zagotavljanje varnega odstranjevanja občutljivih podatkov
Trije delčki varnostnega načrta podatkov so nadzor dostopa, šifriranje shranjenih podatkov in varno odstranjevanje osebnih podatkov. Drobljenje je najprimernejša metoda za papirne datoteke in optične medije. V objavi iz marca 2009 sem opisal, kako uničiti stari trdi disk. Eno od orodij, ki jih pokriva ta zgodba, je Darikov program za zagon in Nuke (DBAN), brezplačen program za brisanje podatkov.
Seveda, če so odstranjeni podatki šifrirani, je možnost, da jo nekdo okreva, zmanjšana. Kljub temu je najvarnejši pristop izbrisati vse medije za shranjevanje, preden jih zavržete.
Tudi s temi varnostnimi ukrepi lahko vaši osebni podatki še vedno padejo v napačne roke. Naredite si navado pregledovanja mesečnih kreditnih kartic in bančnih izpiskov ter razmislite o prijavi za storitev spremljanja kreditov, ki vas opozori po pošti ali na drug način, ko se v vašem imenu odpre nov račun.
The Fight Identity Theft site pregleduje štiri najpomembnejše storitve kreditnega poročanja. Vendar pa ne vsakdo mora porabiti do 15 $ na mesec za zaščito svoje identitete: Investopedia proučuje prednosti in slabosti storitev spremljanja kreditov.
Če sumite, da ste žrtev kraje identitete, Zvezna komisija za boj proti kraji identitete ponuja obsežno FAQ o tej temi in vključuje povezavo za vložitev pritožbe pri agenciji.
Pustite Komentar