Te olete vastutav oma arvutisse salvestatud või Interneti kaudu edastatud privaatsete andmete tagamise eest. Aga millised on teie isikuandmed, mis on mõne organisatsiooni käes, kellega olete sellega usaldanud?
Teie privaatset teavet jagatakse laialdaselt IRSist kohaliku lillepoodi juurde. Ja iga päev kaotab mõni organisatsioon tundlikke andmeid oma klientide või klientide kohta - kas rünnaku tõttu või (tõenäolisemalt) arvuti või salvestusseadme kadumise või varguse tõttu.
Siin on kolm viimast näidet Open Security Foundationi andmete kadumise andmebaasist:
- Rahulolematu töötaja varastab umbes 1200 kliendi sotsiaalkindlustuse numbreid, krediitkaardi kontosid ja muid isikuandmeid. Teavet kasutatakse võltsitud töötuse kontode loomiseks, Marylandi töö-, litsentseerimis- ja regulatsiooniosakonna petmisega kuni $ 170, 000.
- Vermontis asuvast kinnisvarahaldusettevõttest varastatud sülearvuti sisaldab mõningaid SSN-e ja muid erainfot elanike kohta vastavalt teatisele, mille firma on mõjutatud klientidele saatnud (pdf).
- Maksukorraldusteenus on väljatõstetud San Franciscos asuvast kontorist ja jätab uksest välja vana maksudeklaratsiooni.
Teine kasulik teabeallikas hiljutiste andmete rikkumiste kohta on andmekaitse rikkumiste kroonika, milles loetletakse 2005. aastal tundlikke andmeid kaotanud organisatsioonide sündmused.
Kui tõhusad on rikkumisest teatamise seadused?
Riiklike õigusloomealaste seadusandjate konverentsi 2011. aasta konverentsi kohaselt nõuavad 46 riiki, et organisatsioonid saadaksid teateid inimestele, kelle eraandmeid on ohustatud minimaalse arvu inimeste (tavaliselt 500) rikkumiste tõttu. Eraõiguslikuks kvalifitseeruv teave on ees-, perekonnanimi-, kesk-, SSN-, finantsandmete ning tervise- või meditsiiniliste andmete kombinatsioon.
(USA tervishoiu- ja inimressursside osakond selgitab rangemaid HIPAA rikkumisest teatamise nõudeid terviseandmetele. Kuni andmete rikkumise kohta käivate föderaalõigusaktide hulka kuuluvad 2011. aasta andmete rikkumise teatamise seadus ja isikuandmete kaitse ja rikkumise aruandekohustuse seadus. 2011.)
Nimekiri võib varsti sisaldada mõningaid või kõiki e-posti aadresse, nagu selgitas Mark G. McCreary Fox Rothschild LLP-st rikkumisest teatamise ajal: äratuse kõne aeg. Sihtotstarbelised e-posti rünnakud - või spear phishing - saadetakse sageli ohustatud kontodelt, seega näivad nad olevat usaldusväärsetest allikatest. E-posti aadresside rikkumine võib ohvritele tekitada rahalist kahju.
Praegused ja kavandatavad seadused, mis nõuavad rikkumisest teatamist, ei ole garanteeritud, et teile teatatakse, kui teie isiklikud andmed on kolmandale isikule avatud. Sotsiaalkindlustusametit kritiseeriti ümaralt selle eest, et ta ei teavitanud tuhandetest inimestest, kelle nimed, sünnikuupäevad ja SSN-id olid tahtmatult avaldatud surma põhifailis, mis on saadaval paljude erinevate veebisaitide kaudu, vastavalt tarbijate vaatamise lehele .
Lihtsaim lahendus: krüptige kõik andmed
Paljudel juhtudel oleks isiklikke andmeid kaotanud organisatsioon võinud tundliku faili krüptimisega riske praktiliselt kõrvaldada. Kahjuks nõuavad ainult Nevada ja Massachusetts organisatsioonid oma privaatsete andmete krüpteerimist, vastavalt Keith Vance'ile eSecurityPlaneti saidil.
Riiklikud standardite ja tehnoloogia instituudi föderaalsed infotöötlusstandardid (FIPS) ja kahekümne kriitiline turvakontroll on suunised suurtele ettevõtetele, kes rakendavad supp-to-diule andmekaitse kavasid. Puuduvad on juhised väikestele ettevõtetele.
Better Business Bureau pakub väikeste ettevõtete andmete turvalisuse krundi (pdf), mis sisaldab andmete inventeerimise kontrollnimekirju, turvalisuse auditeerimise juhiseid ja nõuandeid identiteedivarguse tuvastamiseks. (Pange tähele, et raportit sponsoreeris Visa ja Symantec, seega võtke selle toote soovitused soola teraga.)
Tundlike andmete turvalise kõrvaldamise tagamine
Andmekaitseplaani kolm haru on juurdepääsu kontrollid, salvestatud andmete krüpteerimine ja isikuandmete turvaline kõrvaldamine. Paberifailide ja optiliste andmekandjate jaoks on eelistatud meetod purustamine. 2009. aasta märtsi ametikohal kirjeldasin, kuidas hävitada vana kõvaketas. Üks selle lugu sisaldavatest vahenditest on Darik's Boot ja Nuke (DBAN), tasuta andmete pühkimisprogramm.
Loomulikult, kui hävitatud andmed on krüpteeritud, on võimalus, et keegi taastub, minimeeritud. Siiski on kõige ohutum lähenemine pühkida kõik andmekandjad enne nende eemaldamist.
Isegi nende ettevaatusabinõude korral võivad teie isiklikud andmed endiselt valedesse kätesse sattuda. Tehke harjumus oma igakuise krediitkaardi ja pangakonto väljavõtete ülevaatamiseks ning kaaluge krediidi jälgimise teenuse registreerimist, mis hoiatab teid posti või muu meetodi abil, kui teie kontol avatakse uus konto.
Fight Identity Theft sait vaatab üle nelja kõige olulisema krediidiriski aruandlusteenuse. Kuid igaüks ei pea oma identiteedi kaitsmiseks kulutama kuni 15 dollarit kuus: Investopedia uurib krediidikontrolli teenuste plusse ja miinuseid.
Kui te kahtlustate, et olete identiteedivarguse ohver, pakub Federal Trade Commission'i identiteedivarguse vastane võitlus selle teema kohta ulatuslikku KKK-d ja sisaldab linki kaebuse esitamiseks ametile.
Jäta Oma Kommentaar