Osobni identifikacijski podaci (PII) su svi podaci koji se mogu koristiti za identifikaciju određene osobe.
Primjerice, brojevi vozačkih dozvola, brojevi socijalnog osiguranja, adrese, puna imena itd.
PII ne uključuje samo očite poveznice s identitetom osobe, kao što je vozačka dozvola. Fragmenti podataka koji, u kombinaciji s drugim skupovima podataka, otkrivaju identitet pojedinca također se mogu klasificirati kao PII. Čak se i podaci koji bi se mogli koristiti u tehnikama deanonimizacije mogu smatrati osobnim idenitifikacijskim podacima.
Primjeri osjetljivih PII
Osjetljivi osobni identifikacijski podaci uključuju sljedeće jedinstvene identifikatore:
- Ime - Puno ime, djevojačko prezime, djevojačko prezime majke ili alias.
- Informacije o adresi - Ulica i broj, adresa radnog mjesta ili adresa e-pošte.
- Osobni identifikacijski broj: broj socijalnog osiguranja, broj putovnice, broj vozačke dozvole, identifikacijski broj poreznog obveznika, brojevi financijskih računa, broj bankovnog računa ili broj kreditne kartice.
- IP adrese – u nekim zemljama čak se i IP adrese klasificiraju kao PII.
- Medicinska dokumentacija.
- Financijske informacije.
- Zdravstvene informacije.
Primjeri neosjetljivih PII
Neosjetljivi osobni identifikacijski podaci svaka su informacija koja bi se potencijalno mogla povezati s pojedincem. Primjeri uključuju:
- Rasu
- Spol
- Mjesto rođenja
- Datum rođenja
- Vjeroispovijest
- Poštanski broj
- Brojevi mobitela
- Telefonski broj u javnom imeniku.
Primjeri osjetljivih PII
Uvjeti koji jamče klasifikaciju osobnih identifikacijskih podataka daju jasne upute za vašu organizaciju o tome kako koristiti informacijsku sigurnost za ispravno pohranjivanje, obradu i upravljanje PII.
Ne možete zaštititi PII ako ih ne znate identificirati.
Jeste li, kao potrošač, znali da čak 25% aplikacija koje koristite uzimaju vaše osobne identifikacijske podatke (PII)? Znate li zašto ih prikupljaju ili gdje ih skladište? Također, shvaćate li, kao tvrtka, da kazne Opće uredbe o zaštiti podataka (GDPR) mogu doseći i do 4% vašeg globalnog godišnjeg prihoda?
PII obuhvaća sve podatke koji se mogu koristiti za identifikaciju pojedinca, kao što su imena, adrese, brojevi socijalnog osiguranja i financijski detalji. Postavlja se važno pitanje:
Tko je zadužen za zaštite osobnih identifikacijskih podataka (PII): potrošači ili tvrtke?
Odgovornosti potrošača u zaštiti PII
Iako se gotovo svi slažu da da tvrtke imaju značajnu ulogu u osiguravanju osobnih identifikacijskih podataka, potrošači također moraju prihvatiti određene odgovornosti kada je u pitanju zaštita njihovih podataka. Donosimo nekoliko ključnih radnji koje potrošači mogu poduzeti:
- Snažne lozinke i autentifikacija: Potrošači bi trebali stvoriti jedinstvene, složene lozinke za sve svoje račune na mreži i omogućiti višestruku autentifikaciju gdje god je to moguće. Ovaj jednostavan korak može uvelike pomoći u sprječavanju neovlaštenog pristupa osobnim podacima.
- Budite oprezni pri dijeljenju informacija: Potrošači moraju biti oprezni pri dijeljenju svojih osobnih podataka na internetu. To uključuje vođenje računa o informacijama koje pružaju na platformama društvenih medija, izbjegavanje prekomjernog dijeljenja i oprez pri odgovaranju na neželjene zahtjeve za osobnim podacima.
- Redovita ažuriranja softvera: Održavanje uređaja, operativnih sustava i aplikacija ažurnim s najnovijim sigurnosnim zakrpama pomaže u zaštiti od poznatih ranjivosti koje hakeri mogu iskoristiti kako bi dobili pristup osobnim podacima.
- Educirajte se: potrošači bi trebali biti informirani o najnovijim najboljim praksama kibernetičke sigurnosti, uobičajenim prijetnjama i prijevarama. Budući da su svjesni potencijalnih rizika, mogu donositi informirane odluke i izbjeći da postanu žrtve kibernetičkog kriminala.
Odgovornosti tvrtki u zaštiti PII
Zbog brige o privatnosti, više od 50% korisnika ne koristi web aplikacije. Uzimajući u obzir pristup tvrtki velikim količinama osobnih podataka zajedno s njihovom sposobnošću da ih prikupljaju, one igraju ključnu ulogu u zaštiti osobnih podataka korisnika.
Jedan od glavnih razloga izlaganja PII-a su pogrešne sigurnosne konfiguracije.
Evo nekoliko načina na koje pogrešne sigurnosne konfiguracije mogu dovesti do izlaganja PII-ja:
- Neodgovarajuće kontrole pristupa: pogrešne konfiguracije u kontrolama pristupa mogu dovesti do toga da neovlašteni korisnici dobiju pristup osjetljivim PII. Na primjer, ako kontrole pristupa nisu pravilno postavljene na bazi podataka koja sadrži PII, napadač može iskoristiti ovu pogrešnu konfiguraciju za dobivanje neovlaštenog pristupa i izvlačenje osjetljivih informacija. Nedovoljni mehanizmi provjere autentičnosti korisnika i autorizacije također mogu dopustiti neovlaštenim korisnicima da pregledaju ili izmijene PII.
- Slabe ili često korištene lozinke: upotreba slabih ili često korištenih lozinki uobičajena je sigurnosna pogrešna konfiguracija koja može dovesti do izlaganja PII. Ako se često korištene lozinke ne promijene ili se ne provode snažna pravila za lozinke, napadači mogu lako pogoditi ili upotrijebiti brute force napad kako bi pronašli put do sustava i dobili pristup PII pohranjenim u tim sustavima.
- Pogrešno konfigurirana pohrana u oblaku: pogrešne konfiguracije u oblaku mogu nenamjerno javno izložiti PII na internetu. Na primjer, ako su spremnici za pohranu u oblaku ili baze podataka pogrešno konfigurirane s pretjerano popustljivim kontrolama pristupa, osjetljivim podacima može pristupiti svatko tko zna za pogrešnu konfiguraciju. To se može dogoditi ako administratori ne uspiju ispravno konfigurirati dopuštenja pristupa, ostavljajući PII nezaštićene i dostupne neovlaštenim osobama.
- Nesigurne mrežne konfiguracije: pogrešne konfiguracije mrežnih postavki, kao što su vatrozidi, usmjerivači ili sustavi za otkrivanje upada, mogu napadačima otvoriti putove za pristup do PII. Neispravno konfiguriranje pravila vatrozida ili segmentacije mreže može dopustiti neovlašteni pristup osjetljivim podacima, izlažući PII mogućim krađama.
- Neuspješna primjena sigurnosnih ažuriranja: Zanemarivanje primjene sigurnosnih ažuriranja i zakrpa na softver, operativne sustave i aplikacije može učiniti sustave ranjivima na poznate napade. Napadači mogu iskoristiti ove ranjivosti kako bi dobili neovlašteni pristup sustavima koji sadrže PII. Održavanjem softvera i sustava ažurnim, organizacije mogu osigurati da se sigurnosne ranjivosti odmah rješavaju, čime se smanjuje rizik od izlaganja PII.
Evo nekoliko detaljnih ključnih koraka koje vaša organizacija može poduzeti kako bi zaštitila PII:
- Kontinuirano otkrivanje izloženosti PII: Koristite proizvod za skeniranje web aplikacija temeljen na oblaku (kao što je Qualys WAS) za kontinuirano otkrivanje izloženosti PII, ranjivosti u vremenu izvođenja, pogrešnih konfiguracija i web zlonamjernog softvera u modernim web aplikacijama i API-jima.
- Enkripcija podataka i sigurnosne mjere: Implementirajte robusne mehanizme šifriranja za zaštitu PII tijekom prijenosa i pohrane. Nadalje, kontrole pristupa, vatrozidi i sustavi za otkrivanje upada trebali bi biti postavljeni kako bi se osjetljivi podaci zaštitili od neovlaštenog pristupa.
- Pravila privatnosti i privola: Uvijek budite transparentni u pogledu svojih praksi prikupljanja podataka i pribavite izričit pristanak potrošača prije prikupljanja, pohranjivanja ili dijeljenja njihovih PII. Jasna i sažeta pravila o privatnosti također bi trebala biti dostupna potrošačima, u kojima se navodi kako će se njihovi podaci koristiti i štititi.
- Obuka zaposlenika i podizanje svijesti: Omogućite sveobuhvatnu obuku o kibernetičkoj sigurnosti svojim zaposlenicima, naglašavajući važnost zaštite podataka i najbolje prakse za rukovanje PII. Zaposlenici bi također trebali biti educirani o tome kako prepoznati i odgovoriti na potencijalne sigurnosne prijetnje i povrede.
- Odgovor na incidente i obavijest o krađi podataka: Budite sigurni da imate dobro definiran plan odgovora na incidente kako biste učinkovito otkrili, reagirali i ublažili krađu podataka. U slučaju krađe, pravovremena i transparentna komunikacija s utjecajem na potrošače ključna je za minimiziranje potencijalne štete i očuvanje povjerenja.
Zaključno, i potrošači i tvrtke moraju odraditi svoj dio posla. Dok potrošači moraju biti oprezni, usvojiti najbolju praksu i biti informirani, tvrtke bi trebale implementirati snažne sigurnosne mjere, educirati zaposlenike i održavati transparentnu praksu rukovanja podacima. U konačnici, suradnički pristup koji uključuje potrošače, tvrtke i regulatorna tijela ključan je za stvaranje sigurnijeg digitalnog krajolika i zaštitu osjetljivih osobnih podataka od zlonamjernih aktera.