Jste zodpovědní za zabezpečení soukromých informací, které ukládáte na svém počítači nebo předáváte přes internet. Ale co vaše osobní údaje jsou v rukou nějaké organizace, s níž jste s tím věřili?

Z IRS na místní květinářství jsou vaše soukromé informace široce sdíleny. A každý den nějaká organizace ztratí citlivé údaje o svých zákaznících nebo zákaznících - ať už kvůli útoku z hackerů nebo (pravděpodobněji) ze ztráty nebo krádeže počítače nebo úložného zařízení.

Zde jsou tři nedávné příklady ze databáze Data Open Loss Open Foundation:

• Nespokojený zaměstnanec kradne čísla sociálního pojištění, účty kreditních karet a další osobní údaje přibližně 1200 zákazníků. Informace se používají k vytvoření falešných účtů v nezaměstnanosti, které podvodníci odmítají ministerstvo práce, licencí a regulace v Marylandu až do výše 170 000 USD.
• Laptop odcizený od společnosti zabývající se správou nemovitostí ve Vermontu obsahuje některé SSN a další soukromá data o obyvatelích podle oznámení, které firma zaslala postiženým klientům (pdf).
• Služba přípravy daní je vyvezena ze své kanceláře v San Francisku a ponechává krabici starých daňových přiznání mimo přední dveře.

Dalším užitečným zdrojem informací o nedávných porušováních údajů je Chronologie porušení ochrany osobních údajů, v níž jsou uvedeny výskyty organizací, které ztrácejí citlivé údaje.

Jak efektivní jsou zákony o oznamování porušení předpisů?

Podle zákona o porušení pravidel pro národní legislativu z roku 2011 46 států v současné době požaduje, aby organizace zasílají oznámení osobám, jejichž soukromé údaje byly ohroženy v důsledku porušení minimálního počtu osob (obvykle 500). Informace, které jsou kvalifikovány jako soukromé, jsou kombinace jména, příjmení, střední počáteční hodnoty, SSN, finančních údajů a zdravotních nebo zdravotních údajů.

(Stránky amerického ministerstva zdravotnictví a humanitních služeb vysvětlují přísnější požadavky týkající se hlášení porušení předpisů týkající se porušení HIPAA pro údaje o zdravotním stavu. Do federální legislativy týkající se oznámení o narušení dat se považuje zákon o porušení údajů z roku 2011 a zákon o ochraně osobních údajů a odpovědnosti za porušení 2011.)

Seznam může brzy obsahovat některé nebo všechny e-mailové adresy, jak vysvětluje Mark G. McCreary z Fox Rothschild LLP v oznámení o porušení: Time for a Wake-up Call. Cílené e-mailové útoky - nebo kopírování phishingu - jsou často odesílány z kompromitovaných účtů, takže se zdají být z důvěryhodných zdrojů. Porušení e-mailových adres by mohlo způsobit finanční škody obětem.

Současné a navrhované zákony, které vyžadují oznámení o porušení, nejsou zárukou, že budete informováni, kdykoli vaše soukromá data byla vystavena třetí stranou. Administrativa sociálního zabezpečení byla kriticky kritizována za to, že nezaznamenala tisíce lidí, jejichž jména, datum narození a SSN byly neúmyslně zveřejněny v Death Master File, který je dostupný k prodeji z mnoha různých webových stránek, podle webu Consumer Watchdog .

Nejjednodušší řešení: Šifrování všech dat

V mnoha případech organizace, která ztratila soukromá data, mohla prakticky eliminovat riziko šifrováním citlivých souborů. Bohužel pouze Nevada a Massachusetts v současné době vyžadují, aby organizace zašifrovala soukromá data, která ukládají, jak uvádí Keith Vance na webu eSecurityPlanet.

Standardní federální normy pro zpracování informací (FIPS) a dvacet kritických bezpečnostních kontrol slouží jako směrnice pro velké podniky, které provádějí plány na ochranu údajů. Co chybí, jsou pokyny pro malé podniky.

Společnost Better Business Bureau nabízí základnu pro zabezpečení dat pro malé firmy (pdf), která obsahuje kontrolní seznamy inventarizace dat, pokyny pro bezpečnostní audit a tipy pro zjištění krádeže totožnosti. (Všimněte si, že zpráva byla sponzorována společnostmi Visa a Symantec, a proto doporučujeme její produkty s obilím soli.)

Zajištění bezpečné likvidace citlivých dat

Třetím bodem plánu zabezpečení dat jsou řízení přístupu, šifrování uložených dat a bezpečné vyřazování osobních údajů. Skartace je preferovanou metodou pro papírové soubory a optická média. V příspěvku z března 2009 jsem popsal, jak zničit starý pevný disk. Jedním z nástrojů v tomto příběhu je Darik's Boot and Nuke (DBAN), bezplatný program pro utírání dat.

Samozřejmě, pokud jsou uložená data šifrována, je pravděpodobnost, že někdo zotaví je minimalizován. Přesto nejbezpečnějším přístupem je vymazání všech paměťových médií před jejich vyřazením.

Dokonce s těmito opatřeními by vaše osobní informace mohly ještě spadnout do nesprávných rukou. Zvykněte si zkontrolovat své měsíční výpisy z kreditní karty a bankovních výpisů a zvážíte, zda se zaregistrujete na službu sledování kreditů, která vás upozorní poštou nebo jinou metodou při každém otevření nového účtu ve vašem názvu.

Stránka Fight Identity Theft zachycuje první čtyři služby pro poskytování úvěrů. Nicméně, ne každý musí strávit až 15 dolarů měsíčně na ochranu své identity: Investopedia zkoumá klady a zápory služeb pro sledování úvěrů.

Pokud máte podezření, že jste obětí krádeže totožnosti, stránka Federal Fight Back Against Theft Fight (Federální obchodní komise) Federální obchodní komise poskytuje rozsáhlé otázky týkající se tohoto tématu a obsahuje odkaz na podání stížnosti u agentury.