Ön felelős a számítógépen tárolt vagy az interneten keresztül továbbított személyes adatok biztosításáért. De mi van azokkal a személyes adataival, amelyek valamilyen szervezet kezében vannak?

Az IRS-től a helyi virágüzletig a személyes adatait széles körben megosztják. És minden nap néhány szervezet elveszít érzékeny adatokat ügyfeleiről vagy ügyfeleiről - akár hack támadás, akár (valószínűleg) egy számítógép vagy tárolóeszköz elvesztése vagy lopása miatt.

Az Open Security Foundation adatvesztési adatbázisában három friss példa található:

• Egy elégedetlen munkatársa ellopja a mintegy 1200 ügyfél szociális biztonsági számát, hitelkártyaszámláját és egyéb személyes adatait. Az információ hamis munkanélküliségi számlák létrehozására szolgál, a Maryland Munkaügyi, Engedélyezési és Szabályozási Osztályának megakadályozásával akár 170.000 $ -ig.
• A Vermontban található ingatlankezelő társaságból ellopott laptop tartalmaz néhány SSN-t és egyéb, a lakosságra vonatkozó személyes adatot, az ügyfeleknek az érintett ügyfeleknek küldött értesítés szerint (pdf).
• Az adó-előkészítő szolgálat kilakoltatásra kerül San Francisco-i irodájából, és egy régi adóbevallást hagy el a bejárati ajtón kívül.

Egy másik hasznos információforrás a közelmúltbeli adatok megsértéseiről az Adatvédelmi Jogi Nyilvántartási Adatok megsértésének krónikája, amely felsorolja az érzékeny adatokat elveszítő szervezetek 2005-ös eseményeit.

Mennyire hatékonyak a jogsértési bejelentések?

A 2011-es Országos Államtitkársági Biztonsági megsértésről szóló törvény szerint a 46 állam jelenleg előírja a szervezeteknek, hogy küldjenek értesítéseket azoknak az embereknek, akiknek a személyes adatai a minimális számú embert érintő jogsértések miatt vannak (általában 500). A privátnak minősülő információ az első név, a vezetéknév, a középső kezdeti, az SSN, a pénzügyi adatok, valamint az egészségügyi vagy orvosi adatok kombinációja.

(Az Egyesült Államok Egészségügyi és Emberi Szolgálati Minisztériuma honlapja ismerteti az egészségügyi adatokra vonatkozó szigorúbb HIPAA megsértési értesítési követelményeket. Az adatszegésről szóló értesítésre vonatkozó szövetségi jogszabályok közé tartozik a 2011-es adatvédelmi bejelentési törvény és a személyes adatok védelméről szóló törvény. 2011.)

A lista hamarosan tartalmazhat néhány vagy minden e-mail címet, amint azt Mark G. McCreary a Fox Rothschild LLP-ről elmagyarázta a megsértési értesítésben: az ébresztés ideje. A célzott e-mail támadások - vagy a lándzsás adathalászat - gyakran a veszélyeztetett fiókokból kerülnek elküldésre, így úgy tűnik, hogy megbízható forrásból származnak. Az e-mail címek megsértése pénzügyi kárt okozhat az áldozatok számára.

A jogsértést bejelentő jelenlegi és javasolt jogszabályok nem garantálják, hogy a személyes adatok harmadik fél általi kitettségéről értesítést kap. A Társadalombiztosítási Igazgatóságot kritikusan bírálták arról, hogy nem közölte több ezer embert, akiknek nevét, születési idejét és SSN-jét véletlenül nyilvánosságra hozták a Halálfőfájlban, amely számos különböző webhelyről értékesíthető, a Consumer Watchdog webhely szerint .

A legegyszerűbb megoldás: Az összes adat titkosítása

Sok esetben a magánadatokat elveszítő szervezet gyakorlatilag megszüntethette volna a kockázatot az érzékeny fájlok titkosításával. Sajnos, csak Nevada és Massachusetts jelenleg előírja, hogy a szervezetek titkosítsák a tárolt személyes adatokat, Keith Vance szerint az eSecurityPlanet oldalon.

A Nemzeti Szabványügyi és Technológiai Intézet szövetségi információfeldolgozási szabványai (FIPS) és a húsz kritikus biztonsági ellenőrzés iránymutatásként szolgálnak a nagyvállalatok számára a leves-dió-adatvédelmi tervek végrehajtásához. A hiányzó irányelvek a kisvállalkozások számára.

A Better Business Bureau a kisvállalkozások adatvédelmi alapjait (pdf) kínál, amely tartalmazza az adatleltár-ellenőrző listákat, a biztonsági ellenőrzési iránymutatásokat és az identitás-lopásról szóló tippeket. (Ne feledje, hogy a jelentést a Visa és a Symantec támogatta, ezért a termék ajánlásait sós szemcsével vegye figyelembe.)

Az érzékeny adatok biztonságos ártalmatlanításának biztosítása

Az adatbiztonsági terv három szakasza a hozzáférés-ellenőrzés, a tárolt adatok titkosítása és a személyes adatok biztonságos eltávolítása. A papírdarabok és az optikai adathordozók számára előnyös az aprítás. A 2009. márciusi bejegyzésben leírtam, hogyan lehet egy régi merevlemezt megsemmisíteni. A történet egyik eszköze a Darik Boot és Nuke (DBAN), egy ingyenes adatmegtisztító program.

Természetesen, ha az elhelyezett adatok titkosítva vannak, az esély arra, hogy valaki helyreálljon, minimálisra csökken. A legbiztonságosabb megközelítés azonban az összes adathordozó törlése, mielőtt eldobná őket.

Még ezekre az óvintézkedésekre is, személyes adatai még mindig rossz kezébe kerülhetnek. Győződjön meg róla, hogy felülvizsgálja a havi hitelkártya és bankszámlakivonatait, és fontolja meg a hitelfelügyeleti szolgáltatásra való feliratkozást, amely értesítést küld e-mailben vagy más módon, amikor új fiókot nyit meg a nevében.

A Fight Identity Theft webhely felülvizsgálja az első négy hitelnyilvántartási szolgáltatást. Azonban nem mindenkinek kell havonta 15 dollárt költenie ahhoz, hogy megvédje identitását: az Investopedia megvizsgálja a hitel-ellenőrzési szolgáltatások előnyeit és hátrányait.

Ha azt gyanítja, hogy Ön személyazonosság-lopás áldozata, a Szövetségi Kereskedelmi Bizottság az identitás-lopás elleni küzdelem oldalát kiterjedt GYIK-t nyújt a témáról, és tartalmaz egy linket az ügynökséghez benyújtott panasz benyújtására.