Du är ansvarig för att skydda den privata informationen du lagrar på din dator eller överföra via Internet. Men hur är det med dina personuppgifter som ligger i händerna på någon organisation du har lärt dig?
Från IRS till din lokala blomsterhandlare delas din privata information i stor utsträckning. Och varje dag förlorar någon organisation känslig information om sina kunder eller kunder - oavsett om det beror på ett hackattack eller (mer troligt) från förlust eller stöld av en dator eller lagringsenhet.
Här är tre senaste exempel från Open Security Foundation Data Loss Database:
- En missnöjd anställd stjäl Social Security Numbers, kreditkortskonton och annan personlig information om cirka 1200 kunder. Informationen används för att skapa falska arbetslöshetskonton, som bedrar Maryland-avdelningen för arbete, licensiering och reglering av upp till 170 000 dollar.
- En bärbar dator stulen från ett fastighetsbolag i Vermont innehåller vissa SSN och andra privata uppgifter om invånare, enligt meddelandet som företaget skickat till berörda kunder (pdf).
- En skatteförberedande tjänst utvisas från sitt kontor i San Francisco och lämnar en låda med gamla avkastningar utanför ytterdörren.
En annan användbar informationskälla om de senaste uppgifterna är Privacy Rights Clearinghouse Chronology of Data Breaches, som listar händelser som går tillbaka till 2005 av organisationer som förlorar känslig data.
Hur effektivt är lagar om överträdelseanmälan?
Enligt den nationella lagstiftningskonventionen om säkerhetsöverträdelser 2011 kräver 46 stater att organisationer ska skicka meddelanden till personer vars privata uppgifter har äventyras på grund av överträdelser som påverkar ett minimalt antal personer (vanligtvis 500). Information som kvalificerar sig som privat är en kombination av förnamn, efternamn, mellannivå, SSN, ekonomisk data och hälso- eller sjukvård.
(USA: s webbplats för hälso- och sjukvårdspersonal förklarar de strängare HIPAA-anmälningskraven för hälsodata. I avvaktan på federal lagstiftning om anmälan om uppgiftsbrott ingår bl.a. lagen om personuppgiftsskydd av 2011 och lagen om skydd av personuppgifter och överträdelseansvar av 2011.)
Listan kan snart innehålla några eller alla e-postadresser, som förklaras av Mark G. McCreary i Fox Rothschild LLP i överträdelseanmälan: Tid för ett uppringningsanrop. Målta e-postangrepp - eller spjutfiskning - skickas ofta från komprometterade konton, så de verkar vara från betrodda källor. Ett brott mot e-postadresser kan leda till ekonomiska skador för offren.
Nuvarande och föreslagna lagar som kräver anmälan om intrång är ingen garanti för att du får veta när din privata data har exponerats av en tredje part. Socialförsäkringsverket blev kritiskt kritiserad för att inte anmäla tusentals personer vars namn, födelsedatum och SSNs publicerades oavsiktligt i Death Master File, som är tillgänglig för försäljning från många olika webbplatser, enligt Consumer Watchdogs webbplats .
Den enklaste lösningen: Kryptera alla data
I många fall kunde organisationen som förlorade den privata data ha praktiskt taget eliminerat risken genom att kryptera de känsliga filerna. Tyvärr behöver bara Nevada och Massachusetts för närvarande organisationer att kryptera de privata data som de lagrar, enligt Keith Vance på eSecurityPlanet-webbplatsen.
National Institute of Standards and Technology: s federala informationsbehandlingsstandarder (FIPS) och de tjugo kritiska säkerhetsstyrningarna fungerar som riktlinjer för stora företag som genomför datasäkerhetsplaner för soppnötter. Vad som saknas är riktlinjer för småföretag.
Better Business Bureau erbjuder en primer för datasäkerhet för småföretag (pdf) som innehåller data-checklistor, riktlinjer för säkerhetskontroll och tips för att upptäcka identitetsstöld. (Observera att rapporten sponsrats av Visa och Symantec, så ta dess produktrekommendationer med saltkorn.)
Säkerställa säker bortskaffande av känsliga uppgifter
De tre punkterna i en datasäkerhetsplan är åtkomstkontroll, kryptering av lagrade data och säkert borttagande av personlig information. Shredding är den föredragna metoden för pappersfiler och optiska medier. I ett inlägg från mars 2009 beskrev jag hur man förstör en gammal hårddisk. Ett av de verktyg som omfattas av den berättelsen är Dariks Boot och Nuke (DBAN), ett gratis datatorkprogram.
Självklart, om den disponerade data krypteras, minimeras chansen att någon återhämtar den. Ändå är det säkraste sättet att torka bort alla lagringsmedier innan de kasseras.
Även med dessa försiktighetsåtgärder kan din personliga information fortfarande falla i fela händer. Gör en vana med att granska ditt månatliga kreditkort och kontoutdrag och överväga att registrera dig för en kreditövervakningstjänst som varnar dig via mail eller annan metod när ett nytt konto öppnas i ditt namn.
Fight Identity Theft-webbplatsen utvärderar de fyra bästa kreditrapporteringstjänsterna. Men inte alla behöver spendera upp till $ 15 per månad för att skydda deras identitet: Investopedia undersöker fördelarna och nackdelarna med kreditövervakningstjänster.
Om du misstänker att du är offer för identitetsstöld, tillhandahåller Federal Trade Commission's Fight Back Against Identity Theft-webbplats en omfattande FAQ om ämnet och innehåller en länk för att lämna in ett klagomål hos byrån.
Lämna Din Kommentar