Персональна ідентифікаційна інформація (ПІІ) в контексті інформаційної безпеки – це сукупність даних, за допомогою яких можна ідентифікувати конкретну особу, як безпосередньо, так і через поєднання різних ознак.
Хоча існують різноманітні офіційні визначення ПІІ, які можуть відрізнятися залежно від країни чи регіону, основна концепція цього терміна залишається незмінною.
Загальноприйняте визначення, запропоноване Національним інститутом стандартів і технологій (NIST) США, звучить так: “Будь-яке представлення відомостей, що дозволяє обґрунтовано встановити особистість індивіда, якому ці відомості належать, використовуючи прямі чи непрямі способи”.
Аналогічно, формальні визначення ПІІ варіюються в залежності від законів про конфіденційність та захист персональних даних. Щоб дізнатися більше, ви можете ознайомитися з відповідними скороченнями, що стосуються конфіденційності даних.
Значення персональної ідентифікаційної інформації у сфері кібербезпеки 🔒
Кібербезпека спрямована на захист від кібератак. Вона тісно пов’язана з інформаційною безпекою, яка фокусується на захисті даних, що зберігаються в інформаційних системах та організаціях.
Розуміння того, що таке ПІІ, є важливим кроком до розуміння того, які дані підлягають захисту, як ефективно ними керувати, та інших аспектів, що сприяють підвищенню загального рівня безпеки.
Зазвичай, ПІІ належить до чутливої інформації. Тому, важливо запобігти її потраплянню в руки зловмисників. Будь-яке несанкціоноване розголошення ПІІ може мати серйозні наслідки для людини як в цифровому, так і в реальному світі.
Крім того, здатність організації захищати персональні дані є важливим показником її рівня конфіденційності. Таким чином, захист ПІІ є ключовим елементом у сфері кібербезпеки.
Що саме включає в себе персональна ідентифікаційна інформація?
Після визначення ПІІ, виникає питання: як ідентифікувати, які саме дані можуть розкрити особистість людини? 🤔
Для відповіді на це питання необхідно розуміти, які саме дані можуть бути класифіковані як ПІІ, а також знати про різні типи ПІІ.
Не хвилюйтеся, ми розглянемо ці аспекти далі.
Приклади ПІІ включають все, що допомагає ідентифікувати особу. Варто зазначити, що не кожна служба чи організація збирає всі можливі види ПІІ, тому представлені приклади не є вичерпним переліком того, що ви можете надати будь-кому в інтернеті.
Наприклад, платіжна система може збирати певні види ПІІ, тоді як електронна пошта зберігає інші.
💡 До ПІІ можна віднести ім’я, прізвище, дату народження, номер банківського рахунку, домашню адресу, номер соціального страхування, медичну інформацію, фотографію обличчя, номер мобільного телефону, електронну адресу, номер автомобіля, відбитки пальців тощо.
Це визначення є актуальним для більшості країн світу, хоча існують певні відмінності щодо того, яка інформація вважається ПІІ, а яка ні.
Типи ПІІ
Персональна ідентифікаційна інформація може бути поділена на два основні типи: прямі та непрямі ідентифікатори.
Прямі ідентифікатори – це унікальні дані, що дозволяють ідентифікувати конкретну особу, наприклад, номер національного посвідчення особи, номер ліцензії, номер телефону, номер банківського рахунку тощо.
Лише один прямий ідентифікатор може бути достатнім для ідентифікації, тому такі дані вважаються ПІІ.
Непрямі ідентифікатори (або квазіідентифікатори) – це окремі дані, які самі по собі не дозволяють ідентифікувати особу. Наприклад, якщо ви випадково повідомите своє місце народження, це не дозволить ідентифікувати вас або дізнатися інші ваші особисті дані.
Однак, поєднання кількох непрямих ідентифікаторів може допомогти ідентифікувати особу. Чи допоможе – залежить від конкретної ситуації.
Детальніше про типи та класифікацію ПІІ
Персональну ідентифікаційну інформацію можна класифікувати як конфіденційну та неконфіденційну.
Конфіденційна ПІІ: це інформація, яка, як правило, не поширюється на загальнодоступних платформах і потребує згоди на передачу або зберігання. До такої інформації належать повне ім’я, номер посвідчення особи, номер ліцензії, дані кредитної картки, медичні дані, номер телефону та фінансова інформація.
Неконфіденційна ПІІ: це інформація, яку можна отримати без згоди особи з публічних архівів або інтернету. Прикладами є дата народження, стать, релігія тощо.
Також ПІІ можна класифікувати як пов’язану та непов’язану інформацію.
Пов’язана інформація включає:
- Усе, що входить до конфіденційної ПІІ.
Пов’язана інформація – це дані, які при спільному використанні можуть допомогти ідентифікувати особу. Приклад: ім’я, поштовий індекс, стать та місце роботи.
Що робити, якщо ПІІ не захищена? 🔓
Враховуючи важливість ПІІ для кібербезпеки, неминуче виникає питання: що станеться, якщо вона не буде захищена?
Зловмисник може отримати доступ до особистої інформації, здатної ідентифікувати людину, без її згоди. Кібератаки відбуваються щодня, тому це неможливо повністю виключити.
Зловмисники використовують соціальну інженерію, фішингові атаки та інші методи.
Кіберзлочинці можуть використати ПІІ для отримання додаткової інформації, стеження за вашою діяльністю в інтернеті або шахрайства. Це серйозні загрози.
Мова йде про вашу конфіденційність та цифрову безпеку. Так само, як ви хочете зберегти конфіденційність своїх даних веб-перегляду або пошуку, ПІІ (конфіденційна чи неконфіденційна) також потребує захисту.
У випадку несанкціонованого доступу вашу особистість можуть використати у шахрайських схемах, вимагати викуп або залучити вас до інших незаконних дій. Можливості зловмисників безмежні, коли мова йде про отримання даних, грошей або активів.
Тому надзвичайно важливо забезпечити захист ПІІ, використовуючи надійні методи кібербезпеки.
Як захистити ПІІ?
Організації та служби, з якими ми взаємодіємо, несуть відповідальність за захист ПІІ, до якої ми їм надаємо доступ.
Від нашого номера телефону до платіжної інформації та адреси – все це має бути конфіденційним та зберігатися у безпеці, щоб запобігти несанкціонованому доступу.
Ось деякі з заходів, які організації повинні вживати для захисту ПІІ:
- Інформувати клієнтів про те, які дані зберігаються.
- Захищати дані за допомогою шифрування, щоб унеможливити їх розголошення, навіть у разі витоку.
- Використовувати двофакторну автентифікацію для захисту онлайн-акаунтів.
- Контролювати доступ до інформації для забезпечення максимальної конфіденційності.
- Запроваджувати політики кібербезпеки для мінімізації шкоди від кібератак.
- Максимально анонімізувати збережені дані.
- Захищати мережу за допомогою надійного брандмауера для веб-додатків.
- Впровадити систему управління інформаційною безпекою (СУІБ).
Багато інших, менш очевидних, заходів сприяють підвищенню рівня інформаційної безпеки та захисту даних в організації. Однак, перелічені вище основні правила необхідно виконувати для забезпечення максимального захисту ПІІ.
Крім того, за потреби ви можете свідомо утримуватися від надання певної інформації, яка може бути класифікована як ПІІ. Це значно покращить рівень вашої конфіденційності.
ПІІ важлива, але не всі персональні дані мають однаковий рівень чутливості
Звичайно, ми маємо справу з “персональними” даними.
Проте, визначення “персональних” даних може дещо відрізнятися залежно від законодавства про конфіденційність вашої країни. Хоча практично всі дані зараз вважаються більш чутливими, ніж десять років тому, деякі країни мають інші класифікації.
Наприклад, ми майже всюди ділимося своїм повним ім’ям, навіть якщо це є типом ПІІ. Ми не можемо звинувачувати будь-яку організацію/службу, якщо зловмисник використовує наше ім’я в інших місцях. Тому, можливо, не варто надмірно акцентувати увагу на певній інформації, яку ми надаємо щодня.
Також, ознайомтеся з правилами конфіденційності вашої країни та законами про захист даних, щоб знати, що вважається конфіденційним та як підвищити рівень вашої конфіденційності.
Зрештою, кожен з нас несе відповідальність за захист своєї ПІІ, прямо чи опосередковано. Якщо ми будемо уважними до своїх даних, організації зможуть краще піклуватися про ПІІ, яку від нас отримують.
Також, ви можете переглянути деякі цікаві подкасти про кібербезпеку, щоб бути в курсі подій у світі цифрових загроз.