Що таке ідентифікаційна інформація в кібербезпеці?

Інформація, що дозволяє ідентифікувати особу (PII) в інформаційній безпеці – це дані, які можуть ідентифікувати особу прямо чи опосередковано.

PII має кілька різних типів формальних визначень, що відрізняються залежно від країни та території. Однак суть цього терміну залишається незмінною.

Найпоширеніший спосіб визначення ідентифікаційної інформації (відповідно до Національного інституту стандартів і технологій [NIST] Сполучених Штатів) є – «Будь-яке представлення інформації, яке дозволяє обґрунтовано встановити особу особи, якої стосується ця інформація, прямими чи непрямими засобами».

Так само, відповідно до законів про конфіденційність і захист особистої інформації, формальне визначення змінюється. Ви можете переглянути відповідні скорочення конфіденційності даних, щоб дізнатися більше про них.

Важливість ідентифікаційної інформації в кібербезпеці 🔒

Кібербезпека стосується захисту та захисту від кібератак. І здебільшого це пов’язано з інформаційною безпекою, де основна увага приділяється захисту даних, що зберігаються в системах і організаціях.

Отже, знання того, що таке ідентифікаційна інформація, зрештою допомагає зрозуміти, які дані зберігаються, що потрібно захистити, як ними краще керувати, а також кілька інших речей, які допоможуть підвищити безпеку.

Зазвичай ідентифікаційна інформація є чутливою. Отже, зловмисники не повинні отримати таку інформацію. Будь-яка зібрана ідентифікаційна інформація може вплинути на людину в реальному світі, а не лише в цифровому світі.

Крім того, конфіденційність відіграє важливу роль у здатності організації обробляти персональні дані. І задіяна персональна інформація має вирішальне значення для відображення конфіденційності організації. Отже, так чи інакше важливо захистити інформацію у світі кібербезпеки.

Що саме містить ідентифікаційна інформація?

Хоча ми визначили ідентифікаційну інформацію, як ви можете зрозуміти, що частина даних може розкрити особу особи? 🤔

Щоб отримати відповідь на це питання, вам потрібно знати, які дані можуть класифікуватися як ідентифікаційна інформація та різні типи ідентифікаційної інформації.

Не хвилюйтеся; ми звернемося до обох, коли ви читатимете далі.

Приклади містять усе, що допомагає підтвердити особу особи. Не кожна служба чи організація збирає ідентифікаційну інформацію, тому згадані приклади не є тим, що ви надаєте комусь в Інтернеті.

Наприклад, платіжний процесор міг зібрати певну інформацію, яка відноситься до ідентифікаційної інформації, а служба електронної пошти могла зберегти щось інше.

💡 Інформацією може бути ваше ім’я, прізвище, дата народження, номер банківського рахунку, домашня адреса, номер соціального страхування, медична інформація, фото обличчя, номер мобільного телефону, електронна адреса, номер автомобіля, відбитки пальців тощо.

Це стосується майже всіх країн світу, з невеликими відмінностями щодо того, що вважається (чи ні) ідентифікаційною інформацією.

Типи PII

Ідентифікаційна інформація може бути двох різних типів: прямі та непрямі ідентифікатори.

Прямі ідентифікатори стосуються інформації, унікальної для особи, як-от державний ідентифікаційний номер, номер ліцензії, номер телефону, номер банківського рахунку тощо.

Будь-хто може ідентифікувати вас лише за одним прямим ідентифікатором, тому це вважається типом ідентифікаційної інформації.

А непрямі ідентифікатори (або квазіідентифікатори) стосуються окремих даних, які не можуть допомогти ідентифікувати вас. Наприклад, якщо ви навмання повідомите своє місце народження, ніхто не зможе знайти вас або дізнатися будь-які інші особисті дані про вас.

Набір непрямих ідентифікаторів може допомогти ідентифікувати вас. А може ні? Це залежить…

Докладніше про типи та класифікацію ідентифікаційної інформації

Інформацію, що дозволяє ідентифікувати особу, можна класифікувати як конфіденційну та неконфіденційну.

Конфіденційна ідентифікаційна інформація: інформація, як правило, не розповсюджується на загальнодоступній платформі та потребує згоди на передачу/зберігання, вважається конфіденційною інформацією.

Такі речі, як ваше повне ім’я, номер ідентифікаційної картки, номер ліцензії, інформація про кредитну картку, медичні дані, номер телефону та фінансові дані.

Неконфіденційна ідентифікаційна інформація: інформація, яку можна отримати без згоди особи з публічних архівів або Інтернету.

Такі речі, як дата народження, стать, релігія тощо.

Крім того, ви також можете класифікувати ідентифікаційну інформацію як зв’язану та зв’язану інформацію.

Деяка пов’язана інформація може включати:

І все інше, що входить до конфіденційної ідентифікаційної інформації.

Подібним чином пов’язана інформація вважається чимось, що можна зібрати разом, щоб допомогти ідентифікувати особу.

Наприклад, ім’я, поштовий індекс, стать і місце роботи.

Що робити, якщо ідентифікаційна інформація незахищена? 🔓

Враховуючи, що ви знаєте, що ідентифікаційна інформація є життєво важливою для кібербезпеки, не можна не запитати, а що, якщо вона незахищена?

Зловмисник отримує доступ до особистої інформації, яка може ідентифікувати особу, без вашої згоди. Ти ніколи не дізнаєшся; щодня, коли ви читаєте це, відбувається багато кібератак. Отже, це не те, що можна виключити.

Соціальна інженерія, фішингові атаки та багато інших способів.

Кіберзловмисники можуть використовувати ідентифікаційну інформацію, щоб отримати більше інформації, стежити за вашою діяльністю в Інтернеті або захопити вас крадіжкою особистих даних. І все це викликає занепокоєння.

Йдеться про вашу конфіденційність і цифрову безпеку. Подібно до того, як ви хочете зберегти конфіденційність своїх даних веб-перегляду чи пошуку, ідентифікаційна інформація (конфіденційна чи неконфіденційна) має бути конфіденційною.

Якщо ні, вашу особу можна швидко втягнути в шахрайство або змусити вас дати викуп чи будь-яку незаконну діяльність. Можливості зловмисників, які використовують інформацію, щоб отримати від вас дані, гроші та активи, безмежні.

Отже, захист ідентифікаційної інформації за допомогою найкращих заходів кібербезпеки.

Як захистити ідентифікаційну інформацію?

Організації та служби, з якими ми взаємодіємо, несуть відповідальність за захист ідентифікаційної інформації, якою ми їм надаємо доступ.

Починаючи від нашого номера телефону до нашої платіжної інформації та адреси, все має бути конфіденційним і зберігатися в безпеці, щоб запобігти будь-якому несанкціонованому доступу.

Ось деякі з речей, які організації повинні зробити, щоб захистити ідентифікаційну інформацію:

  • Інформуйте клієнтів про дані, які зберігаються.
  • Захистіть дані за допомогою шифрування, щоб інформація не була скомпрометована навіть у разі порушення.
  • Двофакторна автентифікація для захисту онлайн-акаунтів.
  • Контролюйте доступ до інформації, щоб забезпечити максимальну конфіденційність.
  • Політики кібербезпеки мають бути розгорнуті, щоб бути готовими до бою та гарантувати, що інформація, що зберігається, буде завдана незначної шкоди.
  • Максимально анонімізуйте збережені дані.
  • Захистіть мережу за допомогою найкращого брандмауера веб-додатків.
  • Переконайтеся, що у вас є система управління інформаційною безпекою (ISMS).

Багато інших речей і тонких практик сприяють покращенню інформаційної безпеки та обробки даних в організації. Однак ці основні правила необхідно виконувати, щоб забезпечити найкращий захист ідентифікаційної інформації.

Крім того, за потреби ви можете не ділитися деякими даними, які класифікуються як ідентифікаційна інформація. Це значно покращить вашу конфіденційність.

ІНФО має вирішальне значення, але не всі персональні дані

Звичайно, ми маємо справу з «особистими» даними.

Однак те, що класифікується як «особисте», може мати деякі відхилення залежно від закону/закону про конфіденційність вашої країни. Хоча майже всі дані розглядаються як більш чутливі, ніж десять років тому, деякі країни мають інші класифікації.

Наприклад, ми скрізь ділимося нашим повним ім’ям, навіть якщо це тип ідентифікаційної інформації. Ми не можемо звинувачувати жодну організацію/службу, якщо зловмисник використовує наше ім’я в іншому місці. Отже, можливо, вам не потрібно наголошувати на деякій інформації, яку ми надаємо щодня.

Крім того, слід ознайомитися з правилами конфіденційності своєї країни та законами про захист даних, щоб знати, що вважається конфіденційним і як покращити вашу конфіденційність.

Зрештою, ми несемо відповідальність за захист ідентифікаційної інформації, прямо чи опосередковано. І якщо ми зможемо залишатися пильними щодо наших даних, організації зможуть краще піклуватися про отриману від нас ідентифікаційну інформацію.

Ви також можете переглянути деякі найкращі подкасти з кібербезпеки, щоб бути попереду у світі цифрових загроз.