Вие носите отговорност за защитата на личната информация, която съхранявате на компютъра, или за предаване по интернет. Но какво да кажем за вашите лични данни, които са в ръцете на някаква организация, на която имате доверие?

От данъчните служби до местния цветар, личната ви информация е широко разпространена. И всеки ден някои организации губят чувствителни данни за своите клиенти или клиенти - било то поради хакерска атака или (по-вероятно) от загуба или кражба на компютър или устройство за съхранение.

Ето три неотдавнашни примера от базата данни за загуба на данни на фондация Open Security:

• Един недоволен служител краде номера на социалното осигуряване, сметките за кредитни карти и други лични данни на около 1 200 клиенти. Информацията се използва за създаване на фалшиви сметки за безработица, измама на Министерството на труда, лицензирането и регулирането в Мериленд до $ 170, 000.
• Лаптоп, откраднат от компания за управление на имоти във Върмонт, съдържа някои SSN и други лични данни за жителите, съгласно съобщението, което фирмата е изпратила до засегнатите клиенти (pdf).
• Служба за подготовка на данъци е изгонена от техния офис в Сан Франциско и оставя кутия със стари данъчни декларации пред входната врата.

Друг полезен източник на информация за последните нарушения на данните е Хронологията на информационните бюлетини за нарушаване на защитата на личните данни, която описва събития от 2005 г. на организации, които губят чувствителни данни.

Колко ефективни са законите за уведомяване за нарушения?

Според Законодателството на Националната конференция на държавните законодатели за нарушаване на сигурността за 2011 г. 46 държави понастоящем изискват от организациите да изпращат уведомления на хора, чиито лични данни са компрометирани поради нарушения, засягащи минимален брой хора (обикновено 500). Информацията, която се квалифицира като частна, е някаква комбинация от име, фамилия, средно начало, SSN, финансови данни и здравни или медицински данни.

(Американското министерство на здравеопазването и човешките услуги обяснява по-строгите изисквания за уведомяване за нарушения на HIPAA за здравните данни. В очакване на федерално законодателство за уведомяване за нарушаване на данните, се включва Законът за уведомяване за нарушаване на данните от 2011 г. и Законът за защита на личните данни и нарушения 2011 г.)

Списъкът може скоро да включва някои или всички адреси на електронна поща, както е обяснено от Марк Г. МакКориър от LLP на Fox Rothschild в уведомлението за нарушение: Време за повикването. Насочените атаки по електронната поща или фишингът с копие често се изпращат от компрометирани профили, така че изглежда, че са от надеждни източници. Нарушаването на имейл адреси може да доведе до финансови щети за жертвите.

Текущи и предложени закони, изискващи уведомяване за нарушение, не са гаранция, че ще ви бъде съобщено, когато личните ви данни са били изложени от трета страна. Администрацията за социална сигурност бе критикувана заради това, че не е уведомила хиляди хора, чиито имена, дати на раждане и SSN са били публично оповестени в папката за смъртта, която е достъпна за продажба от много различни уеб сайтове.,

Най-простото решение: Шифроване на всички данни

В много случаи организацията, която е изгубила личните данни, може практически да елиминира риска чрез криптиране на чувствителните файлове. За съжаление, само Невада и Масачузетс в момента изискват от организациите да шифроват личните данни, които съхраняват, според Keith Vance на сайта eSecurityPlanet.

Националният институт за стандарти и стандарти на Федералните стандарти за обработка на информация (FIPS) и двадесет критични контрола за сигурност служат като насоки за големите предприятия, които прилагат планове за защита на данните от супа до ядки. Това, което липсва, са насоки за малкия бизнес.

Бюрото за по-добро бизнес предлага грунд за сигурност на данните за малкия бизнес (pdf), който включва контролни списъци за инвентаризация на данни, насоки за одит на сигурността и съвети за откриване на кражба на самоличност. (Имайте предвид, че докладът беше спонсориран от Visa и Symantec, затова вземете препоръките му за продукта със зърно.)

Осигуряване на безопасно изхвърляне на чувствителни данни

Трите направления на плана за сигурност на данните са контроли за достъп, криптиране на съхранени данни и сигурно разпореждане с лична информация. Раздробяването е предпочитаният метод за хартиени файлове и оптични носители. В пост от март 2009 описах как да се унищожи стар твърд диск. Един от инструментите, обхванати от тази история, е програмата на Дарик (Boot and Nuke), безплатна програма за изтриване на данни.

Разбира се, ако разположените данни са криптирани, вероятността някой да го възстанови е сведена до минимум. Все пак, най-сигурният подход е да се изтрият всички носители за съхранение, преди да се изхвърлят.

Дори и с тези предпазни мерки вашата лична информация все още може да попадне в неподходящи ръце. Направете навик да преглеждате месечните си кредитни карти и банкови извлечения и да обмисляте да се регистрирате за услуга за кредитен мониторинг, която да ви предупреждава по пощата или по друг начин, когато се отваря нов профил на ваше име.

The Fight Identity Theft сайт преглежда най-добрите четири кредитни услуги. Въпреки това, не всеки трябва да похарчи до 15 долара на месец, за да защити своята идентичност: Investopedia разглежда предимствата и недостатъците на услугите за кредитен мониторинг.

Ако подозирате, че сте жертва на кражба на самоличност, сайтът на Федералната търговска комисия за борба с кражбата на самоличност предоставя обширни ЧЗВ по темата и включва връзка за подаване на жалба до агенцията.