Лично идентифицируемая информация (PII) в информационной безопасности – это данные, которые могут прямо или косвенно идентифицировать человека. PII имеет несколько формальных определений, различающихся в зависимости от страны и территории. Однако основное значение этого термина остается неизменным. Наиболее распространенным определением PII (согласно Национальному институту стандартов и технологий [NIST] США) является следующее: “Любое представление информации, позволяющее прямо или косвенно установить личность человека, к которому эта информация относится”. Аналогичным образом, в соответствии с законами о конфиденциальности и защите персональной информации, формальное определение изменяется. Для получения более подробной информации о конфиденциальности данных можно обратиться к соответствующим аббревиатурам.
Важность PII для кибербезопасности
Кибербезопасность – это защита и оборона от кибератак. В большинстве случаев она включает в себя информационную безопасность, где основное внимание уделяется защите данных, хранящихся в системах и организациях. Таким образом, знание того, что такое PII, помогает понять, какие данные хранятся, что необходимо защищать, как ими лучше управлять, и еще несколько моментов, способствующих повышению безопасности.
Как правило, PII является конфиденциальной информацией. Поэтому злоумышленники не должны получить доступ к такой информации. Любая собранная PII может повлиять на человека в реальном, а не только в цифровом мире. Кроме того, конфиденциальность играет большую роль в способности организации работать с персональными данными. И вовлеченная в процесс персональная информация является решающим фактором, отражающим игру организации в области конфиденциальности. Таким образом, в мире кибербезопасности так или иначе необходимо защищать информацию.
Что именно входит в состав PII?
Если мы дали определение PII, то как понять, что часть данных может раскрыть личность человека? Чтобы ответить на этот вопрос, необходимо знать, какие данные могут быть классифицированы как PII, а также различные типы PII. Не волнуйтесь, мы рассмотрим и то, и другое по ходу чтения. В качестве примера можно привести все, что помогает подтвердить личность человека. Не каждая служба или организация собирает PII – поэтому приведенные примеры не являются тем, что вы сообщаете кому-либо в Интернете.
Например, платежный процессор может собирать некоторую информацию, классифицируемую как PII, а служба электронной почты может хранить что-то другое. Это может быть ваше имя, фамилия, дата рождения, номер банковского счета, домашний адрес, номер социального страхования, медицинская информация, фотография лица, номер мобильного телефона, электронная почта, номер автомобиля, отпечатки пальцев и многое другое. Это справедливо практически для всех стран мира, с небольшими различиями в том, что считается (или не считается) PII.
Типы PII
PII может быть двух различных типов – прямые и косвенные идентификаторы. К прямым идентификаторам относится информация, уникальная для конкретного человека, например, государственный идентификационный номер, номер лицензии, номер телефона, номер банковского счета и т.д. Любой человек может идентифицировать вас только по одному прямому идентификатору, поэтому он считается одним из видов PII.
А косвенные идентификаторы (или квазиидентификаторы) относятся к тем единичным данным, которые не могут помочь идентифицировать вас. Например, если вы случайно сообщите место своего рождения, человек не сможет определить ваше местонахождение или узнать какие-либо другие персональные данные о вас. Совокупность косвенных идентификаторов, собранных вместе, может помочь идентифицировать вас. А может быть, и нет? Это зависит от…
Подробнее о видах и классификации PII
Лично идентифицируемая информация может быть классифицирована на чувствительную и нечувствительную.
Чувствительная PII: К чувствительной относится информация, которая обычно не предоставляется в открытом доступе и требует согласия на ее предоставление/хранение. Это такие данные, как ваше полное имя, номер идентификационной карты, номер лицензии, информация о кредитной карте, медицинская информация, номер телефона и финансовые данные.
Нечувствительная PII: информация, которая может быть получена без согласия человека из открытых документов или Интернета. Это такие данные, как дата рождения, пол, вероисповедание и т.д. Кроме того, PII можно разделить на связанную и привязанную информацию.
К связанной информации можно отнести:
- Идентификатор вашего устройства
- Адрес интернет-протокола (IP)
- Файлы cookie браузера
- Серийный номер устройства
И все остальное, что относится к конфиденциальной PII. Аналогичным образом, информация, которую можно связать, считается информацией, которая может быть использована для идентификации личности. Например, имя, почтовый индекс, пол и место работы.
Что делать, если PII не защищена?
Учитывая, что PII имеет огромное значение для кибербезопасности, нельзя не задаться вопросом: а что, если она не защищена? Злоумышленник получает доступ к персональной информации, которая может идентифицировать человека, без его согласия. Никогда не знаешь, сколько кибератак происходит каждый день, пока вы читаете эти строки. Поэтому исключать такую возможность нельзя. Социальная инженерия, фишинговые атаки и множество других способов.
Киберзлоумышленники могут использовать PII для получения дополнительной информации, отслеживания ваших действий в Интернете или кражи личных данных. И все это не может не вызывать беспокойства. Речь идет о вашей конфиденциальности и цифровой безопасности. Точно так же, как вы хотите сохранить конфиденциальность своих действий в браузере или поисковых данных, PII (чувствительная или нечувствительная) должна быть конфиденциальной.
В противном случае можно быстро вовлечь вашу личность в мошенничество или обманом заставить вас дать выкуп или совершить какие-либо незаконные действия. Возможности злоумышленников, использующих эту информацию для получения данных, денег и активов, безграничны. Поэтому необходимо защищать PII с помощью лучших мер кибербезопасности.
Как защитить PII?
Организации и службы, с которыми мы взаимодействуем, несут ответственность за защиту PII, которую мы им передаем. Начиная от номера телефона и заканчивая платежной информацией и адресом, все должно быть конфиденциально и надежно защищено от несанкционированного доступа. Вот некоторые меры, которые должны предпринимать организации для защиты PII:
- Информировать клиентов о хранимых данных.
- Защищать данные с помощью шифрования, чтобы даже в случае утечки информация не была скомпрометирована.
- Двухфакторная аутентификация для защиты учетных записей в Интернете.
- Контроль доступа к информации для обеспечения максимальной конфиденциальности.
- Необходимо разработать политику кибербезопасности, чтобы быть готовым к защите и обеспечить минимальный ущерб хранимой информации.
- Максимально возможная анонимизация хранимых данных.
- Защитите сеть с помощью лучшего брандмауэра веб-приложений.
- Обеспечить наличие системы управления информационной безопасностью (СУИБ).
Многие другие вещи и тонкости ведут к повышению информационной безопасности и эффективности работы с данными в организации. Однако для обеспечения наилучшей защиты PII необходимо соблюдать эти основные правила. Кроме того, при необходимости вы можете отказаться от передачи некоторых данных, которые классифицируются как PII. Это значительно повысит уровень конфиденциальности.
PII важна, но не все персональные данные важны
Конечно, мы имеем дело с “персональными” данными. Однако то, что классифицируется как “персональные” данные, может иметь некоторые отклонения в зависимости от закона/законодательства о конфиденциальности в вашей стране. Хотя почти все данные считаются более конфиденциальными, чем десять лет назад, в некоторых странах они классифицируются иначе. Например, мы везде сообщаем свое полное имя, хотя оно и является разновидностью PII. Мы не можем обвинить какую-либо организацию/службу, если злоумышленник использует наше имя в другом месте.
Поэтому, возможно, не стоит напрягаться по поводу некоторых сведений, которыми мы ежедневно обмениваемся. Кроме того, следует ознакомиться с действующими в стране правилами защиты конфиденциальности и законами о защите данных, чтобы знать, что считается конфиденциальной информацией и как повысить уровень конфиденциальности. В конечном счете, мы сами несем ответственность за защиту PII, прямо или косвенно. И если мы будем бдительны в отношении своих данных, то организации смогут лучше заботиться о собранной от нас информации.
