Είστε υπεύθυνοι για τη διασφάλιση των προσωπικών πληροφοριών που αποθηκεύετε στον υπολογιστή σας ή για τη μετάδοση μέσω του Διαδικτύου. Αλλά τι γίνεται με τα προσωπικά σας δεδομένα που βρίσκονται στα χέρια κάποιας οργάνωσης με την οποία εμπιστεύεστε;

Από το IRS στον τοπικό σας ανθοπωλείο, οι προσωπικές πληροφορίες σας μοιράζονται ευρέως. Και κάθε μέρα κάποιος οργανισμός χάνει ευαίσθητα δεδομένα σχετικά με τους πελάτες ή τους πελάτες του - είτε λόγω μιας επίθεσης χάκερ είτε (πιθανότατα) από την απώλεια ή κλοπή ενός υπολογιστή ή μιας συσκευής αποθήκευσης.

Ακολουθούν τρία πρόσφατα παραδείγματα από την Βάση Δεδομένων Απώλειας του Ιδρύματος Ασφαλείας:

• Ένας δυσαρεστημένος υπάλληλος κλέβει τους αριθμούς κοινωνικής ασφάλισης, λογαριασμούς πιστωτικών καρτών και άλλα προσωπικά δεδομένα περίπου 1.200 πελατών. Οι πληροφορίες χρησιμοποιούνται για τη δημιουργία ψεύτικων λογαριασμών ανεργίας, εξαπατώντας το Υπουργείο Εργασίας του Μέρυλαντ, την αδειοδότηση και ρύθμιση μέχρι και $ 170.000.
• Ένας φορητός υπολογιστής που έχει κλαπεί από μια εταιρεία διαχείρισης ακινήτων στο Βερμόντ περιέχει ορισμένα SSN και άλλα ιδιωτικά δεδομένα για τους κατοίκους, σύμφωνα με την ανακοίνωση που έστειλε η εταιρεία στους ενδιαφερόμενους πελάτες (pdf).
• Μια υπηρεσία φορολογικής προετοιμασίας εκδιώκεται από το γραφείο τους στο Σαν Φρανσίσκο και αφήνει ένα κουτί παλιών φορολογικών δηλώσεων έξω από την μπροστινή πόρτα.

Μια άλλη χρήσιμη πηγή πληροφοριών για τις πρόσφατες παραβιάσεις δεδομένων είναι η Χρονική Έκθεση για την προστασία των προσωπικών δεδομένων (Privacy Rights Clearinghouse Chronology of Breaches Data), η οποία απαριθμεί περιστατικά που χρονολογούνται από το 2005 για οργανισμούς που χάνουν ευαίσθητα δεδομένα.

Πόσο αποτελεσματικοί είναι οι νόμοι κοινοποίησης παραβάσεων;

Σύμφωνα με την Νομοθεσία περί παραβίασης της ασφάλειας των εθνικών νομοθεσιών του 2011, 46 κράτη απαιτούν σήμερα από τους οργανισμούς να αποστέλλουν ειδοποιήσεις σε άτομα των οποίων τα ιδιωτικά δεδομένα έχουν παραβιαστεί λόγω παραβιάσεων που πλήττουν ελάχιστο αριθμό ατόμων (συνήθως 500). Οι πληροφορίες που χαρακτηρίζονται ως ιδιωτικές είναι ένας συνδυασμός ονόματος, επώνυμου, μέσου αρχικού, SSN, οικονομικών δεδομένων και δεδομένων υγείας ή ιατρικών δεδομένων.

(Η ιστοσελίδα του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ εξηγεί τις αυστηρότερες απαιτήσεις γνωστοποίησης παραβίασης της HIPAA για τα δεδομένα υγείας.) Η εκκρεμούσα ομοσπονδιακή νομοθεσία σχετικά με την κοινοποίηση παραβίασης δεδομένων περιλαμβάνει τον νόμο περί κοινοποίησης παραβιάσεων δεδομένων του 2011 και τον νόμο περί προστασίας δεδομένων προσωπικού χαρακτήρα και ευθύνης παραβίασης 2011.)

Ο κατάλογος ενδέχεται σύντομα να περιλαμβάνει ορισμένες ή όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, όπως εξηγείται από τον Mark G. McCreary του Fox Rothschild LLP στην ειδοποίηση παράβασης: Ώρα για μια κλήση αφύπνισης. Οι στοχευμένες επιθέσεις ηλεκτρονικού ταχυδρομείου - ή το δόλωμα phishing - συχνά αποστέλλονται από συμβιβασμένους λογαριασμούς, επομένως φαίνονται να προέρχονται από αξιόπιστες πηγές. Η παραβίαση των διευθύνσεων ηλεκτρονικού ταχυδρομείου θα μπορούσε να οδηγήσει σε οικονομικές ζημίες για τα θύματα.

Οι τρέχοντες και προτεινόμενοι νόμοι που απαιτούν ειδοποίηση παραβίασης δεν αποτελούν εγγύηση ότι θα σας ειδοποιηθούν όποτε τα ιδιωτικά σας δεδομένα έχουν εκτεθεί από τρίτο μέρος. Η Υπηρεσία Κοινωνικής Ασφάλισης κατηγορήθηκε κατηγορηματικά ότι δεν ανακοίνωσε χιλιάδες άτομα των οποίων τα ονόματα, οι ημερομηνίες γέννησης και τα SSN δημοσιοποιήθηκαν ακούσια στο Death Master File, το οποίο είναι διαθέσιμο προς πώληση από πολλές διαφορετικές τοποθεσίες Web, σύμφωνα με τον ιστότοπο Consumer Watchdog .

Η απλούστερη λύση: Κρυπτογραφήστε όλα τα δεδομένα

Σε πολλές περιπτώσεις, η οργάνωση που έχασε τα ιδιωτικά δεδομένα θα μπορούσε να εξαλείψει ουσιαστικά τον κίνδυνο με την κρυπτογράφηση των ευαίσθητων αρχείων. Δυστυχώς, μόνο η Νεβάδα και η Μασαχουσέτη σήμερα απαιτούν από τους οργανισμούς να κρυπτογραφούν τα ιδιωτικά δεδομένα που αποθηκεύουν, σύμφωνα με τον Keith Vance στον ιστότοπο eSecurityPlanet.

Το Εθνικό Ινστιτούτο Πρότυπων και Τεχνολογικών Ομοσπονδιών (FIPS) και οι 20 Κρίσιμοι Έλεγχοι Ασφαλείας χρησιμεύουν ως κατευθυντήριες γραμμές για τις μεγάλες επιχειρήσεις που εφαρμόζουν σχέδια για την προστασία των δεδομένων των σπόρων προς σπορά. Αυτό που λείπει είναι οι οδηγίες για τις μικρές επιχειρήσεις.

Το Γραφείο Καλύτερης Επιχειρήσεων προσφέρει ένα πρωτότυπο για την ασφάλεια των δεδομένων για μικρές επιχειρήσεις (pdf) που περιλαμβάνει λίστες ελέγχου απογραφής δεδομένων, κατευθυντήριες γραμμές ελέγχου ασφάλειας και συμβουλές για την ανίχνευση κλοπής ταυτότητας. (Λάβετε υπόψη ότι η έκθεση χρηματοδοτήθηκε από τη Visa και τη Symantec, οπότε ακολουθήστε τις συστάσεις της σχετικά με τα προϊόντα με ένα αλάτι).

Εξασφάλιση ασφαλούς διάθεσης ευαίσθητων δεδομένων

Οι τρεις άξονες ενός σχεδίου ασφάλειας δεδομένων είναι οι έλεγχοι πρόσβασης, η κρυπτογράφηση των αποθηκευμένων δεδομένων και η ασφαλής διάθεση προσωπικών πληροφοριών. Η τεμαχισμός είναι η προτιμώμενη μέθοδος για αρχεία χαρτιού και οπτικά μέσα. Σε μια θέση από τον Μάρτιο του 2009 περιέγραψα πώς να καταστρέψω ένα παλιό σκληρό δίσκο. Ένα από τα εργαλεία που καλύπτει αυτή η ιστορία είναι το Darik's Boot και Nuke (DBAN), ένα δωρεάν πρόγραμμα σκουπίσματος δεδομένων.

Φυσικά, εάν τα διατιθέμενα δεδομένα είναι κρυπτογραφημένα, η πιθανότητα κάποιας ανάκτησης είναι ελαχιστοποιημένη. Ακόμα, η ασφαλέστερη προσέγγιση είναι να σκουπίσετε όλα τα μέσα αποθήκευσης πριν τα απορρίψετε.

Ακόμη και με αυτές τις προφυλάξεις, τα προσωπικά σας στοιχεία θα μπορούσαν ακόμα να πέσουν σε λάθος χέρια. Κάντε μια συνήθεια να ελέγχετε τις μηνιαίες πιστωτικές κάρτες και τις τραπεζικές δηλώσεις σας και σκεφτείτε να εγγραφείτε για μια υπηρεσία παρακολούθησης πιστώσεων που σας ειδοποιεί μέσω ταχυδρομείου ή άλλης μεθόδου κάθε φορά που ανοίγετε νέο λογαριασμό στο όνομά σας.

Ο ιστότοπος Theft Fight Identity αξιολογεί τις τέσσερις καλύτερες υπηρεσίες αναφοράς πιστωτικών καρτών. Ωστόσο, ο καθένας δεν χρειάζεται να ξοδέψει έως και 15 δολάρια το μήνα για να προστατεύσει την ταυτότητά του: η Investopedia εξετάζει τα πλεονεκτήματα και τα μειονεκτήματα των υπηρεσιών ελέγχου πιστώσεων.

Αν υποψιάζεστε ότι είστε θύμα κλοπής ταυτότητας, ο ιστότοπος Fight Back Against Identity Theft της Federal Trade Commission παρέχει μια εκτενής ερώτηση για το θέμα και περιλαμβάνει έναν σύνδεσμο για την υποβολή καταγγελίας στον οργανισμό.