Cyberbezpieczeństwo 
Uwierzytelnianie wieloskładnikowe (MFA) zapewnia dodatkową ochronę kont, ale należy pamiętać, że nie wszystkie metody MFA są sobie równe pod względem łatwości użytkowania oraz bezpieczeństwa. W tym artykule
Publikowany w dniu 14 czerwca, 2023
Dane osobowe to wszelkie dane, które mogą zidentyfikować określoną osobę. Dane takie jak numer ubezpieczenia społecznego umożliwiają korzystanie z kart kredytowych, uzyskanie pożyczki i nie tylko. Niezbędne jest zapewnienie bezpieczeństwa tych danych, aby chronić tożsamość i majątek.
Czytaj dalej, aby dowiedzieć się więcej o tym, jakie rodzaje informacji należą do danych osobowych i jak chronić je przed cyberprzestępcami.
Wrażliwe i niewrażliwe dane osobowe
Dane osobowe dzielą się na wrażliwe i niewrażliwe (inaczej: bezpośrednie i pośrednie). Wrażliwe lub bezpośrednie dane osobowe umożliwiają identyfikację tożsamości bez dodatkowych informacji, ale nie są publicznie dostępne. Do wrażliwych danych osobowych należy numer prawa jazdy lub numer ubezpieczenia społecznego. Wrażliwe dane osobowe należy traktować jako poufne, nie ujawniając ich bez uzasadnionej i potwierdzonej potrzeby. Niewrażliwe lub pośrednie dane osobowe to publicznie dostępne informacje, które są powiązane z tożsamością, ale nie umożliwiają identyfikacji określonej osoby bez dodatkowych informacji. Do tej kategorii należą numery telefonów.
Naruszenie wrażliwych danych osobowych i połączenie ich z imieniem oraz nazwiskiem użytkownika może prowadzić do cyberprzestępstw, takich jak kradzież tożsamości. Niewrażliwe dane osobowe również mogą umożliwić przeprowadzenie ataku, zwłaszcza w połączeniu z wrażliwymi danymi osobowymi.
Na przykład w przypadku wycieku lista nazwisk członków klubu książki nie umożliwia poważnego naruszenia, ale lista nazwisk i adresów osób, które otrzymują leki pocztą, umożliwia ujawnienie szczegółów historii leczenia, a w konsekwencji oszustwa medyczne i inne cyberataki.
Przykłady danych osobowych
Oto przykłady zarówno wrażliwych, jak i niewrażliwych danych osobowych:
| Sensitive / Direct PII | Non-Sensitive / Indirect PII |
|---|---|
| Social Security number | Phone number |
| Driver’s license number | Race/ethnicity |
| Passport number | Height |
| Biometrics – fingerprints and iris scan | IP address |
| Bank account number | Zip code |
| Employer identification number | License plate number |
| Medical records | Gender |
| Credit or debit card number | Religion |
| Date of birth | Email address |
| Mother’s maiden name | Usernames |
| Criminal history | |
| Place of birth | |
| Full legal name | |
| Passwords | |
| Home address | |
Znaczenie ochrony danych osobowych
Ponieważ dane osobowe mogą zostać wykorzystane do takich działań jak otwieranie kont bankowych i składanie wniosku o prawo jazdy, naruszenie danych osobowych może umożliwić cyberprzestępcom poważne oszustwo. Przestępcy mogą wykorzystywać dane osobowe w celu podszywania się pod inne osoby, zgłaszania w ich imieniu fałszywych szkód z tytułu ubezpieczenia oraz otwierania kont i nie tylko.
Według Federalnej Komisji Handlu Amerykanie zgłosili 761660 oszustw związanych z podszywaniem się pod inne osoby w 2022 r., co przyniosło straty w wysokości prawie 3 mld USD.
Dane osobowe mają wymierną wartość finansową w sieci dark web — karta kredytowa może kosztować maksymalnie 22 USD, a dokumentacja medyczna nawet 1000 USD. Stanowi to zachętę dla cyberprzestępców do atakowania użytkowników indywidualnych i sprzedaży danych osobowych innym cyberprzestępcom lub samodzielnego ich wykorzystania.
Jak cyberprzestępcy kradną dane osobowe
Cyberprzestępcy kradną dane osobowe za pomocą różnych metod:
- Wyłudzanie informacji i wyłudzanie informacji przez SMS: to wiadomości e-mail lub wiadomości tekstowe od przestępców podszywających się pod legalnego nadawcę z prośbą o dostęp do danych użytkownika.
- Naruszenia danych: dane osobowe mogą być ujawnione w sieci dark web w wyniku naruszeń.
- Ataki typu man-in-the-middle: ten rodzaj ataku przechwytuje informacje w trakcie przesyłania.
- Złośliwe oprogramowanie: program, który może zaatakować komputer i ukraść poufne informacje.
- Kradzież danych uwierzytelniających: może nastąpić z wykorzystaniem różnych metod, w tym naruszeń danych. Kradzież danych uwierzytelniających może umożliwić cyberprzestępcy dostęp do kont takich jak poczta e-mail, które mogą zawierać dane osobowe.
Konsekwencje kradzieży danych osobowych
Kradzież danych osobowych umożliwia cyberprzestępcom oszustwo związane z przejęciem tożsamości prawowitych właścicieli, a także inne rodzaje przestępstw. Kradzieże danych osobowych są powszechne, prowadząc do strat finansowych, kradzieży tożsamości, stresu i czasochłonnej naprawy szkód.
- Jak wspomniano powyżej, straty finansowe Amerykanów w wyniku oszustw wyniosły niemal 3 mld USD w 2022 r.
- W ciągu ostatnich pięciu lat do FBI wpłynęły skargi dotyczące oszustw w Internecie, których wynikiem były straty w wysokości 27,6 mld USD.
- Powszechne są naruszenia firmowej poczty e-mail (BEC), co skutkowało stratami w wysokości 2,7 mld USD w 2022 r.
- 21% Amerykanów dotyczyło publiczne udostępnienie danych osobowych bez ich zgody (według SafeHome).
- W 2022 r. ponad połowa firm, których dotyczyło naruszenie danych, poniosła koszty w wysokości ponad 50000 USD na usuwanie skutków. W przypadku niektórych firm koszty przekroczyły 1 mln USD (według raportu Keeper dotyczącego cyberbezpieczeństwa z 2022 r.).
Jak chronić dane osobowe i ograniczyć ryzyko
Za ochronę danych osobowych odpowiadają zarówno użytkownicy indywidualni, jak i firmy. Użytkownicy muszą przestrzegać najlepszych praktyk w zakresie higieny cybernetycznej, aby chronić dane. Firmy przechowujące dane osobowe w bazach danych mają obowiązek ich ochrony. Firmy, które tego nie robią, mogą zostać pociągnięte do odpowiedzialności prawnej.
Jak organizacje mogą chronić dane osobowe
Raport Keeper z 2022 r. dotyczący cyberbezpieczeństwa wykazał, że 48% kierownictwa działu IT miało świadomość ataku na cyberbezpieczeństwo, ale zatrzymało tę informację dla siebie. Dzięki odpowiednim praktykom w zakresie bezpieczeństwa i zarządzaniu hasłami firmy mogą skuteczniej zarządzać danymi i zapobiegać naruszeniom.
1. Przeprowadź wdrożenie rozwiązania z zakresu zarządzania uprzywilejowanym dostępem
Zarządzanie uprzywilejowanym dostępem oznacza rozwiązanie używane przez firmę do zarządzania hasłami, danymi uwierzytelniającymi, tajnymi kluczami i połączeniami wysoce wrażliwych kont, systemów i danych oraz do zarządzania nimi. Dobre rozwiązanie z zakresu zarządzania uprzywilejowanym dostępem jest łatwe do wdrożenia i wykorzystuje najlepsze szyfrowanie, aby kompleksowo chronić przed zagrożeniami, takimi jak ataki na łańcuch dostaw i ataki wewnętrzne, ograniczając dostęp użytkowników jedynie do niezbędnego poziomu.
Według raportu o naruszeniach danych przygotowanego przez Verizon, 74% naruszeń obejmuje element ludzki – bez względu na to, czy oznacza to prosty błąd, niewłaściwe użycie lub złośliwe ataki przeprowadzane przez dostawców, pracowników wewnętrznych lub cyberprzestępców. Rozwiązania z zakresu zarządzania uprzywilejowanym dostępem pomagają ograniczyć zarówno złośliwe, jak i przypadkowe zagrożenia poprzez precyzyjne zarządzanie dostępem do poufnych informacji.
2. Przeprowadź szkolenie z zakresu cyberbezpieczeństwa
Wycieki danych spowodowane przez pracowników lub dostawców (nazywane odpowiednio atakami wewnętrznymi i atakami na łańcuch dostaw) nie zawsze są złośliwe – czasami są po prostu wynikiem działań użytkownika o niskiej higienie cybernetycznej. Błąd ludzki, w tym słabe hasła i podatność na ataki phishingowe może skutkować naruszeniem systemów. Raport firmy Verizon pokazuje, że błędy są przyczyną 13% naruszeń.
Według raportu Keeper dotyczącego cyberbezpieczeństwa w Stanach Zjednoczonych z 2022 r. 26% kierowników wskazuje na problem braku przeszkolenia pracowników w zakresie cyberbezpieczeństwa. Należy przeszkolić wszystkich pracowników. Zarządzanie uprzywilejowanym dostępem jest tylko jednym z elementów zarządzania bezpieczeństwem, a siła zabezpieczeń cybernetycznych zależy od najsłabszego ogniwa.
3. Nie zbieraj niepotrzebnych danych i anonimizuj je
Zagrożenie dotyczy wielu firm, które każdego dnia zbierają obszerne dane dotyczące użytkowników. Naruszenia danych mogą skutkować naruszeniem informacji, w tym danych osobowych. W przypadku zbierania danych usuń z nich informacje umożliwiające identyfikację i nie zbieraj informacji, które nie są niezbędne dla prowadzenia działalności.
4. Usuń niewykorzystywane dane
Powszechną praktyką jest zbieranie przez firmy obszernych niepotrzebnych danych na temat użytkowników, dlatego gromadzone informacje mogą obejmować dane z przeszłości, które nie są wykorzystywane. Takie dane powinny zostać zniszczone. Raporty szacują, że ponad 50% danych zebranych przez firmy kwalifikuje się do zniszczenia. Pracownicy mogą nawet nie pamiętać, skąd one pochodzą. Dane zbierane przez firmy powinny być gromadzone w określonym celu, przechowywane w bezpiecznych lokalizacjach, w pełni kontrolowane i powiązane z rejestrami użycia. Po zakończeniu korzystania z danych należy je usunąć, w przeciwnym razie istnieje ryzyko, że staną się danymi, które są przechowywane, ale niewykorzystywane.
5. Przygotuj plan na wypadek naruszenia
Naruszenia danych są powszechne w przypadku firm bez odpowiednich zabezpieczeń. Liczba 1800 naruszeń dotyczących firm w ubiegłym roku wymusza podjęcie odpowiednich działań zapobiegawczych. Oprócz bieżącej ochrony danych należy przygotować plan na wypadek naruszenia. Federalna Komisja Handlu udostępnia wytyczne dotyczące zabezpieczania działalności.
Jak użytkownicy indywidualni mogą chronić dane osobowe?
Użytkownicy indywidualni również powinni chronić własne dane osobowe, ponieważ cyberataki nie dotyczą wyłącznie firm.
Pisaliśmy szczegółowo o tym, jak zapewnić bezpieczeństwo danych w Internecie, ale oto kilka kluczowych punktów:
1. Używaj silnych, unikatowych haseł do każdego konta
Silne hasła mają długość co najmniej 16 znaków i wykorzystują kombinację dużych oraz małych liter, cyfr i symboli. Nie powinny zawierać słów słownikowych ani danych osobowych, takich jak daty urodzin.
Hasła poszczególnych kont powinny być unikatowe. Naruszenie hasła wykorzystywanego na wielu kontach naraża na ryzyko wszystkie te konta. Możesz łatwo generować silne hasła przy użyciu generatora haseł. Unikatowe hasła do poszczególnych kont możesz przechowywać w menedżerze haseł. Menedżery haseł bezpiecznie przechowują wszystkie hasła i umożliwiają dostęp do nich w dowolnym miejscu, ułatwiając używanie unikatowych haseł.
2. Korzystaj z uwierzytelniania wieloskładnikowego (MFA)
MFA wymaga co najmniej jednej dodatkowej formy identyfikacji oprócz hasła. Zapobiega to uzyskaniu przez cyberprzestępców dostępu do kont, ponieważ nawet w przypadku wykorzystania przez nich naruszonych danych uwierzytelniających, wymagany jest dostęp do kolejnych metod uwierzytelniania, których przejęcie może okazać się zbyt trudne.
MFA może mieć postać kodów wysyłanych za pośrednictwem wiadomości tekstowych, jednorazowego hasła czasowego (TOTP) w aplikacji uwierzytelniającej lub sprzętowego klucza bezpieczeństwa.
3. Nie udostępniaj danych osobowych w Internecie
Podczas komunikacji ze znajomymi i rodziną w mediach społecznościowych lub wypełniania zadania z innymi użytkownikami w grze komputerowej należy pamiętać o podatności na ataki tego środowiska i ograniczyć udostępnianie danych osobowych, lub całkowicie z niego zrezygnować. Rozmowa może nawiązać do nazwiska panieńskiego matki lub lokalizacji użytkownika, ale należy powstrzymać się przed udostępnianiem tego typu danych.
4. Zaszyfruj poufne pliki
Ponieważ cały czas wysyłamy zdjęcia oraz inne materiały pośrednictwem poczty e-mail i wiadomości tekstowej, łatwo jest zapomnieć, że te metody komunikacji nie są zaszyfrowane. Kluczowe znaczenie ma wykorzystanie szyfrowania w celu ochrony poufnych informacji wysyłanych przez Internet, takich jak informacje podatkowe lub dane ubezpieczenia.
Wykorzystaj usługę taką jak Keeper Password Manager z funkcją jednorazowego udostępniania, aby udostępniać innym użytkownikom poufne pliki. Korzystanie z funkcji jednorazowego udostępniania jest bezpieczniejszym sposobem na szyfrowanie i udostępnianie plików.
5. Nie korzystaj z publicznej sieci Wi-Fi
Należy unikać korzystania z publicznej sieci Wi-Fi, ponieważ mogą z niej korzystać również cyberprzestępcy. W przypadku konieczności skorzystania z publicznej sieci Wi-Fi użyj VPN.
Należy chronić dane osobowe
Ochrona danych osobowych jest obowiązkiem zarówno użytkowników indywidualnych, jak i firm, mającym kluczowe znaczenie dla cyberbezpieczeństwa. Brak odpowiednich rozwiązań do zarządzania danymi osobowymi i słaba higiena cybernetyczna może prowadzić do kradzieży danych wrażliwych, co wiąże się z poważnymi konsekwencjami finansowymi.
Keeper Security oferuje menedżer haseł dla firm i rozwiązanie z zakresu zarządzania uprzywilejowanym dostępem nowej generacji opracowane na potrzeby ochrony firm bez względu na wielkość. Oferujemy również osobisty menedżer haseł dla użytkowników indywidualnych i rodzin ułatwiający zarządzanie hasłami i poufnymi plikami. Sprawdź bezpłatne wersje próbne, aby dowiedzieć się, jak można ułatwić pracę firmom, użytkownikom indywidualnym oraz ich rodzinom.
