零售行业面临的一些常见网络威胁包括勒索软件攻击、社会
个人身份信息 (PII) 是指任何可用于确人特定个人身份的数据。 社会保障号码等数据让您能够开立信用卡帐户、获得贷款等。 保证这些数据的安全对于保护您的身份和资产也至关重要。
继续阅读,详细了解哪些类型的信息可以归为个人身份信息,以及如何保护这些信息免受网络犯罪分子攻击。
敏感与非敏感个人身份信息
个人身份信息存在不同的类型,称为敏感或非敏感个人身份信息(有时也分别称为直接和间接个人身份信息)。 敏感或直接个人身份信息无需额外的信息即可透露您的身份,但无法通过公开渠道获取。 敏感个人身份信息包括驾驶执照号码或社会保障号码。 对于任何对敏感个人身份信息不存在经确认的合法需求的人,都应该尽可能将此类信息保密。 非敏感或间接个人身份信息可通过公开渠道获取,仍然与您的身份相关,但仅凭这些信息无法确认您的身份。 电话号码属于此类信息。
如果敏感个人身份信息被盗并与您的姓名相结合,可能会使您容易成为身份盗用等网络犯罪的受害者。 非敏感个人身份信息也可能会导致您容易受到攻击,特别是在与敏感个人身份信息相结合时。
例如,书友会成员名单不会泄露个人信息,但如果邮件中包含接受药物治疗者的姓名和地址列表,就会透露有关他们病史的详细信息,一旦这些信息泄露,就会使得他们容易成为医疗诈骗和其他网络攻击的目标。
个人身份信息示例
以下是敏感和非敏感个人身份信息的一些示例:
Sensitive / Direct PII | Non-Sensitive / Indirect PII |
---|---|
Social Security number | Phone number |
Driver’s license number | Race/ethnicity |
Passport number | Height |
Biometrics – fingerprints and iris scan | IP address |
Bank account number | Zip code |
Employer identification number | License plate number |
Medical records | Gender |
Credit or debit card number | Religion |
Date of birth | Email address |
Mother’s maiden name | Usernames |
Criminal history | |
Place of birth | |
Full legal name | |
Passwords | |
Home address | |
保护个人身份信息安全的重要性
由于个人身份信息用于在开立银行帐户和申请驾驶执照等活动中确认您的身份,因此个人身份信息被盗可能会导致网络犯罪分子针对您实施严重欺诈。 他们可能会利用个人身份信息假装成您,以便提出虚假保险理赔申请,以您的名义开设帐户等。
遗憾的是,根据 FTC 的数据,2022 年美国人报告了 761,660 起身份冒充诈骗,这些欺诈近 30 亿美元的损失。
您的个人身份信息 在暗网上是一种值钱的“商品”,您的信用卡可能价值高达 22 美元,您的医疗记录价值高达 1,000 美元。 在利益驱使下,网络犯罪分子会将普通人作为攻击目标,并将他们的个人身份信息贩卖给其他网络犯罪分子或留作自用。
网络犯罪分子如何窃取个人身份信息
网络犯罪分子会通过多种方法窃取个人身份信息:
- 网络钓鱼和短信钓鱼: 这些方法是指犯罪分子冒充成官方实体发送电子邮件或短信,请求访问您的信息。
- 数据泄露:个人信息可能会通过泄露事件暴露在暗网上。
- 中间人攻击:此类攻击会拦截传输中的信息。
- 恶意软件:恶意软件可以攻击您的电脑并窃取机密信息。
- 窃取凭证:可以通过多种方法(包括数据泄露)进行。 如果网络犯罪分子窃取了您的凭证,就有可能访问您的电子邮件等帐户,而这些帐户中的内容可能会包含个人身份信息。

个人身份信息被盗的后果
窃取个人身份信息的网络犯罪分子能够针对这些信息的合法所有者进行身份欺诈,以及实施其他类型的犯罪。 个人身份信息被盗是十分常见的问题,会造成经济损失和身份盗用等后果,而受害者也会承受巨大压力,并且需要很长时间才能让生活恢复正常。
- 如上所述,2022 年美国人因身份冒充欺诈而蒙受近 30 亿美元的损失。
- 在过去 5 年中,美国联邦调查局收到的关于互联网诈骗的投诉造成了 276 亿美元的损失。
- 企业受到商业电子邮件入侵 (BEC) 的严重影响,导致 2022 年损失 27 亿美元。
- 21% 的美国人曾经历过人肉搜索(根据 SafeHome 的数据)。
- 2022 年,超过一半经历了数据泄露的公司事后花费超过 50,000 美元。 一些公司花费了超过 100 万美元(根据 Keeper 的 2022 年网络安全报告)。
如何保护个人身份信息并降低风险
个人和企业都有责任保护个人身份信息。 个人需要遵循网络卫生最佳实践,以保护自己的信息。 在数据库中保存个人身份信息的企业也有义务保护这些信息。 事实上,企业如果不这样做,可能会承担相应的法律责任。
组织如何保护个人身份信息
Keeper 的 2022 年网络安全报告发现,48% 的 IT 负责人曾经意识到网络安全攻击的存在,但没有告诉其他人。 通过恰当的安全实践和密码管理,企业可以更有效地管理数据并防止数据泄露。
1. 实施权限访问管理 (PAM) 解决方案
权限访问管理 (PAM) 这一术语描述了企业用于管理和保护高度敏感的帐户、系统和数据的密码、凭证、密钥和连接的解决方案。 出色的权限访问管理解决方案可以快速部署,并采用最强加密方法,通过仅授予每个用户必要的权限,全面防范供应链攻击和内部攻击等威胁。
根据 Verizon 的数据泄露报告,74% 的泄露涉及人为因素——无论是简单错误、使用不当,还是供应商、内部人员或网络犯罪分子的恶意攻击。 权限访问管理解决方案可以通过对敏感信息的访问进行精准管理,帮助限制恶意威胁和意外威胁。
2. 进行网络安全培训
由员工或供应商造成的数据泄露(分别称为内部攻击和供应链攻击)并非总是恶意,有时仅仅是用户网络卫生不良的结果。 人为错误(包括使用弱密码和受骗于网络钓鱼攻击)可能会导致系统被侵入。 Verizon 的报告显示,13% 的泄露事件是人为错误造成的。
在 Keeper 的 2022 年美国网络安全普查报告中,Keeper 发现 26% 的领导者表示担心缺乏网络安全方面的员工培训。 现在是时候对所有员工进行培训了。 权限访问管理仅仅是安全管理中的一个环节,而您的网络防御强度取决于最薄弱的环节。
3. 对数据进行匿名化处理,不要收集不必要的数据
许多公司每天收集大量用户数据,这种做法存在危险。 数据泄露可能会导致信息被盗,其中包括用户的个人身份信息。 如果您确实会收集数据,请务必去除任何可以确认身份的详细信息,并避免收集并非对您的业务经营至关重要的数据。
4. 删除“暗数据”
由于企业收集大量非必要用户数据的情况非常普遍,企业可能也会拥有过去遗留下来的无用数据。 这些数据称为“暗数据”,应该被销毁。报告估计,企业拥有的数据有超过 50% 属于暗数据。 员工甚至可能不记得这些数据来自哪里。 企业处理的任何数据都应该有其明确目的,存储在安全位置,有人全权负责,并附有使用记录。 处理完数据后,请清除不会再使用的数据,否则这些数据就有成为暗数据的危险。
5. 制定数据泄露应对方案
对于没有采取恰当保护措施的公司来说,数据泄露是非常普遍的问题。 去年发生了 1,800 多起数据泄露事件,企业应该意识到自己可能就是下一个受害者。 虽然预先采取数据保护措施非常重要,但是您还应该制定数据泄露事件发生后的应对方案。 关于如何保护企业运营安全,FTC 提供了指导。
个人如何保护个人身份信息
个人也应该保护好自己的个人身份信息,因为网络攻击的对象可以是任何人,而不仅仅是企业。
我们已经详细介绍过如何保证在线数据安全,下面列出了一些要点:
1. 为每个帐户使用唯一的强密码
强密码需要至少由 16 个字符组成,并且包含大小写字母、数字和符号的组合。 强密码不应该包含字典单词或生日等个人信息。
每个帐户的密码都应该是唯一的。 如果被盗密码用于多个帐户,则所有这些帐户都将面临风险。 您可以使用密码生成器来轻松生成强密码。 由于每个密码都应该对相应的特定帐户具有唯一性,因此您可以将所有密码存储在密码管理器中。密码管理器可以安全地存储您的所有密码,并让您能够随时随地访问它们,从而轻松为每个帐户使用唯一的密码。
2. 使用多因素身份验证 (MFA)
除了密码之外,多因素身份验证 还至少需要一种额外的身份验证形式。 这可以防止网络犯罪分子访问帐户,因为即使盗取了凭证,他们还需要获取您的多因素验证方法——后者可能更难获取。
多因素身份验证可以是通过短信发送的代码、身份验证器应用中基于时间的一次性密码 (TOTP),也可以是硬件安全密钥。
3. 不要在网上共享个人信息
在社交媒体上与朋友和家人互动时,或是在实时视频游戏中与其他用户一起完成任务时,您可能会很容易忘记自己也许会在易受攻击的空间中共享信息,而且您应该限制或保留某些个人信息。 您可能会自然而然地提到您母亲的婚前姓氏,或是有关您所在位置的详细信息等,但您应该避免共享这些信息。
4. 对机密文件进行加密
由于我们一直通过电子邮件和短信发送图像等内容,因此我们很容易忘记这些通信方式没有加密。 至关重要的一点是确保采用加密方法来保护您通过互联网发送的机密信息,例如税务信息或保险卡。
请使用像 Keeper 密码管理器这样的服务,通过一次性共享来与用户共享机密文件。 使用一次共享功能是更安全的文件加密和共享方式。
5. 不要使用公共 WiFi
应该避免使用公共 WiFi,因为网络犯罪分子拥有与您相同的访问权限。 如果必须使用公共 WiFi,那么请使用 VPN。
个人身份信息值得保护
无论是个人还是企业,保护个人身份信息都是对网络安全至关重要的严肃责任。 如果缺乏足够的解决方案来管理个人身份信息,并且网络卫生状况不良,您可能就会容易由于敏感信息被盗而承受代价高昂的后果。
Keeper Security 提供了一个企业密码管理器和一种新一代权限访问管理解决方案,能够为各种规模的企业保驾护航。 我们还为个人和家庭 提供了个人密码管理器,用于简化密码和机密文件的管理。 欢迎查看我们的免费试用,了解我们如何为个人、家庭和组织带来便利。