Уязвимость к утечке личной информации

Опубликовано: 19 Сентября, 2022

Уязвимость утечки информации, позволяющей установить личность, — это уязвимость, при которой информация предоставляет конкретные сведения о конкретных лицах, которые, в свою очередь, помогают отличить этих конкретных лиц от остальных лиц. Кроме того, эта уязвимость становится критической, когда информация используется для отслеживания, идентификации или связи с конкретным человеком. Например, информация, используемая для точного определения личности: адрес, имя, номер телефона, идентификационный номер, такой как номер адхара или данные банковской карты, пол, дата рождения, адрес электронной почты или комбинация этих вещей. Неконфиденциальная информация о человеке, такая как имя, пол и т. д., может передаваться в небезопасной форме, не причиняя никакого вреда человеку, но конфиденциальная информация, такая как данные карты aadhar, номер панорамной карты и т. д., должна передаваться безопасным способом, таким как шифрование. данные, чтобы предотвратить любое нежелательное раскрытие данных или причинить вред человеку. Организации используют PIIL (утечка информации, позволяющей установить личность), чтобы понять, какая информация необходима для обеспечения безопасности, а какая информация не нуждается в дополнительной защите.

Какая информация может рассматриваться как информация, позволяющая установить личность (PII):

Ниже приведены категории информации, позволяющей установить личность:

  • Личность: включает имя, дату рождения, подпись, пол, расу, псевдоним и т. д.
  • Контактная информация: это включает в себя почтовый адрес, рабочий адрес, номер телефона, идентификатор электронной почты и т. д.
  • Личный идентификационный номер : включает номер адхара, номер банковского счета, номер карты Pan, номер водительского удостоверения, номер паспорта, номер кредитной карты физического лица.
  • Профессиональная информация: это включает в себя должность, на которую имеет право человек, дату его прихода на работу, название его компании, его зарплату, его персонал и т. д.
  • Здравоохранение: Сюда входят отпечатки пальцев, сканер радужной оболочки глаза, фотография, его личные медицинские записи и т. д.
  • Связанные с ИТ: это в основном состоит из IP-адреса человека, его истории просмотров, его рекламных предпочтений, файлов cookie и т. д.

Кто несет ответственность за защиту информации, позволяющей установить личность (PII):

Чтобы защитить личную информацию пользователей, ответственность за это несет как физическое лицо, так и организация, которая хранит данные этого лица. но, как правило, организация обеспечивает защиту ваших данных, даже если организация не предназначена для этого. так. Простая причина заключается в том, что большинство потребителей считают, что организация несет ответственность за защиту их данных, и если организация этого не сделает, то она может столкнуться с репутационным ущербом, что приведет к потере ценных клиентов, даже если организация или компания на самом деле не несет ответственности за их данные. это. Поэтому каждая организация всегда заботится о защите данных своих клиентов. Рост утечек данных повышает стандарты безопасности организации с каждым днем. По мере внедрения новых технологий появляются новые виды угроз и атак. Ниже приведены основные виды утечек данных:

  • Нанесение вреда или нацеливание на человека: раскрывая информацию о людях, хакер намеревается шантажировать жертву или даже может вызвать кражу данных, запугивание, унижение и т. д.
  • Нанесение вреда или нацеливание на конкретную организацию: путем утечки информации из базы данных организации хакер намеревается подорвать доверие клиентов, закрыть компанию из-за потери огромных данных, нанести ущерб репутации и т. д.

Как раскрывается PII:

Информация, позволяющая установить личность, может поступать различными способами, что затрудняет протоколам безопасности данных предотвращение такой утечки и защиту чувствительной или конфиденциальной информации. Ниже приведены категории угроз:

  • Инсайдерская угроза : сюда входит лицо, которое находится внутри организации, намеренно или непреднамеренно просматривает конфиденциальные данные, которые в противном случае не должны быть доступны для обычных пользователей. Это косвенно создает риск для репутации организации и демонстрирует ее неспособность должным образом защитить информацию о потребителях. Например, данные о сотрудниках отправляются кому-либо в текстовом формате и не шифруются для обеспечения безопасности их передачи.
  • Внешняя угроза: это касается лица, находящегося за пределами организации (а именно злоумышленника), который пытается подделать данные системы, чтобы извлечь конфиденциальные данные из системы. строгая реализация безопасности предотвращает такие несчастные случаи. пример - социальная инженерия пароля учетных записей социальных сетей.
  • Неправильные настройки безопасности: обычно это происходит с приложением, которое либо намеревается хранить конфиденциальные данные, либо захватывает их. Неправильные настройки безопасности могут привести к раскрытию огромного объема данных, а также могут предоставить шлюз для внутренних и внешних агентов угроз для получения конфиденциальных данных. Пример: компания не использует двухфакторную аутентификацию или otp для повышения уровня безопасности.

Пример личной информации:

На приведенном ниже рисунке показан живой пример утечки информации, позволяющей установить личность.

как мы видим, это сайт электронной коммерции, который чем-то похож на facebook. в этом случае, когда кто-то нажимает на информацию о продавце, на экране отображается всплывающее окно, в котором отображается город, номер панорамной карты, идентификатор электронной почты продавца, который явно передает конфиденциальную информацию об этом продавце. теперь продавец может легко стать мишенью, злоупотребив этой информацией, доступной всем пользователям этого веб-сайта. Теперь мы поняли уязвимость этой утечки.

Как защитить личную информацию (PII):

Как мы обсуждали ранее о конфиденциальных и неконфиденциальных данных, естественно защищать от утечки только конфиденциальные данные. Организации должны применять надлежащие меры безопасности для защиты конфиденциальности PII на основе категорий PII на уровне ее воздействия на конфиденциальность. следующие меры, которые необходимо принять:

  • Обучение: Все сотрудники организации должны быть обучены таким образом, чтобы предотвратить любую внутреннюю угрозу. Надлежащее обучение сотрудников существенно снижает возможность утечки PII.
  • Сокращение количества PII: это означает, что организация или пользователь должны предоставлять только необходимые данные и избегать ненужных необязательных сведений. в двух словах - минимум данных, необходимых для работы. Это снижает вероятность точного определения или нацеливания на человека с менее известными данными.
  • Удалите ненужный сбор PII: создание плана или механизма внутри компании для удаления любого ненужного сбора информации от ее потребителей и использования PII для надлежащего функционирования приложения.
  • Предотвращение потери данных: внедрение таких систем, которые могут отслеживать передачу конфиденциальных данных внутри или за пределами организации и выявлять подозрительные схемы, которые могут привести к взлому.
  • Ограничение доступа: Внедрение программного обеспечения, которое не позволяет определенному лицу в организации получить доступ к конфиденциальной информации, тем самым предотвращая любую возможность внутренних атак или угроз. это должно быть сделано на основе авторизации.
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023
Уровень защищенных сокетов
15 Апреля, 2023