Лучшие практики защиты персональных данных

Традиционные правила защиты данных направлены на обеспечение возможности восстановления данных после потери данных. Однако ситуация с конфиденциальностью и защитой персональных данных иная.

Защита персональных данных — это процесс защиты важных и конфиденциальных данных от компрометации, повреждения или потери.

Традиционные правила защиты данных направлены на обеспечение возможности восстановления данных после потери данных. Однако ситуация с конфиденциальностью и защитой персональных данных иная.

Почему это? Что ж, если идентифицируемое физическое лицо сталкивается с утечкой личных данных, тот, кто получает доступ к скомпрометированным данным, может использовать их для вымогательства или выдачи себя за него.

Здесь восстановление данных мало что даст; вместо этого пользователь должен уведомить государственные органы и обеспечить прекращение действия всех скомпрометированных платежных средств.

Целью защиты и конфиденциальности данных является выделение конфиденциальных данных в коллекции данных пользователя и применение высочайшего уровня безопасности данных, чтобы ни один неавторизованный субъект или стороннее программное обеспечение не могли получить доступ к информации.

Все данные о пользователях и местоположении на различных устройствах — ПК, ноутбуках, смартфонах, планшетах и ​​т. д. — могут использоваться для идентификации лиц субъектами угроз. Например, IP-адреса являются онлайн-идентификаторами, поскольку они содержат данные о виртуальном (а при тщательной проверке — физическом) местоположении ваших устройств. Пользователи должны реализовать соответствующие меры безопасности для защиты онлайн-идентификаторов и контекстной информации.

Лично идентифицируемая информация (PII) или просто «личная информация» может представлять собой любую информацию, идентифицирующую конкретного человека напрямую или путем объединения ее с другими идентификаторами. Защита личных данных является основной задачей стратегий конфиденциальности данных.

Ваше имя, день рождения и адрес являются основными примерами информации, позволяющей идентифицировать личность. Вы используете их для создания учетных записей в Интернете, заполнения форм или совершения покупок в Интернете. Национальный идентификационный номер (паспорт) или номер водительского удостоверения используются реже, но являются простыми способами идентификации людей. Затем идет этническое или расовое происхождение, религия, медицинская, финансовая или криминальная история. Вместе с вашим IP-адресом (если его можно отследить) этого достаточно для формирования профиля социальной идентичности.

Биометрические данные — ДНК, записи голоса и отпечатки пальцев — также могут быть использованы для идентификации их владельца третьими лицами.

На кадрах видеонаблюдения часто присутствуют изображения разных людей. Если видеозапись может быть использована для установления личности человека, то она также считается «личной информацией».

GDPR Великобритании также определяет класс «онлайн-идентификаторов». Например, идентификаторы файлов cookie при определенных обстоятельствах могут содержать персональные данные. Когда вы входите на определенный сайт, файл cookie аутентификации пользователя включает обработку персональных данных для обеспечения возможности входа в вашу учетную запись.

Особенности конфиденциальности данных

Конфиденциальность данных включает в себя персональные данные, собранные в различных формах. Информацию не нужно записывать; он также может указывать на то, как выглядят или звучат субъекты данных — фотографии, аудио- и видеозаписи. В таких случаях общие правила защиты данных и закон о конфиденциальности применяются только в том случае, если информация обрабатывается «автоматизированными средствами» (в электронном виде) или вручную в рамках другой файловой системы.

Персональные данные могут указывать на непосредственно идентифицируемое физическое лицо, например: «Любимая еда Майка — лазанья», или использоваться для косвенной идентификации субъекта данных: «Брат Майка обожает пиццу этой конкретной марки ». (В последнем примере вы не знаете напрямую личность брата Майка, но можете косвенно идентифицировать его через контекст и дополнительную информацию).

Даже если физические лица используют псевдонимы или сохраняют анонимность в отношении своих персональных данных, обработка информации может быть отменена, если физические лица или субъекты данных могут быть идентифицированы с помощью дополнительной информации. В таких случаях указанные данные по-прежнему могут считаться «личными». Но если данные необратимо анонимизированы и не могут быть использованы для прозрачной идентификации физического лица, они не считаются «персональными данными».

Почему конфиденциальность и защита данных важны?

Сегодня большинство из нас погружены в онлайн-деятельность. Мы используем Интернет для работы, просматриваем социальные сети, покупаем товары в интернет-магазинах, обсуждаем повседневные проблемы на форумах и многое другое.

Стало привычкой указывать свое имя и возраст при создании онлайн-аккаунта или вводе данных своей кредитной карты при покупке еды на вынос. Хотя многие службы полагаются на шифрование и дополнительную безопасность, информация, которой мы делимся в Интернете, намеренно или непреднамеренно, может попасть в руки неавторизованных третьих лиц. Если это произойдет, нарушения безопасности могут поставить под угрозу ваши онлайн-аккаунты и реальные действия. Более того, киберпреступники могут продать собранные данные тому, кто предложит самую высокую цену.

Чтобы избежать кражи личных данных или финансовых средств, пользователи должны осознавать риски, связанные с раскрытием личных данных, и делиться такой информацией только с доверенными получателями, следуя лучшим практикам конфиденциальности данных.

Закон о конфиденциальности данных определяет, какие сценарии можно считать «обработкой личной информации».

Обработка данных по существу относится к использованию защиты персональных данных в любой форме — сбору, хранению, просмотру, извлечению, раскрытию или передаче данных другому субъекту, а также их уничтожению или удалению. Однако закон о защите данных не применяется, когда обработка данных осуществляется исключительно для личной или бытовой деятельности.

Законы о защите данных и конфиденциальности (такие как GDPR) направлены на обеспечение защиты и конфиденциальности личных данных, переносимости данных и безопасности личных данных в конкретной системе коммуникационных технологий, включающей организации и предприятия с одной стороны и отдельных лиц и пользователей — с другой. Руководящие принципы конфиденциальности данных также гарантируют, что одни и те же правила применяются ко всем заинтересованным сторонам.

GDPR — это законодательство Европейского Союза (ЕС) о конфиденциальности данных, в котором описывается, как компании и организации должны разумно и безопасно обрабатывать персональные данные. GDPR регулируется Европейским советом по защите данных (EDPB) — независимым органом ЕС, который обеспечивает соблюдение единых правил конфиденциальности и защиты данных на всей территории ЕС. В состав EDPB входят представители органов по защите данных ЕС и стран Европейского агентства по окружающей среде (ЕЭЗ), а также Европейский инспектор по защите данных (EDPS). Европейская комиссия участвует в заседаниях правления и деятельности без права голоса.

GDPR направлен на защиту частных лиц во всех государствах-членах Европейского Союза от рисков конфиденциальности данных посредством строгой политики конфиденциальности, касающейся как предприятий, так и граждан.

• Обработка личной информации должна иметь определенную цель.
• Хранение персональных данных в системе только до тех пор, пока это необходимо.
• Обработка данных должна осуществляться в безопасной и надежной системе.
• Использование персональных данных должно быть законным.
• Использование персональных данных должно осуществляться с уважением прав человека.
• Об утечках персональных данных необходимо сообщать властям и каждому пострадавшему лицу в течение 72 часов.
• Предприятия несут ответственность за соблюдение GDPR своим поставщиком.
• Размеры санкций значительны.

HIPAA был принят при президенте Билле Клинтоне в 1996 году и определил, как поставщики медицинских услуг могут обрабатывать и использовать личные данные о здоровье своих пациентов. Однако правила регулирования HIPAA применяются только к так называемым «застрахованным организациям» — поставщикам услуг (врачам, медсестрам, стоматологам, психологам), данным планов медицинского страхования (медицинским страховым компаниям, государственным планам) и информационным центрам здравоохранения, обрабатывающим медицинскую информацию.

В руководящих принципах HIPAA указано, что охватываемые организации:

• Должно соблюдаться право человека на доступ к своей медицинской информации.
• Невозможно использовать или передавать медицинскую информацию без явного личного содержания.

HIPAA распространяется на все данные о состоянии здоровья субъекта, передаваемые застрахованной организации. Однако если идентифицируемое физическое лицо передает данные о состоянии здоровья стороннему программному обеспечению — приложению коммуникационных технологий (приложению для питания), платформе обмена информацией (социальным сетям) или другой системе коммуникационных технологий, не управляемой застрахованной организацией — тогда правила HIPAA не будет применяться.

Ниже мы рассмотрим семь принципов, регулирующих обработку персональных данных в соответствии со  статьей 5 GDPR .

Законность, справедливость и прозрачность

Первый принцип представляет собой «систему принципов», включающую три основные задачи сбора данных: законность, справедливость и прозрачность.

• Законность

Обработка данных является законной, если она основана на одном из оснований, перечисленных в статье 6 GDPR. Согласие пользователя является наиболее важным основанием правовой основы при получении и обработке личной информации. Другие основания включают «законный интерес» (законные цели). 

• Справедливость

Справедливость относится к обработке персональных данных, осуществляемой в интересах пользователя. В нем также указывается, что идентифицируемое лицо должно разумно ожидать обработки.

• Прозрачность

Прозрачность связана с четким информированием лиц, чьи данные они обрабатывают, о том, что, почему и как организации обрабатывают данные. Это должно быть сделано таким образом, чтобы пользователи, чьи данные обрабатываются, могли четко понимать методы и объем обработки.

Ограничение цели

Ограничение цели гласит, что организации и предприятия должны обрабатывать персональные данные только для первоначально намеченной (и намеченной) цели. По сути, этот принцип гласит, что организации не должны повторно использовать собранные персональные данные для целей, отличных от тех, которые указаны в их Политике конфиденциальности и защиты данных.

Минимизация данных

Минимизация данных подразумевает, что организациям не следует хранить данные «лежащими» в своей системе, если они им не нужны по назначению. Принцип гласит, что организации должны собирать только тот объем персональных данных, который необходим для предоставления конкретной услуги (но не больше).

Точность

Точность направлена ​​на получение максимально точных данных о человеке. Организации должны принять «разумные меры» для обеспечения того, чтобы обрабатываемые персональные данные не были фактически неверными и были актуальными.

Этот принцип актуален только в том случае, если точность персональных данных важна для субъекта, к которому относятся данные.

Ограничение хранения

Ограничение хранения аналогично принципу минимизации данных. В нем указано, что персональные данные должны быть удалены, если они больше не нужны организации по назначению.

Организации и предприятия также должны внедрить комплексный процесс «безопасного уничтожения данных» — гарантируя, что удаленные данные больше не будут храниться в их системе хранения (устройствах, облаке), где это может создать потенциальный риск безопасности.

Честность и конфиденциальность

Целостность гарантирует, что собранные данные верны и не могут быть изменены другими лицами (например, каждый пользователь, предприятие или организация должны защитить свою систему от кибератак).

Конфиденциальность гарантирует, что их обрабатывают только люди, имеющие авторизованный доступ к персональным данным.

Подотчетность

Подотчетность предусматривает, что обработчики данных (или «контролеры данных») несут ответственность за свои действия по обработке. Этот принцип гарантирует, что все ответственные стороны, ответственные за обработку, несут ответственность за правильную обработку конфиденциальных персональных данных и соответствуют рекомендациям GDPR.

При обсуждении подотчетности этот принцип требует не только того, чтобы организации выполняли различные требования GDPR; он также обязывает обработчиков данных документировать свои действия и иметь возможность представлять их для целей аудита.

Каким бы сложным ни было законодательство о конфиденциальности и защите данных, оно не сможет защитить ваши личные данные, если вы случайно (или намеренно) передадите их неавторизованным лицам или если киберзлоумышленнику удастся взломать вашу систему безопасности. Вот почему мы собрали наши любимые методы обеспечения конфиденциальности и защиты данных.

Давайте вместе пройдемся по ним, чтобы понять, как защитить нашу личную информацию от посторонних глаз и вредоносного программного обеспечения.

Фишинг — наиболее распространенная форма вредоносной атаки в Интернете. Фишинг обычно осуществляется посредством кампаний социальной инженерии и электронных писем. Если вы загрузите зараженный файл или нажмете на вредоносную ссылку, включенную в электронное письмо, злоумышленники могут получить доступ к вашему устройству, украсть ваши данные или установить вредоносное ПО для хранения ваших данных с целью получения выкупа.

Вы должны разумно подходить к защите данных и конфиденциальности, чтобы противостоять попыткам фишинга.

Многие люди имеют опыт выявления спама или мошеннических писем. Реакция по умолчанию после идентификации — игнорировать письмо и двигаться дальше; однако будет лучше, если вы сообщите о мошенничестве по электронной почте.

Независимо от того, сообщаете ли вы о мошенничестве в ИТ-отдел вашей компании, интернет-провайдеру или руководящему органу по кибербезопасности, сообщение об этом по электронной почте поможет другим избежать мошенничества с их конфиденциальной информацией.

Современные решения электронной почты (например, Gmail, Outlook, Yahoo) предлагают пользователям встроенные возможности для сообщения о выявленных случаях мошенничества с электронной почтой. Более того, в большинстве стран уже созданы антифишинговые комиссии по борьбе с онлайн-мошенничеством.

В США вы можете обратиться в Агентство кибербезопасности и инфраструктуры; в Канаде есть Канадский центр по борьбе с мошенничеством; а в Великобритании вы можете обратиться в Национальный центр сообщений о мошенничестве и киберпреступлениях.

Если вы не знаете, как и кому сообщить, вы можете попросить ИТ-специалиста или местных правоохранительных органов помочь вам.

Сайты электронной коммерции являются важной частью повседневной жизни многих людей. Но какими бы удобными они ни были, интернет-магазины являются основной мишенью для киберпреступников. Большинство платформ используют сторонних поставщиков транзакций, поэтому защита ваших онлайн-покупок от попыток финансового мошенничества имеет решающее значение.

Вот несколько рекомендаций, которые сделают ваши покупки в Интернете более безопасными.

Проверка легитимности нового интернет-магазина имеет решающее значение. Вы можете проверить URL-адрес и узнать, начинается ли он с «HTTPS». «HTTPS» означает, что сайт предлагает зашифрованную связь между вашим браузером и платформой. Символ закрытого замка рядом с текстом показывает, что платформа обеспечивает безопасные транзакции.

Кроме того, вы можете нажать на значок замка сайта и выбрать «Показать сертификат». Таким образом, вы можете просмотреть сертификат безопасности и проверить дату его выдачи и срока действия. Наконец, вы можете поискать знаки одобрения сторонних решений безопасности.

Обычно магазины электронной коммерции просят вас создать учетную запись и указать платежную информацию перед оформлением заказа. Если вы это сделаете, выберите надежный пароль, настройте двухфакторную аутентификацию и не устанавливайте флажок «Сохранить мои данные для будущих платежей».

Использование общедоступного Wi-Fi для онлайн-покупок является фундаментальным запретом. Это может быть удобно для импульсивных покупок, но подвергает ваши данные значительному риску. Поскольку общедоступный Wi-Fi редко имеет надежную защиту, хакеры могут проникнуть в сеть и быстро узнать ваше имя, адрес или данные кредитной карты.

Если вы находитесь в крайнем случае и вам необходимо использовать общедоступный Wi-Fi для просмотра, установите и используйте VPN для защиты данных при передаче, чтобы злоумышленники не могли их отследить, перехватить или украсть.

В настоящее время никакая защита не может по-настоящему защитить вашу конфиденциальную информацию, если вы поделитесь ею в социальных сетях.

Поскольку большинство платформ обмена информацией предлагают публичный доступ, пользователи могут просматривать ваш контент без учетной записи. Да, вы можете установить для своих публикаций и фотографий режим «Доступ только для друзей», но кто сказал, что вы знаете всех своих друзей на Facebook? Или сколько из ваших подписчиков в Instagram являются реальными учетными записями пользователей? Не стоит забывать и о Твиттере, который представляет собой убежище для поиска данных, использующее хэштеги и общие твиты.

Теги местоположения, банковские выписки, начальная школа ваших детей, ваша электронная почта, номер телефона и даже обоснованные рекомендации Netflix могут в некотором смысле поставить под угрозу безопасность вашей личной информации.

Общее правило здесь следующее: если вы хотите поделиться с близкими чем-то помимо фотографии из отпуска, сделайте это лично или по телефону. Если вы решите поделиться им в социальных сетях, имейте в виду, что любой на платформе может использовать тот или иной эксплойт для доступа к нему.

Любая стратегия защиты данных требует надежного антивируса. Даже если вы внимательно относитесь к своим привычкам просмотра,  решение кибербезопасности  добавляет дополнительные уровни защиты, чтобы предотвратить слежку третьих лиц.

Acronis Cyber ​​Protect блокирует все атаки вредоносного программного обеспечения в режиме реального времени без присмотра человека. Вы также можете просканировать свое устройство на наличие существующих инфекций, избавить от них свою систему и снизить риск будущих утечек данных и нежелательных кибератак.

Acronis Cyber ​​Protect обеспечивает уникальную интеграцию надежного резервного копирования и передовых технологий защиты от вредоносного ПО, которые защищают данные от всех современных угроз — сбоя диска, случайного удаления, потери и кражи, а также нарушений безопасности, таких как атаки киберпреступников.  PCMag  описал это как «всеобъемлющее решение для предотвращения трагедий» в своем обзоре «Выбор редакции».

С помощью Acronis Cyber ​​Protect частные лица и малые предприятия могут создавать резервные копии своих данных, включая операционные системы, приложения, настройки, файлы и учетные записи Microsoft 365, на локальных дисках, внешних жестких дисках, NAS и в облаке Acronis. Кроме того, Acronis Cyber ​​Protect препятствует кибератакам, в том числе атакам, возникающим из-за уязвимостей нулевого дня, от нанесения вреда резервным копиям и данным устройств с помощью защиты в реальном времени, оценки уязвимостей, антивирусного сканирования по требованию, веб-фильтрации, защиты от программ-вымогателей и блокировщик криптомайнинга. В случае аварии данные можно быстро восстановить.