Информације које омогућавају идентификацију појединца (ПИИ) у домену информационе безбедности представљају податке који, било директно или индиректно, откривају идентитет одређене особе.
Постоји више различитих формалних дефиниција ПИИ, које варирају у зависности од државе и региона. Ипак, основно значење овог термина остаје константно.
Најчешће прихваћена дефиниција ПИИ (коју је формулисао Национални институт за стандарде и технологију [NIST] Сједињених Држава) гласи: „Свака репрезентација информација која омогућава да се, директно или индиректно, са разумном сигурношћу утврди идентитет особе на коју се те информације односе“.
Слично томе, формалне дефиниције се разликују и у складу са законима о заштити приватности и личних информација. За више информација о овој области, погледајте сродне акрониме за приватност података.
Значај ПИИ у сајбер безбедности 🔒
Сајбер безбедност подразумева заштиту од сајбер напада. У великој мери, то укључује и информациону безбедност, где је примарни циљ заштита података ускладиштених у системима и организацијама.
Препознавање шта је ПИИ помаже у разумевању који се подаци чувају, шта треба заштитити, како се њима боље може управљати и омогућава унапређење безбедности уопште.
ПИИ је често осетљива информација. Злонамерни актери не би смели да дођу у посед таквих података. Било који прикупљен ПИИ може имати последице по појединца у стварном, а не само у дигиталном свету.
Приватност игра кључну улогу у способности организације да управља личним подацима. Личне информације које су укључене одражавају приступ организације по питању приватности. Стога је заштита ових информација од суштинског значаја у свету сајбер безбедности.
Шта конкретно подразумева ПИИ?
Иако смо дефинисали ПИИ, како можете утврдити да ли неки податак може открити идентитет појединца? 🤔
Да бисте одговорили на то питање, неопходно је да знате који типови података се могу класификовати као ПИИ, као и различите врсте ПИИ.
Не брините; обрадићемо оба аспекта током даљег читања.
Примери ПИИ обухватају све што помаже у идентификацији особе. Не прикупљају све службе и организације ПИИ – стога, ови примери не представљају све што се дели на интернету.
На пример, процесор плаћања је могао да сакупи одређене информације класификоване као ПИИ, док је сервис е-поште могао да сачува нешто друго.
💡 У ПИИ се могу убројати ваше име, презиме, датум рођења, број банковног рачуна, кућна адреса, број социјалног осигурања, медицински подаци, фотографија лица, број мобилног телефона, имејл, број возила, отисци прстију и слично.
Ово је углавном применљиво широм света, са мањим разликама у погледу тога шта се сматра (или не) ПИИ.
Врсте ПИИ
ПИИ се могу поделити у две категорије: директни и индиректни идентификатори.
Директни идентификатори су информације које су јединствене за појединца, попут матичног броја, броја возачке дозволе, броја телефона, броја банковног рачуна итд.
Свако може да вас идентификује на основу само једног директног идентификатора, што их чини класификованим као ПИИ.
Индиректни идентификатори (или квази-идентификатори) представљају изоловане податке који сами по себи не могу помоћи у вашој идентификацији. На пример, ако насумично поделите место рођења, нико вас не може лоцирати, нити доћи до других личних података о вама.
Међутим, комбинација више индиректних идентификатора може олакшати вашу идентификацију. Или можда не? Зависи…
Додатне информације о типовима и класификацији ПИИ
Личне информације се могу класификовати као осетљиве и неосетљиве.
Осетљива ПИИ: Информације које се обично не објављују на јавним платформама и за чије дељење/чување је потребна сагласност сматрају се осетљивим информацијама.
Ово укључује ваше пуно име, број личне карте, број лиценце, податке о кредитној картици, медицинске, телефонске и финансијске податке.
Неосетљива ПИИ: Информације које се могу добити без сагласности појединца из јавних евиденција или са интернета.
Ово обухвата датум рођења, пол, верску опредељеност и слично.
Поред тога, ПИИ се може класификовати и као повезане информације.
Неки примери повезаних информација су:
И све остале ставке које спадају у осетљиве ПИИ.
Слично томе, повезане информације подразумевају информације које се могу комбиновати ради идентификације појединца.
На пример, име, поштански број, пол и радно место.
Шта се дешава ако ПИИ није заштићен? 🔓
С обзиром на то да знате да је ПИИ кључан за сајбер безбедност, природно се намеће питање: шта ако није заштићен?
Нападач може доћи у посед личних података који могу да идентификују појединца без његовог пристанка. Нажалост, сајбер напади се дешавају свакодневно, чак и док читате овај текст. Дакле, не можете то игнорисати.
Друштвени инжењеринг, пхисхинг напади и многи други методи могу бити коришћени у ову сврху.
Сајбер криминалци могу користити ПИИ за прикупљање додатних информација, праћење ваших активности на мрежи или крађу идентитета. Све ово је разлог за забринутост.
У питању су ваша приватност и дигитална безбедност. Као што желите да ваше активности прегледања и претраге буду приватне, тако и ПИИ (било осетљиви или неосетљиви) треба да буду поверљиви.
У супротном, ваш идентитет може бити увучен у преваре или можете бити изманипулисани да платите откуп или учествујете у другим незаконитим активностима. Могућности за нападаче који користе информације да добију податке, новац и имовину од вас су бескрајне.
Стога је неопходно да се ПИИ штите уз помоћ адекватних мера сајбер безбедности.
Како заштитити ПИИ?
Организације и службе са којима сарађујемо су одговорне за заштиту података којима их снабдевамо и који могу открити наш идентитет.
Од наших бројева телефона до информација о плаћању и адреса, све мора бити приватно и безбедно како би се спречио сваки неовлашћени приступ.
Организације морају спроводити следеће мере како би заштитиле ПИИ:
- Обавестите кориснике о томе који се подаци чувају.
- Заштитите податке путем енкрипције, тако да информације остану безбедне чак и у случају повреде.
- Примените двофакторску аутентификацију за заштиту налога на мрежи.
- Контролишите приступ информацијама како бисте осигурали максималну приватност.
- Успоставите политике сајбер безбедности како бисте били спремни за одбрану и обезбедили минималну штету похрањеним информацијама.
- Анонимизирајте сачуване податке што је више могуће.
- Ојачајте мрежу помоћу најбољег заштитног зида за веб апликације.
- Успоставите систем за управљање безбедношћу информација (ИСМС).
Постоје бројни други кораци и праксе које доприносе бољој информационој безбедности и управљању подацима у организацији. Међутим, наведене основне праксе морају бити имплементиране како би се обезбедила најбоља заштита за ПИИ.
Такође, можете одлучити да не делите одређене податке који се класификују као ПИИ, када то није неопходно. Ово би значајно унапредило вашу приватност.
ПИИ је од суштинског значаја, али нису сви лични подаци
Овде говоримо о „личним“ подацима.
Међутим, оно што се класификује као „лично“ може имати одређене разлике у зависности од закона/закона о приватности ваше земље. Иако се скоро сви подаци данас сматрају осетљивијим него пре десет година, различите земље имају различите класификације.
На пример, свуда делимо своје пуно име, иако је то врста ПИИ. Не можемо кривити ниједну организацију/услугу ако нападач користи наше име на неком другом месту. Стога не морате да се превише бринете због неких информација које свакодневно делите.
Поред тога, требало би да проверите прописе о приватности и законе о заштити података у својој земљи како бисте сазнали шта се сматра осетљивим и како да побољшате своју приватност.
На крају крајева, сви смо одговорни за заштиту ПИИ, било директно или индиректно. Ако смо проактивни у вези са својим подацима, организације ће бити у бољој позицији да брину о ПИИ прикупљеним од нас.
Такође можете погледати неке од најбољих подкаста о сајбер безбедности како бисте били у току са најновијим трендовима у дигиталној безбедности.