Cách bảo vệ thông tin nhận dạng cá nhân của khách hàng

0
49

            Thông tin nhận dạng cá nhân (PII) là loại vi phạm dữ liệu hàng đầu năm 2018, chiếm 97% trong tất cả các vi phạm, theo báo cáo của ForgeRock.
        

            
                                                                             
            
            

                 ] ]
    

     Làm thế nào SMB có thể tự bảo vệ mình khỏi các vụ hack và vi phạm dữ liệu
     Bảo vệ danh tính SVP Jerry Thompson chia sẻ các mẹo về an ninh mạng cho các công ty khởi nghiệp và SMB bị hạn chế về ngân sách.
    

    

Thông tin khách hàng là loại dữ liệu quan trọng nhất được nhiều tổ chức nắm giữ. Tất cả chỉ là một sự vi phạm lớn đối với dữ liệu đó khiến khách hàng của bạn mất niềm tin vào công ty của bạn và kết quả là doanh nghiệp của bạn phải chịu thiệt hại. Bất kỳ loại thông tin khách hàng nào cũng là mục tiêu hấp dẫn của tin tặc và tội phạm mạng. Nhưng chén thánh giữa những tên tội phạm là thông tin nhận dạng cá nhân (PII) như số an sinh xã hội, tên và địa chỉ vật lý, tên người dùng và mật khẩu, như được mô tả trong một nghiên cứu thứ ba từ ForgeRock.

    
        

Năm 2018, hơn 2,8 tỷ hồ sơ dữ liệu người tiêu dùng đã bị lộ trong 342 vụ vi phạm dữ liệu, đạt tổng chi phí ước tính hơn 654 tỷ USD. Trong số này, thông tin nhận dạng cá nhân là loại dữ liệu hàng đầu bị lộ, bao gồm 97% tất cả các vi phạm.

Ngày sinh và / hoặc số an sinh xã hội là loại PII bị xâm phạm thường xuyên nhất năm 2018, được phơi bày vào năm 548 % các vi phạm được ghi lại. Con số này là nguyên nhân đáng báo động, vì việc phơi bày ngày sinh và SSN là những cách chính mà tội phạm mạng có thể chiếm đoạt các tài khoản quan trọng như tài khoản ngân hàng và hạn mức tín dụng.

Tên và địa chỉ thực của khách hàng là thứ hai thường xuyên bị xâm phạm Loại PII, tiếp xúc với 49% vi phạm. Tiếp theo trong danh sách là thông tin sức khỏe cá nhân ở mức 46%. Các loại PII khác bị lộ trong các vụ vi phạm năm ngoái là tên người dùng và mật khẩu, thông tin thanh toán và ngân hàng, tên và địa chỉ email.

Tin tặc và tội phạm mạng sử dụng phương pháp nào để có quyền truy cập vào dữ liệu khách hàng cá nhân? Truy cập trái phép là loại tấn công phổ biến nhất trong năm 2018, bao gồm 34% của tất cả các vi phạm. Ransomware và phần mềm độc hại là phổ biến thứ hai, đặc biệt là sự hấp dẫn của các cuộc tấn công ransomware trong ngành chăm sóc sức khỏe. Các cuộc tấn công lừa đảo, các vấn đề cấu hình sai và lạm dụng API cũng đã chứng minh các cách thức màu mỡ để bọn tội phạm đánh cắp thông tin cá nhân.

Trong số tất cả các ngành công nghiệp, chăm sóc sức khỏe tỏ ra dễ bị tổn thương nhất, bị ảnh hưởng trong 48% của tất cả các vi phạm được ghi nhận năm ngoái. Tình trạng không mong muốn này được gây ra bởi một vài yếu tố khác nhau, theo ForgeRock. Đầu tiên, các tổ chức chăm sóc sức khỏe lưu trữ rất nhiều PII, vì vậy chúng là mục tiêu hấp dẫn của tội phạm mạng. Thứ hai, lĩnh vực chăm sóc sức khỏe thường bị tụt hậu so với các ngành công nghiệp khác trong việc hiện đại hóa cơ sở hạ tầng CNTT do các quy định nghiêm ngặt áp đặt cho nó. Thứ ba, việc tập trung vào các cải tiến về khả năng sử dụng để thu hút người dùng không có kỹ thuật đôi khi đã vượt quá các biện pháp bảo mật. Tuy nhiên, xu hướng này đang dần chuyển sang tập trung vào bảo mật do các hướng dẫn mới về hồ sơ sức khỏe điện tử và nhận thức rõ hơn của người tiêu dùng về các vi phạm dữ liệu.

Các lĩnh vực khác bị ảnh hưởng bởi vi phạm dữ liệu trong năm 2018 bao gồm ngân hàng và bảo hiểm, các cơ quan chính phủ, giáo dục, công nghệ, du lịch và thông tin liên lạc / điện thoại di động.

Các tổ chức có thể làm gì để bảo vệ bản thân tốt hơn trước hành vi trộm cắp thông tin nhận dạng cá nhân? ForgeRock cung cấp một vài lời khuyên.

Trước tiên, và rõ ràng nhất, các doanh nghiệp nên coi danh tính và quản lý truy cập là một phần quan trọng trong việc bảo mật dữ liệu khách hàng của họ. Điều đó có nghĩa là tạo ra một khuôn khổ để xác định, xác thực và cho phép truy cập đúng vào thông tin nhạy cảm.

Thứ hai, xem xét các cơ hội giao nhau với rủi ro niềm tin của người dùng. Lấy một ví dụ, dịch vụ dựa trên vị trí có thể yêu cầu vị trí của người dùng trong khi dịch vụ đang được sử dụng. Nhưng bất kỳ quyền truy cập nào vượt quá điểm đó có thể là một rủi ro cần được giảm nhẹ. "Hãy rõ ràng về lý do tại sao một số dữ liệu cá nhân nhất định được thu thập và cách chúng sẽ được sử dụng", ForgeRock nói trong báo cáo.

Thứ ba, hãy xem dữ liệu cá nhân như một tài sản chung và xem xét tư duy trong tổ chức của bạn . Không phải mọi đơn vị hoặc bộ phận trong doanh nghiệp của bạn sẽ có cùng một động lực để chú ý đến dữ liệu khách hàng.

Thứ tư, dựa vào sự đồng ý. Là một trong sáu cơ sở hợp pháp để xử lý dữ liệu cá nhân được xác định bởi GDPR, sự đồng ý của người tiêu dùng mang lại cho tổ chức của bạn sự tự do nhưng cũng có trách nhiệm xây dựng các mối quan hệ đáng tin cậy và minh bạch với khách hàng của bạn.

                                                                                

                                                

Cũng xem