Bạn chịu trách nhiệm bảo mật thông tin cá nhân bạn lưu trữ trên máy tính hoặc truyền qua Internet. Nhưng những gì về dữ liệu cá nhân của bạn trong tay một số tổ chức mà bạn đã tin tưởng với nó?

Từ IRS đến người bán hoa địa phương của bạn, thông tin cá nhân của bạn được chia sẻ rộng rãi. Và mỗi ngày, một số tổ chức mất dữ liệu nhạy cảm về khách hàng hoặc khách hàng của mình - cho dù là do một cuộc tấn công hack hoặc (nhiều khả năng) từ việc mất hoặc đánh cắp máy tính hoặc thiết bị lưu trữ.

Dưới đây là ba ví dụ gần đây từ Cơ sở dữ liệu mất dữ liệu của Tổ chức bảo mật mở:

• Một nhân viên bất mãn đánh cắp các số An sinh xã hội, tài khoản thẻ tín dụng và dữ liệu cá nhân khác của khoảng 1.200 khách hàng. Thông tin được sử dụng để tạo tài khoản thất nghiệp giả, lừa gạt Bộ Lao động, Cấp phép và Quy định của Maryland lên tới $ 170.000.
• Một máy tính xách tay bị đánh cắp từ một công ty quản lý tài sản ở Vermont chứa một số SSN và dữ liệu riêng tư khác về cư dân, theo thông báo mà công ty gửi cho khách hàng bị ảnh hưởng (pdf).
• Một dịch vụ khai thuế được đuổi khỏi văn phòng của họ ở San Francisco và để lại một hộp khai thuế cũ bên ngoài cửa trước.

Một nguồn thông tin hữu ích khác về các vi phạm dữ liệu gần đây là Quyền riêng tư Clearinghouse Chronology of Data Vi phạm, trong đó liệt kê các sự kiện xảy ra từ năm 2005 của các tổ chức mất dữ liệu nhạy cảm.

Làm thế nào hiệu quả là vi phạm luật thông báo?

Theo Hội nghị Vi phạm An ninh Quốc hội năm 2011, 46 quốc gia hiện yêu cầu các tổ chức gửi thông báo cho những người có dữ liệu riêng tư bị xâm phạm do vi phạm ảnh hưởng đến số lượng người tối thiểu (thường là 500). Thông tin đủ điều kiện là riêng tư là sự kết hợp của tên, họ, tên đệm, SSN, dữ liệu tài chính và dữ liệu y tế hoặc y tế.

(Trang web của Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ giải thích các yêu cầu thông báo vi phạm HIPAA nghiêm ngặt hơn đối với dữ liệu sức khỏe. Năm 2011)

Danh sách này có thể sớm bao gồm một số hoặc tất cả các địa chỉ email, như được giải thích bởi Mark G. McCreary của Fox Rothschild LLP trong Thông báo vi phạm: Thời gian cho một cuộc gọi báo thức. Các cuộc tấn công e-mail được nhắm mục tiêu - hoặc lừa đảo giáo - thường được gửi từ các tài khoản bị xâm nhập, vì vậy chúng dường như là từ các nguồn đáng tin cậy. Việc vi phạm địa chỉ email có thể dẫn đến thiệt hại tài chính cho các nạn nhân.

Các luật hiện hành và được đề xuất yêu cầu thông báo vi phạm sẽ không đảm bảo bạn sẽ được thông báo bất cứ khi nào dữ liệu riêng tư của bạn bị bên thứ ba tiết lộ. Cơ quan An sinh Xã hội đã bị chỉ trích tròn trịa vì không thông báo cho hàng ngàn người có tên, ngày sinh và SSN được công khai vô tình trong Death Master File, có sẵn để bán từ nhiều trang web khác nhau, theo trang web của Cơ quan giám sát người tiêu dùng .

Giải pháp đơn giản nhất: Mã hóa tất cả dữ liệu

Trong nhiều trường hợp, tổ chức bị mất dữ liệu riêng tư hầu như có thể loại bỏ rủi ro bằng cách mã hóa các tệp nhạy cảm. Thật không may, chỉ có Nevada và Massachusetts hiện yêu cầu các tổ chức mã hóa dữ liệu riêng tư mà họ lưu trữ, theo Keith Vance trên trang web eSecurityPlanet.

Các Tiêu chuẩn Xử lý Thông tin Liên bang của Viện Tiêu chuẩn và Công nghệ (Trin) và Hai mươi Kiểm soát An ninh Quan trọng đóng vai trò là hướng dẫn cho các doanh nghiệp lớn thực hiện các kế hoạch bảo vệ dữ liệu súp-to-nut. Những gì còn thiếu là hướng dẫn cho các doanh nghiệp nhỏ.

Văn phòng kinh doanh tốt hơn cung cấp một bản tóm tắt về bảo mật dữ liệu cho doanh nghiệp nhỏ (pdf) bao gồm danh sách kiểm tra dữ liệu, hướng dẫn kiểm toán bảo mật và mẹo để phát hiện hành vi trộm cắp danh tính. (Lưu ý rằng báo cáo được tài trợ bởi Visa và Symantec, vì vậy hãy đưa ra khuyến nghị sản phẩm của mình với một hạt muối.)

Đảm bảo xử lý an toàn dữ liệu nhạy cảm

Ba phần của kế hoạch bảo mật dữ liệu là kiểm soát truy cập, mã hóa dữ liệu được lưu trữ và xử lý an toàn thông tin cá nhân. Băm nhỏ là phương pháp ưa thích cho các tập tin giấy và phương tiện quang học. Trong một bài đăng từ tháng 3 năm 2009 tôi đã mô tả cách phá hủy một ổ cứng cũ. Một trong những công cụ được đề cập trong câu chuyện đó là Darik's Boot and Nuke (DBAN), một chương trình xóa dữ liệu miễn phí.

Tất nhiên, nếu dữ liệu bị loại bỏ được mã hóa, cơ hội ai đó phục hồi nó sẽ được giảm thiểu. Tuy nhiên, cách tiếp cận an toàn nhất là xóa sạch tất cả các phương tiện lưu trữ trước khi loại bỏ chúng.

Ngay cả với những biện pháp phòng ngừa này, thông tin cá nhân của bạn vẫn có thể rơi vào tay kẻ xấu. Tạo thói quen xem xét các báo cáo ngân hàng và thẻ tín dụng hàng tháng của bạn và xem xét đăng ký dịch vụ theo dõi tín dụng để thông báo cho bạn qua thư hoặc phương thức khác bất cứ khi nào tài khoản mới được mở bằng tên của bạn.

Trang web The Fight Identity Theft đánh giá bốn dịch vụ báo cáo tín dụng hàng đầu. Tuy nhiên, không phải ai cũng cần chi tới 15 đô la mỗi tháng để bảo vệ danh tính của mình: Investopedia kiểm tra những ưu và nhược điểm của các dịch vụ giám sát tín dụng.

Nếu bạn nghi ngờ bạn là nạn nhân của hành vi trộm cắp danh tính, trang web Chống lại danh tính chống trộm danh tính của Ủy ban Thương mại Liên bang cung cấp Câu hỏi thường gặp về chủ đề này và bao gồm liên kết để gửi khiếu nại với cơ quan.