什么是个人身份信息 (PII)？黑客如何滥用它？

什么是个人身份信息 (PII)？黑客如何滥用它？

个人身份信息 (PII) 含义

个人身份信息 (PII)是指公司或组织用来识别某人、与其联系或找到他们的信息。虽然 PII 的含义适用于任何情况，但“PII”一词通常在法律背景下使用，尤其是在涉及信息安全问题时。

PII 有两种基本类型：非敏感 PII 和敏感 PII。非敏感 PII 可以自由发送给其他方，无需保护，不会对个人造成任何伤害。另一方面，敏感 PII 必须以安全的形式发送和保存，因为如果泄露，可能会给个人带来相当大的伤害。

保护 PII 在任何业务关系中都至关重要，特别是因为不这样做可能会涉及滥用信任。此外，当个人信息与不法之徒共享时，可能会损害他们的声誉、财务和个人生活。此外，在保护 PII 方面松懈的组织可能会很快失去现有和潜在客户的信任，这可能会严重影响他们的底线。

隐私政策/隐私法中的 PII

许多国家和地区都已采取措施保护公民的个人信息。虽然不同地区对“个人信息”的定义略有不同，但许多指导原则是相同的。

美国

根据美国国家标准与技术研究所 (NIST) 的说法，个人身份信息包括某人的姓名、生物特征信息（如身体数据和描述）以及社会安全号码 (SSN)。这些都可用于追踪个人身份。

澳大利亚

澳大利亚的个人信息是根据《1988 年隐私法》定义的。它指的是有关某人的信息，包括主观意见，只要该人的身份明确。即使无法“明确”所指的人是谁，如果可以合理地确定其身份，则该分类仍然适用。

欧洲联盟

欧盟 (EU) 国家/地区的个人信息被定义为可识别个人的信息，包括身体、精神、生理、经济、文化或社会识别因素。个人信息还包括身份证号码，无论是由国家实体还是私人实体颁发。

新西兰

新西兰的个人信息包括任何与活着的、可识别的人有关的信息。这包括他们的联系信息、姓名、财务状况和购买历史。

加拿大

加拿大《个人信息保护和电子文件法案》（PIPEDA）规定，个人信息包括任何能够识别个人身份的信息，包括在线个人信息，无论是单独还是与其他数据结合。

什么可以算作 PII？

有许多事物可归类为 PII，根据 NIST 的说法，它们包括个人的：

1. 姓名
2. 家庭地址
3. 脸
4. 身份证号码
5. 电子邮件
6. 车辆牌照或登记号码
7. 护照号码
8. 指纹
9. 手写
10. 驾照
11. 信用卡号码
12. 出生日期
13. 数字身份
14. 出生地
15. 电话号码
16. 遗传信息
17. 屏幕名称
18. 登录信息

PII 合规性

有多项法律规定如何保持 PII 合规性。一些国家/地区有多个法律，因为保护个人信息的方式因行业或涉及的个人类型而异。

GDPR

通用数据保护条例 (GDPR) 由欧盟制定，旨在促进欧盟和欧洲经济区 (EEA) 内的隐私政策和数据保护。该条例还涉及将 PII 发送到 EEA 和欧盟边界之外。

GDPR关注许多潜在问题，例如数据泄露，旨在规范欧盟内部数据的网络安全和法律结构——保护数据不被利用或滥用——同时尊重拥有数据的个人。因此，对不遵守 PII 要求的人处以的罚款非常高。罚款金额最高可达 2000 万欧元或公司全球收入的 4%——以较高者为准。

绿带旗杆

《格雷姆-里奇-比利雷法案》（GLBA）也被称为“金融现代化法案”。该法案旨在规范金融机构如何共享或保护客户的私人信息。满足 GLBA 的 PII 合规性往往涉及金融机构与其客户和消费者沟通他们如何使用敏感数据。它还指示金融机构告知客户他们有权选择不共享数据。

GLBA 强制要求金融机构的每位员工掌握相关知识和工具，以保持合规。此外，任何有权访问敏感数据的人都会在金融机构的系统中受到跟踪。

支付卡行业数据安全标准

支付卡行业数据安全标准 (PCI DSS) 管理和确定处理信用卡信息的组织所需的信息安全政策。它有时被称为“PCI”，它确保处理信用卡数据的公司保持一定程度的网络安全。

这可能包括信息安全策略，例如防火墙、防病毒软件、数据加密服务、限制信用卡数据的访问、日志记录、漏洞扫描和定期更新。

健康保险隐私及责任法

HIPAA代表《健康保险流通与责任法案》，旨在保护患者的敏感数据。HIPAA 中使用的 PII 定义是受保护的健康信息(PHI)。这不仅包括患者的身份，还包括他们接受的治疗类型和健康状况的 PII 信息。

为了保护患者的个人数据，HIPAA 规定了限制对个人信息的物理访问、控制个人信息的传输方式以及人们如何使用可访问个人数据的工作站的规定。此外，HIPAA 要求定期审核数据加密等数据保护程序。

澳大利亚新开发银行

NDB 指的是澳大利亚的《可报告数据泄露计划》，这是澳大利亚信息专员办公室出台的一项法律。该法律要求在发现数据泄露后的特定时间内通知任何受到数据泄露影响的个人。该法律还要求个人和公司通知政府官员。

PII 威胁类别

一旦组织确定了其负责的 PII 类型，他们还应该对不同类型的数据进行分类。这将使评估每种数据处理不当所带来的威胁变得更加容易。类别可能包括：

1. 身份识别：这包括可用于识别个人的数据。
2. 数据组合：在某些情况下，需要多种类型的数据组合来识别某人。
3. 可访问数据：何时、以何种频率访问数据以及谁有访问权限，可以帮助明确如何最好地管理数据。
4. PII 数据合规性：在许多情况下，本地合规性要求（例如 PCI DSS、HIPAA 或EU GDPR ）应指导如何管理个人数据。

黑客利用 PII 做什么？

当黑客窃取信用卡信息时，他们可以冒充持卡人进行购物。然而，当黑客将个人数据拼凑在一起时，危险就更大了。许多机构需要多个数据点来验证某人的身份。在某些情况下，黑客可能会获取一些数据，例如电子邮件地址，然后使用它来获取更多 PII，最终获得足够的信息来访问更安全的账户，例如个人银行账户。

黑客可以利用电子邮件钓鱼来获取某人的密码或 SSN。因此，劳工部 (DOL) 等组织透露，虽然他们可以通过电子邮件请求收集数据，但他们始终会概述数据的使用方式。网络钓鱼诈骗者可能会尝试模仿合法服务提供商的外观和感觉，以诱使他们的目标产生虚假的安全感。

当威胁行为者掌握了所需信息后，他们便可冒充个人，以个人名义实施网络犯罪或通过暗网出售其信息。网络犯罪分子还会伪装成个人，然后渗透到社交媒体上的朋友圈，收集更多信息，然后用来冒充目标。

谁负责保护 PII？

PII 的责任因信息和管辖范围而异。有时，责任由接收信息的组织承担，而在某些情况下，责任由个人和接收其数据的公司共同承担。

管理 PII 的挑战

正确处理 PII 可能意味着合法合规或违法。然而，管理 PII 面临几个重大障碍。

信息过多

通常，一家公司拥有大量的 PII 数据，很难跟踪所有数据。因此，建议仅收集平稳运营所需的最低限度的数据。

覆盖整个威胁形势

PII 可通过数字和物理方式访问。这导致攻击面多样化、不断变化且不断扩大。

不安全的物联网 (IoT) 设备

随着越来越多的公司实施自带设备（ BYOD ）政策，确保所有设备的安全变得越来越困难。

人为错误

员工（即使是那些怀有良好意愿的员工）也经常会犯错。他们可能会错误地删除数据，让其暴露给黑客，或者陷入网络钓鱼骗局。员工使用弱密码也是一种常见的做法，这样更容易记住他们的登录信息。关键是要教育他们应该采取哪些措施来保护他们以及他们的同事和客户的 PII。

如何管理 PII

您和您的组织成员可以采取多种措施来管理 PII。下面列出了一些最有用的步骤。重要的是要考虑所有这些措施，而不是只考虑其中的几项。

一些公司使用双重选择加入，要求用户通过电子邮件确认订阅，以限制敏感数据的暴露。无论您选择哪种方法，预先投入一点时间和精力来加强您的基础设施并调整政策和做法都是值得的。您的努力可以防止您和您的组织遭受潜在的灾难性黑客攻击。

仅收集/存储您需要的内容

最安全的做法是只存储您需要的 PII。一旦您选择了要存储的内容，请确定您的法律义务。然后选择哪些必须短期或长期保留。如果数据可以在短期内删除，请设置删除程序。

监督和培训员工

为员工提供关于 PII 数据及其相关职责的充分培训。此外，跟踪谁在何时访问了个人数据。

创建 BYOD 安全策略

当允许员工携带自己的设备时，请确保他们在访问网络之前符合安全要求。向每位员工宣传相关措施，并确保他们遵守规定。

使用监控系统

您需要监控谁有权访问 PII 以及何时访问，特别是因为某些司法管辖区要求您在 PII 被泄露时向他们发出警报。这可以通过多种方式实现，包括在有人访问 PII 时系统自动记录警报。

最大程度地提高数据安全性

限制传输的数据量，以减少黑客窃取数据的可能性。使用防火墙保护您的网络。持续及时执行安全更新，并在发现漏洞后立即修复。

数据屏蔽

数据屏蔽涉及确保数据传输或存储时只暴露最少的数据。一个常见的例子是在线购买时只显示信用卡的最后四位数字。

道德墙

实施道德墙意味着只允许“需要知道”的人访问敏感数据。您还可以确保组织中的每个成员只能查看不存在利益冲突的数据。

特权用户监控

特权用户监控是指监控对数据库和文件的所有特权访问。一旦发生可疑事件，活动就会被阻止并发出警报。

敏感数据访问审计

在进行敏感数据访问审计时，组织会跟踪每次访问敏感信息的人。如果发生任何异常情况，可以阻止访问并发出警报。

1. 安全审计跟踪归档

安全审计线索归档可确保与 PII 相关的活动得到审计并保留一至七年。这有助于公司遵守法律法规和政策，并产生可协助调查的取证线索。

2.用户权限管理

用户权限管理包括识别异常或不当的用户行为，然后相应地限制访问。这可能包括删除一段时间内处于休眠状态的用户帐户。

3. 用户追踪

用户跟踪会跟踪用户活动，以检测用户何时可能意外或恶意泄露敏感数据。只要用户使用组织的网络或代表公司工作，就会跟踪他们的活动。

个人身份信息常见问题解答

保护 PII 为何如此重要？

保护 PII 在任何业务关系中都至关重要，特别是因为不这样做可能会涉及滥用信任。此外，当个人信息与不法之徒共享时，可能会损害他们的声誉、财务和个人生活。

PII 有哪四类？

1. 身份识别：包括可用于识别个人的数据；
2. 数据组合：在某些情况下，需要多种类型的数据组合来识别某人；
3. 可访问数据：何时、多久访问一次数据以及谁有访问权限，可以帮助明确如何最好地管理数据；
4. PII 数据合规性：本地合规性要求（例如 PCI DSS、HIPAA 或 EU GDPR）应指导如何管理个人数据。

PII 有哪两种类型？

PII 有两种基本类型：非敏感 PII 和敏感 PII。非敏感 PII 可以自由发送给其他方，无需采取安全措施。而敏感 PII 则必须以安全的形式发送和保存。