Comment savoir quand vos données personnelles sont perdues ou volées

Vous êtes responsable de la sécurisation des informations privées que vous stockez sur votre ordinateur ou que vous transmettez sur Internet. Mais qu'en est-il de vos données personnelles qui sont entre les mains d'une organisation en laquelle vous avez confiance?

De l'IRS à votre fleuriste local, vos informations personnelles sont largement partagées. Et chaque jour, une entreprise perd des données sensibles concernant ses clients, que ce soit à la suite d’une attaque de hack ou (plus vraisemblablement) de la perte ou du vol d’un ordinateur ou d’un périphérique de stockage.

Voici trois exemples récents de la base de données Data Loss d'Open Security Foundation:

  • Un employé mécontent dérobe les numéros de sécurité sociale, les comptes de carte de crédit et d’autres données personnelles de quelque 1 200 clients. Ces informations sont utilisées pour créer de faux comptes de chômage, en escroquant jusqu'à 170 000 USD auprès du Département du travail, des licences et de la réglementation du Maryland.
  • Un ordinateur portable volé dans une société de gestion immobilière du Vermont contient des numéros de sécurité sociale et d'autres données privées sur les résidents, selon la notification envoyée par l'entreprise aux clients concernés (pdf).
  • Un service de préparation des déclarations de revenus est expulsé de son bureau à San Francisco et laisse une boîte de vieilles déclarations d'impôts devant la porte.

Une autre source d’information utile sur les violations de données récentes est la chronologie des violations de données relative au Privacy Rights Clearinghouse, qui répertorie les événements remontant à 2005 où des organisations ont perdu des données sensibles.

Quelle est l'efficacité des lois sur les notifications d'infraction?

Selon la législation de 2011 de la Conférence nationale des législatures d'États en matière d'infractions à la sécurité, 46 États exigent actuellement que les organisations envoient des notifications aux personnes dont les données personnelles ont été compromises en raison d'infractions affectant un nombre minimal de personnes (généralement 500). Les informations considérées comme confidentielles sont une combinaison du prénom, du nom de famille, de l'initiale du deuxième prénom, du SSN, des données financières et des données médicales ou de santé.

(Le site Web du Département américain de la santé et des services sociaux explique les exigences plus strictes de HIPAA en matière de notification des violations de données de santé. La législation fédérale en vigueur sur la notification des violations de données comprend la loi de 2011 sur la notification des violations de données et la loi de 1997 sur la protection des données à caractère personnel 2011.)

La liste pourrait bientôt inclure tout ou partie des adresses électroniques, comme l'explique Mark G. McCreary de Fox Rothschild LLP dans Notification de violation: l'heure du réveil. Les attaques ciblées par courrier électronique (ou spear phishing) sont souvent envoyées à partir de comptes compromis, de sorte qu'elles semblent provenir de sources de confiance. Une violation des adresses électroniques pourrait entraîner des dommages financiers pour les victimes.

Les lois en vigueur et les lois proposées exigeant une notification de violation ne garantissent pas que vous serez averti chaque fois que vos données personnelles ont été exposées par un tiers. La Social Security Administration a été vivement critiquée pour avoir omis d'avertir des milliers de personnes dont les noms, dates de naissance et numéros de sécurité sociale ont été rendus publics par inadvertance dans le fichier principal de la mort, disponible à la vente sur de nombreux sites Web, selon le site Consumer Watchdog. .

La solution la plus simple: chiffrer toutes les données

Dans de nombreux cas, l’organisation qui a perdu les données privées aurait pu pratiquement éliminer le risque en cryptant les fichiers sensibles. Malheureusement, seuls le Nevada et le Massachusetts exigent actuellement des organisations qu'elles chiffrent les données privées qu'elles stockent, selon Keith Vance sur le site eSecurityPlanet.

Les normes FIPS (Federal Information Processing Standards) et les vingt contrôles de sécurité critiques de l'Institut national des technologies et de la technologie servent de lignes directrices aux grandes entreprises mettant en œuvre des plans de protection des données sans faille. Ce qui manque, ce sont des directives pour les petites entreprises.

Le Better Business Bureau propose une introduction à la sécurité des données pour les petites entreprises (pdf), qui comprend des listes de contrôle pour l’inventaire des données, des directives pour la vérification de la sécurité et des conseils pour détecter le vol d’identité. (Notez que le rapport a été sponsorisé par Visa et Symantec, prenez donc les recommandations de produit avec un grain de sel.)

Assurer une élimination sécurisée des données sensibles

Les trois volets d’un plan de sécurité des données sont les contrôles d’accès, le cryptage des données stockées et la destruction sécurisée des informations personnelles. Le déchiquetage est la méthode recommandée pour les fichiers papier et les supports optiques. Dans un article de mars 2009, j'ai décrit comment détruire un ancien disque dur. L'un des outils abordés dans cette histoire est Boot and Nuke (DBAN) de Darik, un programme gratuit de nettoyage de données.

Bien sûr, si les données supprimées sont cryptées, le risque que quelqu'un les récupère est minimisé. Cependant, la solution la plus sûre consiste à nettoyer tous les supports de stockage avant de les jeter.

Même avec ces précautions, vos informations personnelles pourraient toujours tomber entre de mauvaises mains. Prenez l'habitude de consulter vos relevés de carte de crédit et vos relevés bancaires mensuels, et envisagez de vous abonner à un service de surveillance du crédit qui vous prévient par courrier ou par un autre moyen à chaque fois qu'un nouveau compte est ouvert à votre nom.

Le site Fight Identity Theft examine les quatre principaux services d’établissement de rapports de crédit. Cependant, tous ne doivent pas dépenser jusqu'à 15 dollars par mois pour protéger leur identité: Investopedia examine les avantages et les inconvénients des services de surveillance du crédit.

Si vous pensez que vous êtes victime d'usurpation d'identité, le site Lutte contre le vol d'identité de la Commission fédérale du commerce fournit une FAQ complète sur le sujet et inclut un lien permettant de déposer une plainte auprès de l'agence.

Articles Populaires

Vous pouvez maintenant synchroniser les dossiers importants de votre PC avec OneDrive

5 super jeux de société sur votre téléphone pour le jour de Thanksgiving

Changer le son de votre centre de notification

Synchroniser les contacts et les calendriers entre Outlook, Gmail et iPhone

Comment utiliser le nouvel écran de verrouillage déroutant de l'iPhone

Pourquoi souhaitez-vous désactiver les widgets d'écran verrouillé d'iOS 10?

 

Laissez Vos Commentaires