Vad är PII i cybersäkerhet?

Personligt identifierbar information (PII) i informationssäkerhet är de uppgifter som kan identifiera en individ direkt eller indirekt.

PII har flera olika typer av formella definitioner som varierar beroende på land och territorium. Men kärnan i begreppet förblir oförändrad.

Det vanligaste sättet att definiera en PII (enligt National Institute of Standards and Technology [NIST] i USA) är – ”All representation av information som tillåter att identiteten för en individ som informationen gäller rimligen kan härledas med antingen direkta eller indirekta medel.”

På samma sätt justeras den formella definitionen per sekretess och personlig informationsskydd. Du kan titta på relaterade datasekretessförkortningar för att utforska mer om dem.

Vikten av PII i cybersäkerhet 🔒

Cybersäkerhet syftar på att skydda och försvara mot cyberattacker. Och för det mesta handlar det om informationssäkerhet, där det primära fokus är att skydda den data som lagras i system och organisationer.

Så att veta vad PII är hjälper så småningom att förstå vilken data som lagras, vad som behöver säkras, hur det kan hanteras bättre och ett par andra saker för att förbättra säkerheten.

Vanligtvis är PII känslig. Därför bör illvilliga angripare inte få tag på sådan information. Alla PII som samlas in kan påverka individen i den verkliga världen, inte bara den digitala världen.

Dessutom spelar integritet en stor roll i en organisations förmåga att hantera personuppgifter. Och den involverade personligt identifierbara informationen är avgörande för att spegla en organisations integritetsspel. Så på ett eller annat sätt är det viktigt att skydda informationen i cybersäkerhetsvärlden.

Exakt vad består i en PII?

Medan vi har definierat PII, hur kan du förstå att en bit data kan avslöja en individs identitet? 🤔

För att få svar på det behöver du veta vilken typ av data som kan klassificeras som PII och de olika typerna av PII.

Oroa dig inte; vi tar upp båda när du läser vidare.

Exemplen inkluderar allt som hjälper till att verifiera en persons identitet. Inte varje tjänst eller organisation samlar in PII – så de nämnda exemplen är inte vad du ger någon på internet.

Till exempel kan en betalningsbehandlare ha samlat in viss information som klassificeras under PII, och en e-posttjänst kan ha lagrat något annat.

💡 Informationen kan vara ditt förnamn, efternamn, födelsedatum, bankkontonummer, hemadress, personnummer, medicinsk information, ansiktsfoto, mobilnummer, e-post, fordonsnummer, fingeravtryck med mera.

Detta gäller nästan överallt i världen, med små skillnader i vad som anses (eller inte) som PII.

Typer av PII

PII kan vara av två olika typer, direkta och indirekta identifierare.

Direkta identifierare hänvisar till information som är unik för en individ, som statens ID-nummer, licensnummer, telefonnummer, bankkontonummer, etc.

Vem som helst kan identifiera dig baserat på bara en direkt identifierare, vilket är anledningen till att det anses vara en typ av PII.

Och indirekta identifierare (eller kvasi-identifierare) hänvisar till de enskilda data som inte kan hjälpa dig att identifiera dig. Till exempel, om du slumpmässigt delar din födelseort, kan man inte hitta dig eller känna till några andra personliga detaljer om dig.

Ett gäng indirekta identifierare sammansatta kan hjälpa dig att identifiera dig. Eller kanske inte? Det beror på…

Mer om PII-typer och klassificering

Personligt identifierbar information kan klassificeras som – känslig och okänslig.

Känslig PII: Informationen som vanligtvis inte delas på en offentlig plattform och kräver samtycke för att delas/lagras anses vara känslig information.

Saker som ditt fullständiga namn, ID-kortsnummer, licensnummer, kreditkortsinformation, medicinska uppgifter, telefonnummer och ekonomiska data.

Icke-känslig PII: Information som kan extraheras utan en individs medgivande från offentliga register eller Internet.

Saker som födelsedatum, kön, religion och mer.

Dessutom kan du också kategorisera PII som länkad och länkbar information.

Viss länkad information kan inkludera:

Och alla andra saker som ingår i känslig PII.

På samma sätt anses länkbar information vara något som skulle kunna sättas ihop för att hjälpa till att identifiera individen.

Till exempel namn, postnummer, kön och arbetsplats.

Vad händer om PII är oskyddad? 🔓

Med tanke på att du vet att PII är avgörande för cybersäkerhet kan man inte låta bli att undra, vad händer om det är oskyddat?

Den personliga informationen som kan identifiera en individ nås utan ditt medgivande av en angripare. Du vet aldrig; många cyberattacker inträffar varje dag när du läser detta. Så det är inget man kan utesluta.

Social ingenjörskonst, nätfiskeattacker och många andra sätt.

Cyberangripare kan använda PII för att extrahera mer information, övervaka dina onlineaktiviteter eller fälla dig med identitetsstöld. Och dessa är alla en fråga om oro.

Det handlar om din integritet och digitala säkerhet. Precis som du vill hålla din surfaktivitet eller sökdata privat, bör PII (känslig eller icke-känslig) vara konfidentiell.

Om inte, kan man snabbt få din identitet inblandad i bedrägeri eller lura dig att ge en lösensumma eller olaglig verksamhet. Möjligheterna för angripare att använda informationen för att extrahera data, pengar och tillgångar från dig är oändliga.

Därför skyddar PII med de bästa cybersäkerhetsåtgärderna.

Hur skyddar man PII?

Organisationer och tjänster vi interagerar med är ansvariga för att skydda PII vi delar med dem.

Från och med vårt telefonnummer till vår betalningsinformation och adress måste allt vara privat och förvaras säkert för att förhindra obehörig åtkomst.

Här är några av de saker som organisationer måste göra för att skydda PII:

  • Informera kunder om den data som lagras.
  • Säkra data med kryptering så att informationen inte äventyras även om det finns ett intrång.
  • Tvåfaktorsautentisering för att skydda onlinekonton.
  • Kontrollera tillgången till informationen för att säkerställa maximal sekretess.
  • Cybersäkerhetspolicyer måste rullas ut för att vara stridsberedda att försvara och säkerställa att liten eller ingen skada kan göras på den lagrade informationen.
  • Anonymisera de lagrade uppgifterna så mycket som möjligt.
  • Säkra nätverket med den bästa brandväggen för webbapplikationer.
  • Se till att du har ett Information Security Management System (ISMS) på plats.

Många andra saker och subtila metoder leder till bättre informationssäkerhet och datahantering i en organisation. Dessa grundläggande metoder måste dock uppfyllas för att ge bästa skydd för PII.

Du kan också välja att inte dela vissa data som klassificeras som PII vid behov. Detta borde förbättra din integritet mycket mer.

PII är avgörande, men inte alla personuppgifter är det

Naturligtvis har vi att göra med ”personliga” uppgifter här.

Men vad som kategoriseras som ”personligt” kan ha vissa avvikelser beroende på ditt lands integritetslag/lag. Medan nästan alla uppgifter behandlas som mer känsliga än för ett decennium tillbaka, har vissa länder olika klassificeringar.

Till exempel delar vi vårt fullständiga namn överallt, även om det är en typ av PII. Vi kan inte skylla på någon organisation/tjänst om en angripare använder vårt namn någon annanstans. Så du kanske inte behöver stressa över viss information vi delar dagligen.

Dessutom bör man kontrollera sitt lands integritetsbestämmelser och dataskyddslagar för att veta vad som anses vara känsligt och hur man förbättrar din integritet bättre.

I slutändan är vi ansvariga för att skydda PII, direkt eller indirekt. Och om vi kan vara vaksamma på vår data kan organisationer ta bättre hand om PII som samlas in från oss.

Du kan också utforska några bästa cybersäkerhetspodcaster för att ligga steget före i världen av digitala hot.