Перевірка цифрових ідентифікаторів: практичні рекомендації щодо безпеки та конфіденційності для сімей, шкіл та малого та середнього бізнесу

Чому це важливо

Уряд Великої Британії оголосив про плани впровадження схеми цифрової ідентифікації для працівників. Це впливає на найм, оренду, банківські операції та інші повсякденні взаємодії, а також порушує питання конфіденційності та безпеки для батьків, шкіл та малого бізнесу.

Що сталося

Міністри оголосили про план запровадження системи цифрової ідентифікації для працівників. Повідомляється, що ця схема застосовуватиметься до вакансій, укладених після її запуску, і міністри кажуть, що це може статися до кінця терміну чинного парламенту. Якщо це буде затверджено, новим працівникам знадобиться підтверджений цифровий ідентифікатор для початку роботи на певних посадах. Уряд також планує проведення публічних консультацій і заявляє, що система не буде обов'язковою для більшості повсякденних послуг.

Ключові висновки

• Перевірки цифрових ідентифікаційних даних розглядаються як спосіб зменшення шахрайства та скорочення тіньової економіки.
• Якщо буде підтверджено, схема застосовуватиметься до щойно розпочатих вакансій після її запровадження, а не ретроактивно до поточних посад.
• Чиновники кажуть, що використання буде добровільним для інших сервісів та розроблене з урахуванням шифрування та зберігання даних на основі пристроїв.
• Заплановано громадські консультації; вже з'явилися значні громадські дебати та петиції.

Передумови та поверхневий ризик

Системи цифрової ідентифікації об'єднують перевірку особи у стандартизовані облікові дані, які передаються користувачеві, зазвичай через додаток для смартфона або захищений токен. Привабливість очевидна: менше паперових документів, швидші перевірки та менша залежність від платних сторонніх верифікаторів. Але така консолідація також концентрує ризики.

Кого це стосується? Практично всіх, хто взаємодіє зі службами, що потребують перевірки особи: працівників, орендарів, студентів та клієнтів. Для батьків та підлітків це впливає на те, як молоді люди доводять вік та право на отримання послуг. Школи можуть використовувати перевірену особу для вступу або реєстрації на іспити. Малий та середній бізнес, а також роботодавці побачать зміни у перевірках найму та робочих процесах адаптації.

До поширених шляхів атак належать спроби фішингу з метою крадіжки облікових даних, атаки соціальної інженерії на агентів з кадрів або нерухомості, компрометація пристроїв (шкідливе програмне забезпечення на телефоні) та захоплення облікового запису за слабких факторів автентифікації. Неправильні конфігурації, такі як надмірно широкі дозволи на обмін даними, слабке керування шифруванням або централізоване сховище без належного контролю доступу, можуть збільшити вразливість.

Відповідні платформи включають мобільні гаманці, портали управління персоналом роботодавців, державні служби верифікації та сторонніх постачальників ідентифікаційних даних. Якщо урядова схема спирається на облікові дані, що зберігаються на пристроях, безпека пристроїв та механізми резервного копіювання/відновлення стають критично важливими. Якщо ж архітектура використовує централізовані компоненти, пріоритетами будуть засоби контролю доступу та ведення журналу.

Чому це важливо для сімей та малого бізнесу

Цифрова ідентифікація може спростити багато транзакцій. Але зручність має бути збалансована з конфіденційністю та безпекою. Для сімей підтверджена цифрова ідентифікація може бути корисною для подання заяв до шкіл, доступу до певних послуг або підтвердження віку. Вона також може створити нові питання конфіденційності щодо того, які персональні дані збираються, як довго вони зберігаються та хто може запитувати перевірку.

Для малого бізнесу перевірена цифрова ідентифікація може спростити найм та перевірку орендарів. Але підприємства несуть відповідальність за захист даних заявників та за законне використання результатів перевірки. Роботодавцям знадобляться чіткі правила щодо того, які ідентифікаційні дані потрібні, як вони зберігаються та як довго.

Гігієна пристрою та програм має значення. Якщо ваші ідентифікаційні дані зберігаються на телефоні, тримайте телефон налаштованим, захищеним надійним методом блокування та резервним копіюванням відповідно до офіційних рекомендацій. Остерігайтеся додавання документів, що посвідчують особу, до ненадійних програм або надання широких дозволів невеликим постачальникам послуг верифікації без належної перевірки.

Юридичні нагадування та нагадування щодо згоди: моніторинг, перевірка та зберігання ідентифікаційних даних регулюються законами про захист даних та трудовими нормами. Згода має бути усвідомленою та добровільною, якщо цього вимагає закон. Щодо перевірок працівників, дотримуйтесь місцевих правил працевлаштування та конфіденційності, а також ведіть облік згоди та розкриття інформації.

Контрольний список дій

Для батьків та підлітків

1. Зрозумійте, яка інформація необхідна. Надайте лише мінімальний обсяг персональних даних, необхідних для перевірки.
2. Захистіть пристрої. Використовуйте блокування екрана, шифрування пристрою та автоматичні оновлення для телефонів, що використовуються для зберігання облікових даних ідентифікатора.
3. Навчайте людей бути обережними з фішингом. Ніколи не вводьте облікові дані особи в посилання з неочікуваних електронних листів або повідомлень.
4. Використовуйте перевірені канали. Надавайте перевагу державним або відомим постачальникам і підтверджуйте запити, звертаючись безпосередньо до організацій.
5. Перевірте налаштування конфіденційності. Дізнайтеся, як довго зберігаються ідентифікаційні дані та хто має до них доступ; за потреби запитуйте видалення.

Для роботодавців та малого та середнього бізнесу

1. Прийміть задокументовану політику ідентифікації, яка пояснює, які дані ви збираєте, чому та терміни зберігання.
2. Використовуйте доступ з найменшими правами. Обмежте, хто у вашій організації може переглядати результати перевірки, і реєструйте всі права доступу.
3. Розгорніть захист пристроїв і кінцевих точок. Використовуйте MDM (керування мобільними пристроями) та EDR (виявлення та реагування на кінцеві точки) для корпоративних пристроїв.
4. Навчіть команди з персоналу та найму методам соціальної інженерії та шахрайства з верифікацією.
5. Регулярно перевіряйте та аудитуйте доступ. Негайно скасовуйте доступ для тих, хто звільнився, та тих, у кого прострочений термін дії чеків.
6. Плануйте реагування на інциденти. Включіть сповіщення про витік даних та шлях відновлення для скомпрометованих облікових даних особи.

Для шкіл

1. Перевіряти лише основні елементи посвідчення особи та документувати згоду опікунів під час обробки даних неповнолітніх.
2. Забезпечте дотримання сторонніми постачальниками ідентифікаційних даних стандартів захисту даних та підписання відповідних угод про обробку даних.
3. Запропонуйте альтернативи для сімей без смартфонів або тих, хто відмовився від цифрового посвідчення особи.

Тренд

Цифрова ідентифікація – це глобальна тенденція, що набирає обертів. Кілька країн зараз використовують національні схеми цифрової ідентифікації для державних та приватних послуг. Дискусія у Великій Британії відображає глобальні дебати щодо балансування зручності, зменшення шахрайства та громадянських свобод.

Інсайт

Надійні системи ідентифікації поєднують безпечну криптографію, децентралізований контроль, де це можливо, та прозоре управління. З точки зору безпеки, децентралізоване зберігання ідентифікаційних даних на пристроях користувачів зменшує один вид ризику, але збільшує потребу в надійних процесах безпеки пристроїв та їх відновлення. Організації повинні бути готові до гібридних реалій, де співіснують численні постачальники та методи перевірки.

Як допомагає SPYERA

SPYERA надає функції моніторингу та звітності, розроблені для законного контролю на основі згоди в сім'ях та організаціях. Наші інструменти пропонують опції віддаленого налаштування, сповіщення про підозрілу активність пристроїв та очищення журналів для підтримки розслідувань інцидентів. Батькам SPYERA може допомогти підтвердити справність пристроїв та виявити ознаки компрометації, які можуть розкрити облікові дані особи. Для роботодавців звітність SPYERA може підтримувати авторизовані аудити під час адаптації, з чітким відстеженням згоди та сповіщеннями користувачів, де це вимагається законом.

Примітка: SPYERA слід використовувати відповідно до місцевого законодавства. Завжди отримуйте необхідну згоду та використовуйте моніторинг етично. Ми не підтримуємо незаконний доступ або уникнення захисту конфіденційності.

поширені запитання

• Чи будуть усі зобов'язані мати цифрове посвідчення особи?
  Чиновники кажуть, що ця схема не буде обов'язковою для всіх служб. Якщо її буде підтверджено, вона буде обов'язковою лише для робіт, розпочатих після запуску системи. Інші послуги мають залишитися необов'язковими.
• Чи захищені мої персональні дані за допомогою цифрового посвідчення?
  Безпека залежить від впровадження. Звертайте увагу на надійне шифрування, локальне зберігання облікових даних на пристроях, обмежений обмін даними та прозорі політики зберігання.
• Як роботодавці повинні проводити перевірку особи?
  Використовуйте задокументовані політики, обмежуйте доступ, отримуйте згоду та реєструйте дії перевірки. Зберігайте мінімальну кількість даних протягом найкоротшого необхідного періоду.
• Що робити, якщо у мене немає смартфона?
  Органи влади та організації повинні запропонувати альтернативи. Школи та роботодавці повинні пропонувати нецифрові варіанти для тих, хто не має до них доступу.

Закриття заклику до дії

Перевірка цифрових ідентифікаторів обіцяє зручність, але вимагає ретельного планування безпеки та конфіденційності. Незалежно від того, чи ви батько, керівник школи чи власник малого бізнесу, готуйтеся зараз: захистіть пристрої, обмежте обмін даними та наполягайте на прозорій згоді. Якщо ви відповідаєте за догляд або нагляд, розгляньте законні інструменти моніторингу SPYERA, які допоможуть виявляти компрометацію пристроїв, дистанційно керувати конфігурацією та створювати чіткі звіти про інциденти. Використовуйте моніторинг відповідально та лише там, де це дозволено законом.