Симеон Гарфинкель - Все под контролем: Кто и как следит за тобой

• Консультант по вопросам компьютерной безопасности Ричард Смит [Richard Smith], основатель и бывший президент Phar Lap Software, превратил поиск web-сайтов, нарушающих приватность, в некий вид домашнего бизнеса. Смит специализируется на анализе кода, используемого для создания web-страниц, с целью нахождения кода, передающего информацию между различными организациями. Например, в марте 2000 года Смит обнаружил, что web-сайт Intuit по неосторожности допускает передачу рекламодателям информации, вводимой пользователями на странице финансового калькулятора. [250]Эта утечка дает рекламодателю возможность узнать, что пользователь ищет возможность получить кредит в сумме 30 тысяч долларов на приобретение машины или 500 тысяч долларов на приобретение дома. Intuit заявила, что утечка данных была случайной и исправила ошибку сразу же, как только она была обнаружена.

• Несмотря на то что жалобы на непрошеную электронную почту являются самыми распространенными среди пользователей Интернета, компании, собирающие адреса электронной почты, не защищают их. Например, в марте 2000 года программная ошибка привела к тому, что Trans World Airlines разгласила электронные адреса 80 % подписчиков своего списка рассылки Dot Com Deals. В сентябре 2000 года компания DigitaliConvergence столкнулась с проблемой в безопасности, приведшей к тому, что были разглашены имена и электронные адреса всех клиентов, установивших выпускаемый компанией сканер штрих-кодов и зарегистрировавших продукт. Компании заявили, что воспринимают происшедшее со всей серьезностью: «Мы сожалеем о причиненных неудобствах. Мы устранили проблему и приняли дополнительные меры предосторожности во избежание появления подобных проблем в дальнейшем», – сказал технический директор DigitahConvergence Дуг Дэвис [Doug Davis] в выпущенном компанией пресс-релизе. [251]Но если компании действительно воспринимают эти угрозы серьезно, они в первую очередь должны тратить больше времени и денег на проверку своих систем для предотвращения подобных проблем.

• Многие компании продолжают сталкиваться с хорошо подготовленными проникновениями в их банки данных с кредитными картами. В январе 2000 года хакер под псевдонимом Максус связался с онлайновым магазином CD Universe, заявив, что похитил 350 тысяч имен и номеров кредитных карт с web-сайта компании. Хакер запросил 100 тысяч долларов за возврат информации и в подтверждение серьезности своих слов опубликовал несколько тысяч имен и номеров в Интернете. [252]На Максуса началась облава, но результат был неутешительным. В марте 2000 года с web-сайта розничной торговли Salesgate.com было похищено около 20 тысяч записей о клиентах, включая номера кредитных карт и другую персональную информацию. [253]В сентябре 2000 года Western Union сообщила о хищении с ее сайта подробной информации о кредитных картах 15 700 клиентов.

• Наконец, банкротство Интернет-магазина Toysmart.com показало, что так называемая «добровольная» политика защиты приватности просто не может ее защитить. Еще в то время, когда Toysmart.com была процветающей фирмой, она приобрела уважение многих клиентов, заявив, что никогда не продаст список своих клиентов – мера безопасности, очень важная для родителей малолетних детей. Но когда дело дошло до аукциона, Toysmart объявила, что на продажу выставляется все ее имущество, включая базу данных по клиентам. [254]С предложением о приобретении списка выступила компания Disney – один из крупнейших инвесторов Toysmart. Лишь после того как Федеральная комиссия по торговле начала расследование, Toysmart смягчилась и пообещала, что продаст список своих клиентов только той компании, которая согласится следовать первоначальной политике Toysmart – маленький триумф борцов за приватность.

Неразбериха с приватностью продолжается, поскольку американский бизнес и правительственные круги испытывают нехватку формальных руководств и советов экспертов по методикам обеспечения надлежащего уровня защиты приватности. Такого нет в других странах. Например, после того как публичная библиотека Ванкувера (Британская Колумбия) установила сеть из 30 камер видеонаблюдения для предотвращения хищений и вандализма, специальный уполномоченный по вопросам приватности Британской Колумбии провел инспекцию здания. После он предоставил отчет, в котором показал, как сеть наблюдения может быть изменена, чтобы лучше выполнять свое предназначение по предотвращению краж и одновременно меньше нарушая приватность личности. [255]Но, в отличие от Канады, Европы и Гонконга, Соединенным Штатам не достает как законодательных актов, устанавливающих минимальные стандарты обеспечения приватности, так и занимающихся регулированием этих вопросов агентств, которые могли бы консультировать компании и правительственные учреждения по вопросам создания приемлемой политики защиты приватности.

Конечно, правительство США продолжает настаивать на том, что нет необходимости в создании законодательных актов, всесторонне регламентирующих защиту приватности личности, поскольку вполне достаточно добровольно устанавливаемой политики, несмотря на тот факт, что Федеральная комиссия по торговле докладывала конгрессу США о неотложной необходимости принятия новых законодательных актов в области приватности. [256]

Вместо того чтобы сопротивляться принятию законодательных актов в области приватности, индустрия США должна сфокусироваться на разработке набора правил и методик по соблюдению приватности, которые были бы приемлемы как для Интернета, так и для обычной жизни. Эти методики должны учитывать как директиву Евросоюза о персональной информации [European Union's Directive on Personal Information], так и выпущенное ОЭСР в 1980 году Руководство по контролю над защитой приватности и перемещением через государственные границы персональных данных. (ОЭСР – Международная организация по экономическому сотрудничеству и развитию, объединяющая 29 стран-членов и занимающаяся обсуждением, развитием и работами по улучшению экономической и социальной политики.) В конце концов, американские компании ведут бизнес в Европе, Канаде и многих других странах, уже имеющих соответствующие законы в области приватности, базирующиеся на этих принципах. Эти компании лицемерят, когда говорят, что законодательные акты по защите приватности могут стать неприемлемой преградой их бизнесу.

Через день после того, как я начал свой «книжный тур» [p82]с этой книгой, в Нью-Йорке состоялось мое радиоинтервью репортеру «Голоса Америки» Ларри Фройнду [Larry Freund]. Фройнд передал мне опубликованную в New York Post статью, описывающую, как полиция Нью-Йорка получает доступ к данным из компьютеров системы метрополитена. Похоже, что администрация метрополитена [Metropolitan Transit Authority, МТА] запрограммировала компьютеры на запоминание времени и места каждого использования всех карточек MetroCard в городе. Полиция прослышала об этой базе данных и взяла за практику получать данные о проходе через турникеты метро задержанных ею людей: один звонок в управление метрополитена, и полиция получала подробную распечатку, с указанием всех станций метро, где была использована карточка задержанного.