Личный вопрос
АрхивКомментарий дняВ американском штате Калифорния принят закон, обязывающий предпринимателей извещать об имевших место взломах их информационных систем, дабы клиенты смогли гарантировать себя от дальнейших проблем с мошенниками, крадущими "личности". Чем обернется инициатива законодателей на деле - никто не знает.
Вчера в американском штате Калифорния вступил в действие закон, обязывающий зарегистрированные в штате компании и частных предпринимателей, хранящих персональную информацию своих клиентов, в обязательном порядке уведомлять последних об имевших место несанкционированных проникновениях в информационные системы, могущие привести к утечке конфиденциальных сведений в чужие руки. Закон, именуемый Security Breach Information Act, не содержит исключений и даёт потребителям право наказывать нарушителей через систему гражданских судов в случае, если уведомления о "взломе" не было прислано по электронной почте, обычной бумажной, опубликовано на сайте компании или в местной печати. К чему столь жёсткие меры?
"Персональная информация", о которой идёт речь в документе, разработанном законодателями почти год назад, подразумевает довольно простую вещь: ФИО клиента вкупе с одним из жизненно важных номеров, присвоенных ему государством - номером страховки, номером водительского удостоверения, кредитной карты или банковского счёта и т.п. Порознь эти данные не представляют опасности, но объединение их в таком завязанном на информацию сообществе, какое нынче представляет из себя американское, рождает взрывоопасную смесь: именно на применении фамилии-имени и одного из номеров, идентифицирующих гражданина, построена схема очень распространённого в США вида мошенничеств под названием "кража личности" (identity theft).
России, где бюрократия и бумажная волокита всё ещё являются неотъемлемой частью любой мало-мальски значимой социальной операции, identity theft не страшна. А вот для Штатов это самый настоящий бич. Начиная с 2000-го года, когда на данный вид мошенничеств обратила внимание Федеральная торговая комиссия США (FTC) и по сей день, количество зафиксированных случаев identity theft ежегодно удваивается. Чтобы представить себе масштабы происходящего, достаточно сказать, что сегодня в США кража личности совершается с частотой примерно раз в минуту. В условиях, когда электронный способ коммуникаций - по крайней мере на деловом поприще - вытеснил физические контакты, фамилии человека и номера его страхового полиса или кредитки может быть достаточно для того, чтобы ограбить, либо провернуть от его имени сколь угодно страшную махинацию. Как противодействовать таким мошенникам?
Ужесточение наказаний за само преступление, конечно, имеет смысл - но в данном случае стоит учесть специфику происходящего: защищённость информационных хранилищ, которыми являются сети и системы современных компаний, оставляет желать лучшего - а, поскольку хранят они огромные объёмы персональной информации, то и становятся первой мишенью для мошенников, работающих в жанре identity theft. Усилив защиту или сделав оповещение клиентов о проникновениях в такие хранилища принудительным, можно надеяться и на общее ослабление проблемы краж личности. Что американские законодатели и попытались сделать.
К сожалению, есть у данного поступка очевидное негативное следствие. Почему взломы корпоративных систем не афишируются? По простой причине боязни владельцев этих систем испортить собственный имидж в глазах состоявшихся и потенциальных клиентов. Представьте себе банк, рассылающий клиентам сообщение о состоявшемся факте взлома своей базы данных или Интернет-продавца, уведомляющего о том, что из его базы возможно - только возможно! - были украдены номера кредитных карт зарегистрированных пользователей. Для обывателей, не желающих, да и не умеющих различать киберпреступления по тяжести (кража базы данных с номерами кредиток и изменение лицевой страницы сайта для них одинаково страшны, а сервер и сайт - синонимы), сообщения такого рода - несомненный минус к личному мнению о компании, с которой они работают, и лишний стимул перейти к другому, "более надёжному" конкуренту. Впрочем, эксперимент только начался - и кто знает, чем он закончится?