Техническая библиотека CITForum.ru CITKIT.ru - все об Open Source Форумы Курилка
Все новости / Все статьи Деловая газета - шквал(!) IT-новостей :: CITCITY.RU
Первая полоса ИТ-Инфраструктура Телекоммуникации Безопасность BI Интеграционные платформы КИС IT-бизнес Ширпотреб Точка зрения

20.04.2018

Новости:


Все новости

Безопасность

Иллюзия приватности

Из года в год доводы в пользу того, что приватная жизнь гражданина хоть как-то защищена, становятся все слабее. Ушедший 2006-й оставил множество поводов для раздумий. Американский скандал с вторжением в частную жизнь руководителей Hewlett-Packard, череда утечек из российских банков, разоблачение управляющих системой SWIFT, постоянные обвинения в адрес Google - все это лишь вершина того айсберга, который принято называть посягательством на приватность. Быть может, никакой приватности уже и вовсе не осталось?

«Откуда журналисты все время узнают о наших планах? Кто им сообщает о запуске новых продуктов?» — гадала Патриция Дан (Patricia Dunn). Она уже много лет возглавляла совет директоров HP и еще ни разу не сталкивалась с таким лицемерным инсайдером. Этот крот входит в правление одной из крупнейших IT-корпораций мира, получает огромную зарплату и не меньшие бонусы. Так ему еще нужно время от времени сливать информацию прессе. Журналисты язык за зубами не умеют держать по определению, так что разговор с репортером ничем не отличается от исповеди конкуренту.

«Нет, так оставлять это дело нельзя! Надо раз и навсегда разобраться с инсайдером и перекрыть канал утечки. Придется пойти на крайние меры», — продолжала рассуждать г-жа Дан. Она даже не догадывалась, какое решение только что приняла. Дальнейшие события вызвали обвал биржевых котировок HP и поставили крест на карьере Патриции. Более того, председатель совета директоров очень быстро превратилась в главного обвиняемого на судебных слушаниях, где основной ставкой является тюремное заключение сроком на 12 лет.

Приватность в корпоративном мире

Руководители крупных корпораций попадают в такую ловушку часто. Что делать, если самая конфиденциальная информация регулярно появляется то на страницах прессы, то где-нибудь в Интернете? Стандартные методы борьбы с утечками здесь не подходят. Как указывают эксперты InfoWatch, из HP утекали только те сведения, доступ к которым имеют самые высокие должностные лица — в данном случае члены совета директоров. Да и сама информация представляла собой буквально одну фразу: «Через год HP выпустит…» или «Мы готовим поглощение…». Этого достаточно журналистам и конкурентам. Первые тут же перероют всю аналитику по новому рынку и напишут сенсационную статью, а вторые — скорректируют свои тактические и стратегические планы. Как известно, нельзя предотвратить утечку той информации, которую можно вынести в «оперативной памяти» своего мозга. Так что у больших людей действительно большие проблемы. Решить их без вторжения в чужую частную жизнь вряд ли возможно.

Именно на это и дала свое согласие Патриция Дан — теперь уже бывший председатель совета директоров HP. По сведениям из разных источников, частные детективы и, возможно, некоторые сотрудники самой корпорации просматривали личную переписку членов совета директоров компании и журналистов, а также прослушивали их телефонные разговоры. Нарушение приватности налицо. Однако интересно, как поступил бы на ее месте другой человек?

Судя по всему, точно так же. По крайней мере, последний опрос 200 членов советов директоров в американских корпорациях показал: в борьбе с инсайдерами все средства хороши. Судите сами — 73% респондентов уверены, что председатель совета должен быть уполномочен использовать любые законные средства для выявления инсайдеров. Более того, 71% респондентов считает абсолютно нормальным, что председатель совета может просмотреть электронную почту и другую конфиденциальную информацию других членов совета, находящуюся в пределах корпоративной сети. При этом 50% респондентов полагают, будто получение и просмотр телефонных записей других лиц — это вполне нормально. Одновременно респонденты признают, что pretexting (способ получения чужих телефонных записей, при котором лицо представляется телефонной компании в виде настоящего и законного владельца данных записей) — незаконная практика. Не менее любопытно, что более половины опрошенных руководителей считают вполне нормальным следить за передвижениями и контактами инсайдера, как внутри офиса, так и за его пределами.

Другими словами, мы можем сколько угодно говорить о приватности, но когда дело доходит до интересов корпорации, то «все средства хороши» и «победителей не судят». Все тот же опрос показывает, что около 85% респондентов уверены — защита конфиденциальной корпоративной информации более важна, чем право приватности любого сотрудника компании. Причем чуть меньше четверти всех опрошенных руководителей используют «агрессивные методы слежки» за своими сотрудниками часто или очень часто.

Таким образом, можно резюмировать: в корпоративном мире приватности не существует. Законы конкретной страны могут защищать электронные сообщения, телефонные переговоры, частную жизнь и т. д. Например, в США законы защищают всю информацию о входящих и исходящих вызовах на мобильный телефон, а в Греции — даже электронные письма, которые сотрудник написал на рабочем месте. Однако крупную корпорацию это вряд ли остановит. Если уж начнется охота на инсайдеров, руководство пойдет на все, лишь бы перекрыть утечку.

Однако драматизировать ситуацию не следует. Служащие компании имеют неоспоримую защиту от любых ложных обвинений, если их действия на рабочих станциях отслеживаются специальными мониторами, а отправляемые письма фильтруются на наличие конфиденциального содержимого. Ведь никто не протестует, что его заставляют вводить пароль при доступе к компьютеру или предъявлять магнитную карту при входе в помещение. Это не вызывает отрицательной реакции, так как каждый сотрудник понимает: компания обладает секретами и активами, которые необходимо защищать. В случае использования средств защиты от утечек ситуация та же — только на этот раз необходимо отразить угрозу изнутри. Соответственно, система защиты от утечек защищает в том числе самих служащих.

По крайней мере, она позволяет избежать ложных обвинений в адрес добропорядочных работников. Да и в адрес самой компании тоже.

Доказательство невиновности

Оказывается, фирмы тоже довольно часто становятся жертвами ложных обвинений. Просто корпорациям нечего сказать в ответ. Посмотрим, например, на один из вопиющих случаев нарушения приватности в российском обществе. Как говорится, далеко ходить не надо: в декабре 2006 года в продаже появилась банковская база данных, объединяющая сведения сразу из 10 отечественных финансовых компаний. Любой желающий мог всего за 2 тыс. рублей приобрести диск «Отказы по кредитам и стоп-листы банков России» с 3 млн записей о просрочках и неплатежах по кредитам, а также отказах в их выдаче. Исходя из информации, представленной в базе данных, сразу же напрашивался вывод, что утечку допустили все 10 банков: «Русский Стандарт», ХКФ-банк, Росбанк, Финансбанк, Импэксбанк и другие. Более того, характер записей в продаваемой БД однозначно указывает, что украсть ее могли только инсайдеры. В базе содержится информация об имени заемщика, телефоне, домашнем адресе, месте работы и причине попадания в базу — просрочка по кредиту, отказ в выдаче кредита и другие компрометирующие обстоятельства (например, наличие судимости). Дополнительно указан банк — источник этих сведений.

Вывод, что утечка произошла именно по вине инсайдеров, сделан на основании того, что в базе содержалась информация об отказах в выдаче кредитов. Однако эти сведения имеются только в службах безопасности самих банков. Что произошло после того, как приватная база появилась в продаже? Как обычно — официальные лица стали искать крайнего и обвинять в утечке всех подряд. Банки, БКИ (бюро кредитных историй), госструктуры — все начали «кидать камни» друг в друга. В результате пострадал авторитет всего кредитно-финансового сектора страны, а граждане утратили последние крохи доверия к банкам и государству. Однако вполне возможно, что виновата какая-то одна конкретная организация. Тем не менее все остальные никак не могут доказать свою невиновность — они просто не контролируют оборот конфиденциальной информации в своей IT-инфраструктуре.

Таким образом, служащим вряд ли стоит опасаться за свою приватность на рабочем месте. В тех случаях, когда она нарушается самой компанией, сотрудник получает неплохую компенсацию за чувство подсматривания. Это надежная защита от ложных обвинений как для самой организации, так и для каждого из ее работников.

Глобальная приватность

Но особенно остро вопрос приватности встает на просторах Глобальной сети. В чем здесь дело? Проблема в том, что сегодня популярные сервисы аккумулируют просто гигантские объемы приватных сведений граждан. Возьмем, например, Google. Во-первых, это самая популярная поисковая система, имеющая возможность сохранять все запросы пользователей. Во-вторых, многие имеют почтовые ящики на Google Mail, получая в свое распоряжение дисковое пространство более 2 Гбайт. Естественно, все, что там хранится, индексируется системой Google. В-третьих, определенной популярностью пользуется IM-утилита Google Talk. Она как бы завершает создание полноценной экосистемы для пользователя — общайся, с кем хочешь, только в рамках Google. Наконец, в-четвертых, нельзя забывать о Google Desktop и его корпоративных аналогах. Некоторые версии хранят проиндексированную информацию или часть индекса на серверах Google.

Конечно, ни в коем случае нельзя обвинять Google в том, что компания следит за пользователями Интернета, анализирует приватные данные граждан и на этом основании принимает какие-то решения. Однако уже сейчас очевидно: если поисковый гигант захочет это делать, то его вряд ли что-нибудь остановит. Компанию Google довольно часто обвиняют в сотрудничестве со спецслужбами. Совсем недавно Роберт Стил, бывший агент ЦРУ, в прямом эфире обвинил Google в тесном сотрудничестве с ЦРУ. Как известно, несколькими месяцами ранее поисковый гигант демонстративно отказал министерству юстиции США в предоставлении приватных сведений пользователей. Однако, по мнению Стила, отказ Google не более чем лицемерие и игра на публику.

С одной стороны, мы не можем доверять такого рода высказываниям. С другой — угроза нарушения приватности сотен миллионов граждан вполне реальна. Любопытно, что еще 20 лет назад мы не могли себе представить, будто можно собирать и анализировать в реальном времени данные граждан в масштабах страны. Однако теперь речь идет уже о контроле чуть ли не всего человечества.

Они не знали, что делали

Как бы то ни было, угроза приватности исходит не только со стороны веб-компаний. Взглянем, например, на недавний казус с межбанковской системой передачи информации SWIFT. Для справки отметим, что базируется она в Бельгии. Так вот, как выяснили сотрудники европейского бюро по защите информации, руководство SWIFT уже около 5 лет поставляет приватные сведения граждан правительству США. Контакт был налажен после терактов 11 сентября в Нью-Йорке.

Чтобы понять масштабы происходящего, давайте разберемся, чем является SWIFT. SWIFT (Society for Worldwide Interbank Financial Telecommunication) — это Международная межбанковская система передачи информации и совершения платежей. По сути, одна из крупнейших европейских финансовых систем. Ежедневно она обрабатывает около 11 млн транзакций между 7,8 тыс. банками и другими финансовыми организациями из 200 стран мира. В числе прочей информации SWIFT имеет доступ к именам пользователей и номерам счетов.

Аналитический центр InfoWatch подсчитал, что за время сотрудничества SWIFT с правительством США в ЦРУ попали приватные данные сотен миллионов граждан со всего света. Естественно, европейцы недовольны. Поэтому они создали специальную комиссию в составе 25 человек и уже готовы возбудить судебное дело против SWIFT и даже самой Бельгии. Ведь страна не смогла обеспечить выполнение европейских нормативов по сохранности приватной информации. Хотя справедливости ради стоит отметить, что правительство Бельгии ничего не знало о передаче данных за океан. Сейчас руководство SWIFT утверждает, что ни коим образом не хотело нарушать европейского законодательства и ущемлять права граждан. Но министерство финансов США просто вынудило выдать приватные сведения. Кроме того, американцы пообещали сохранить тайну клиентов. Хотя, как известно, секрет, известный троим, уже не секрет. Сейчас объяснения SWIFT выглядят по меньшей мере наивными. Однако дело даже не в том, что чиновники и клерки хотели нарушать, а что не хотели. Важно лишь одно — приватные сведения людей из каждой точки земного шара сегодня могут быть доступны не только спецслужбам, но и крупным корпорациям, международным организациям и т. д.

Приватность размазывается, а порой исчезает вовсе.

Закон безмолвствует

При всех эти утечках и вопиющих нарушениях приватности встает вполне резонный вопрос: разве законы не защищают частную жизнь и личную информацию граждан? Однозначного ответа нет, так как чисто формально нормативные акты содержат абсолютно правильные и справедливые постулаты, но на практике многие эти положения не работают.

Взять хотя бы наш российский федеральный закон (ФЗ) «О персональных данных». В нем описаны требования ко всем организациям, которые хранят или обрабатывают приватные сведения граждан. Согласно этим требованиям — компании и госструктуры обязаны защищать конфиденциальность приватной информации. Требования вполне справедливые, но будут ли они работать на практике — большой вопрос.

Обратимся, например, к результатам исследования «Защита персональных данных по закону», в ходе которого компания InfoWatch опросила 300 профессионалов по IT-безопасности. Подавляющее большинство респондентов (94%) убеждено, что России просто необходим закон «О персональных данных». В то же время 40% опрошенных профессионалов не верят, что закон будет работать на практике (см. диаграмму 1).

Диаграмма 1. Будут ли требования ФЗ работать на практике?

В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%). Таким образом, России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона «О персональных данных» и опубликует официальный стандарт по безопасности приватной информации (см. диаграмму 2).

Диаграмма 2. Препятствия на пути реализации требований ФЗ

Между тем, текущие требования закона признаны большинством голосов (79%) вполне осуществимыми. Более того, 71% организаций уже запланировал внедрение новых IT-продуктов, позволяющих достичь соответствия с положениями закона. Однако без сопутствующих шагов в лице уполномоченного органа и федерального стандарта, ФЗ вряд ли удастся хоть как-то исправить ситуацию.

Если мы снова вернемся к постоянно утекавшим данным из SWIFT, то увидим, что законы даже в самых передовых странах работают не всегда эффективно. Вероятно, правильные нормативные акты вполне могут перекрыть периодические утечки из компаний и организаций, но решить проблему защиты приватности — вряд ли.

Трансформация приватности

На основе всех вышеизложенных аргументов напрашивается простой вывод: в нашем информационном обществе просто не осталось места приватности. Речь идет о любой стране мира, в которой так или иначе используются компьютеры для сбора, хранения или анализа данных.

Хотя на что мы надеялись? Сообщая все свои персональные данные электронному магазину, банку, работодателю, авиакомпании и еще бог знает кому, человек рано или поздно станет жертвой утечки или кражи личности, а также объектом пристальной слежки со стороны сильных мира сего. Причем если речь идет о мониторинге действий служащего на рабочем месте, то здесь собственно приватности мало что угрожает. Напротив, работник получает надежную защиту от ложных обвинений. Но если взглянуть шире, то ситуация выглядит плачевно и о приватности вообще говорить не приходится. Вся информация граждан аккумулируется в базах данных, которые сегодня все же отделены. Однако сильная воля легко может склонить к сотрудничеству владельцев всех этих сведений. Примеры такой «кооперации» мы видели выше на примере SWIFT и, возможно, Google.

В заключение стоит поднять извечный вопрос: что делать? К сожалению, делать нечего. Все приватные сведения уважаемых читателей уже почти наверняка являются достоянием нескольких баз данных. Вероятно, представители некоторых организаций имеют возможность анализировать всю эту информацию прямо сейчас. Единственное, что остается, трансформировать понятие приватности так, чтобы исключить из него некоторые элементы данных, которые уже сегодня являются достоянием третьих лиц.

Комментарии специалистов

Екатерина Дербенцеваконсультант по IT-безопасности компании «Энвижн Груп»

Будучи системным интегратором, мы рассматриваем закон «О персональных данных» как потенциальный драйвер рынка информационной безопасности в России. Да, он не сможет решить проблему приватности в глобальном смысле. То есть не остановит объединение многочисленных баз данных, которые могут интегрироваться либо в обход закона, либо согласно другому закону (например, при создании системы персонального учета населения). Однако новый закон должен повлиять на оборот конфиденциальной информации в стране. По крайней мере появится формальный повод преследовать продавцов приватных баз данных и инсайдеров, сливающих всю эту информацию за любые деньги. Более того, закон должен повлиять на представителей бизнеса, так как граждане, чьи сведения попали в украденную базу, смогут подать в суд и взыскать ущерб с компании, допустившей утечку. Конечно, правоприменительная практика в России свидетельствует, что если истцу удастся доказать свой ущерб из-за разглашения приватных данных, этот ущерб будет сравнительно невелик в рублевом выражении. Однако организации, допускающие утечки часто и/или в больших масштабах, могут столкнуться с коллективными исками. А это уже серьезная проблема, поскольку взыскиваемая сумма ущерба может составить несколько миллионов долларов. К тому же в России почти наверняка найдутся молодые и талантливые адвокаты, которые согласятся судиться с крупной корпорацией, чтобы создать себе имя или же за процент с взыскиваемой суммы. Вот почему влияние закона «О персональных данных» на российский бизнес пока рано списывать со счетов.


Сергей Груздевгенеральный директор компании Aladdin

Понятие «приватность» имеет смысл рассматривать в трех аспектах — с точки зрения конституционных прав и свобод личности, с точки зрения бизнеса и с точки зрения общества. При таком подходе становится понятно, когда речь идет о реальном конфликте интересов двух или более сторон. Как правило, он возникает из-за соблазна использовать приватную информацию в интересах получения прибыли или повышения конкурентоспособности. Именно поэтому политика безопасности организаций, работающих в высококонкурентных или стратегически важных отраслях, содержит жесткие требования о неразглашении важных сведений и допускает контроль переписки и переговоров с целью предотвращения утечки важной информации. Причем обычно сотрудники об этом знают и либо воспринимают это как обоснованное ограничение своей свободы действий, либо ищут другое место работы.

Другое дело, когда речь идет о нарушении законов общества и цивилизованной конкуренции, в частности о злонамеренном перехвате сведений и данных. Противостоять этому явлению с успехом помогает криптография с применением асимметричных алгоритмов шифрования. Она базируется на генерации индивидуальных пар электронных ключей — открытого и закрытого. Причем второй известен только человеку, которому он выдан, и вычислить его невозможно, даже зная открытый ключ. Такая математическая связь ключевой пары обеспечивает возможность защищенного обмена данными в открытом информационном пространстве и используется для формирования и проверки цифровой подписи электронных документов. В идеале данная ключевая пара должна храниться на отдельном носителе и активизироваться только после воспроизведения пин-кода.


Денис Зенкиндиректор по маркетингу компании InfoWatch

Полагаю, что граждане не готовы отказаться от своей приватности, даже несмотря на то, что многие персональные данные уже давно перестали быть какой-либо тайной в силу несовершенства нашего общества и правовой системы. Более того, человечество не готово трансформировать понятие «приватность» и отказаться хотя бы от части той информации, которая потеряла всякую секретность. В этом нет ничего плохого или хорошего — это просто факт. Причем никакие информационные технологии и средства IT-безопасности не смогут решить проблему приватности в глобальном масштабе. Причина в том, что мы вступаем в новый тип общества, который принято называть информационным или даже сверхинформационным. Оглядитесь вокруг — сегодня все наше взаимодействие с окружающими субъектами строится на обмене данными и чаще всего в цифровой форме. Действительно, персональные сведения каждого человека распределены по многочисленным базам, некоторые из них принадлежат другим государствам и иностранным компаниям. Пока эта информация находится в таком разрозненном виде и не распространяется бесконтрольно, мы можем считать, что приватность в целом не нарушается. Однако как только у кого-то появится возможность анализировать всю эту информацию, мы столкнемся с большими проблемами. И по мере накопления персональных данных вопрос приватности будет становиться все острее. Причем мы даже не сможем законодательно запретить объединение всех баз, поскольку это выгодно спецслужбам и крупным корпорациям. Придется искать какой-то другой путь. Сегодня у меня нет готового рецепта. Полагаю, ответ может дать только время.



"Экспресс Электроника"

Комментарии

stud, Tue Nov 17 08:56:58 2009:
Статья туио не о чем, параноидальные соплли...
Egorov, Sat Oct 17 00:06:40 2009:
Да блин, какая приватность, когда начальство своим СофтИнформом почту читает, и по аське переписку читает... "Приватность на рабочем месте не страдает", как же! И всё, между прочим, под флагом борьбы с пресловутыми утечками информации!
Илья, Mon Oct 27 17:23:42 2008:
я счита что суд Украины в первую очередь нарушает все права на приватность тем, что выдают разрешения на прослушивание телефонных разговоров. По данным в 2004 году в Черкасской обл. было выдано 823 разрешения на прослушивание телефонных разговоров. Так если суд нарушает права, то на кого следует опираться гружданам?
Пупсик, Fri Aug 10 12:13:45 2007:
Закон творит сильный - это закон.
В рукодстве страны стоят люди не действующие в интересах страны (причина - недопонимание, корысть, инертность мышления). Пока они там находятся, интересы нашего государства вцелом и его граждан в частности будут нарушаться :(
Из-за выгодного положения у власти эти люди сильны, и отказываться от своего положения добровольно они не будут...
Anon, Mon Apr 23 11:07:52 2007:
О какой прайваси может идти речь когда
в рамках гос. программы создается регистр
населения, а гос.Дума подписывает соглашение
с Ес о трансграничной передаче персональных
данных в обход Коеституции,демократия в
действии!!!

Комментарии заморожены.

Последние комментарии:

Самое интересное:


© 2004–2009 Проект CITCITY.ru