Защита личных данных

В августе 2000 года организация TRUSTe, которая утверждает политики и стандарты защиты конфиденциальности коммерческих сайтов, подверглась нападкам критики, ко- гда компании, консультирующие по вопросам безопасности, нашли cookie-файлы на сайте TRUSTe. Эти cookie-файлы отслеживали трафик сайта. Политика защиты конфи- денциальности, провозглашенная TRUSTe, о такой слежке не упоминала.

Кроме того, бреши в системе защиты безопасности были обнаружены на медицинских сайтах. Например, в августе 2000 года сайт Kaiser Permanente On-Line случайно разо- слал по неверным адресам электронной почты уязвимые личные данные, компромети- рующие личности своих заказчиков. И хотя ущерб оказался сравнительно невелик, не- сколько сообщений все же содержа™ личную информацию, касающуюся не только про- блем со здоровьем пациентов, но также и контактную информацию с номерами счетов. Сайт Kaiser Permanente On-Line - не единственный медицинский сайт, который стал жертвой таких случайностей или брешей в защите. В феврале того же года организация California Healthcare Foundation (Калифорнийский фонд здравоохранения) обследовала 19 сайтов, чтобы оценить надежность их системы защиты конфиденциальности. Про- верку выдержали только три сайта, а остальные 16 нарушали свою собственную полити- ку защиты конфиденциальной информации о здоровье пациентов.

Очевидно, происшествия с этими медицинскими сайтами относятся к крайностям, по- скольку в данном случае разглашенная конфиденциальная информация носила весьма чувствительный характер. К сожалению, такие происшествия вовсе нередки и не исчер- пывают весь спектр проблем защиты конфиденциальности. Большинство пользователей Web, размышляя о проблемах онлайновой конфиденциальности, вовсе не задумываются об общераспространенных- и более изощренных- способах сбора информации, кото- рые могут серьезно нарушить их конфиденциальность.

Независимо от объема и уязвимости данных, которые вы храните на онлайновом носи- теле, надежность их защиты должна быть максимально возможной.

Оценим объем данных о заказчиках, который может храниться на вашем сайте. Здесь могут быть их полные имена, номера телефонов, адреса электронной и обычной почты, и даже номера кредитных карточек. Что там еще вы собрали? Возможно, в вашей базе данных хранятся истории покупок каждого заказчика. В ней могут быть списки с поже- ланиями, рекомендации, количество служащих, имена и фамилии и прочая конфиденци- альная информация, рассеянная по всей базе данных.

Теперь представьте, что кто-то взломал вашу систему и выгрузил номера 100 000 кре- дитных карточек и теперь взломщик угрожает разгласить эти номера, если вы не запла- тите $1 за каждый номер. Задумайтесь, что предпримут ваши заказчики, если эта исто- рия всплывет наружу.

А когда она всплывет? В январе 1999 года некий взломщик попытался вымогать деньги, после того как стащил сотни тысяч номеров кредитных карточек у крупного музы- кального Web-магазина. И хотя это крайний случай, он может легко повториться, если Web-магазины не отдадут высший приоритет вопросам защиты.

Многие пользователи Web отказываются предоставлять личную информацию, особенно номера кредитных карточек, поскольку не верят, что онлайновые компании станут на- дежно хранить эту информацию. Их конфиденциальность и финансовая безопасность зависят от соблюдения тайны, и ради нее они согласны терпеть неудобства.

В апреле 1999 года вышел выпуск Communications of the ACM (Сообщения ассоциации по вычислительной технике). В нем Хоффман (Hoffman) и соавторы сообщали, что большинство пользователей Web, которые никогда и ничего не покупали на онлайновых сайтах, указывали, что основной причиной этого были вопросы конфиденциальности и защиты данных на сайте. Более того, чем опытен пользователь Web, тем большее значе- ние он придает этому вопросу.

Почему покупатели Web-магазинов так озабочены проблемой конфиденциальности и безопасности? Возможно, пользователей Web настораживает то широкое внимание средств массовой информации, которое привлекают случаи утечки конфиденциальной информации и взлома системы защиты. И эта обеспокоенность исчезнет только тогда, когда онлайновое сообщество приложит дополнительные усилия для защиты уязвимой конфиденциальной информации от алчущих глаз орудующих в Web злоумышленников. Подробнее мы обсудим вопросы защиты в Главе 27, в которой научим вас сводить к ми- нимуму риск нарушения целостности данных и конфиденциальности.

Продолжение темы:

Полезная информация