Секретность данных в интернете

Секретность и надежность в интернете

Веб-сайт представляет собой крайне значимый компонент организации, но и он не защищен от определенных опасностей. В предыдущих лекциях рассказывалось об угрозах безопасности в интернете. К сожалению, при реализации таких нужных элементов, как определение секретности, возникает еще больше угроз безопасности. Жалобы на секретность не нарушают надежности сайта только в том случае, если они не сохраняются на сайте.

Определения секретности и Федеральная торговая комиссия США

Самым известным примером компании, понесшей ответственность за свои обещания, присутствовавшие в определении секретности сайта, является компания Eli Lilly, крупнейший производитель фармацевтических препаратов (в частности, антидепрессанта Prozac, мировые продажи которого с 1995 по 2000 г. составили более двух миллиардов долларов). С 2000 г. сайты компании lilly.com и prozac.com предлагали посетителям подписаться на услугу под названием "Medi-messenger", которая отправляла сообщения по электронной почте с напоминанием о необходимости пройти или продолжить лечение. Примерно 600 – 700 человек предоставили свои адреса электронной почты и начали прием оповещений.

В 2001 г. Lilly решила закрыть данную услугу, и 27 июня отправила соответствующие уведомления подписчикам по электронной почте. К сожалению, это сообщение было отправлено всему списку единовременно, что привело к случайному раскрытию адресов электронной почты всех получателей в поле "To" ("Кому") сообщения. Результаты этого были, мягко говоря, неприятными, начиная с большого количества антирекламы, и заканчивая внутренним разрушением компании и внешним судебным процессом. Некоторые получатели сообщения решили отстаивать свое право на секретность и обратились в организацию American Civil Liberties Union (CALU) (Американский Союз человеческих свобод), который передал дело в Федеральную торговую комиссию. Федеральная торговая комиссия составила жалобу на компанию Lilly, указав на то, что в определении безопасности, размещенном на сайтах lilly.com и prozac.com, в частности, говорилось: "Eli Lilly и Компания уважает секретность посетителей своих веб-сайтов и считает важным сохранение секретности посетителей при их работе с данными ресурсами". Федеральная торговая комиссия заявила, что "заявленные на сайтах Lilly секретность и конфиденциальность были ложными, так как Lilly не обеспечила необходимых внутренних мер для сохранения секретности информации о потребителях, что привело к непреднамеренному разглашению 27 июня личной информации (адресов электронной почты) пользователей программы Medi-messenger".

Ответное заявление, направленное Федеральной торговой комиссии, повлекло за собой значительные судебные и административные расходы Lilly. Чтобы предотвратить подобные инциденты, компания наложила запрет на адресацию сообщений электронной почты более чем одному пользователю (можно не быть специалистом по электронной почте, чтобы понять, насколько обременительна эта задача). Между тем, нужно было собрать и изучить сотни страниц документов перед ответным обращением в Федеральную торговую комиссию, которая прибегла к услугам сторонних специалистов по секретности для помощи в проведении анализа. (Моя компания, ePrivacy Group, предоставила рекомендации Федеральной торговой комиссии по этому поводу; вся информация является общедоступной и находится на сайте http://www.ftc.gov.)

В конечном счете, компания Lilly достигла соглашения с Федеральной торговой комиссией, в котором указывалась недопустимость нарушения прав человека и требование привести компанию в соответствие с большим перечнем условий, включавших в себя следующее.

• Создать и осуществлять поддержку четырехэтапной программы по обеспечению информационной безопасности, включающей в себя действенные административные, технические и физические меры защиты персональной информации потребителей от каких бы то ни было угроз, связанных с безопасностью данных, их конфиденциальностью или целостностью.
• Обеспечить защиту информации от несанкционированного доступа, использования и разглашения.
• Назначить персонал для координации и контроля работы программы.
• Определить возможные внутренние и внешние угрозы безопасности, конфиденциальности и целостности личных данных, включая опасности, связанные с недостаточным опытом сотрудников.
• Учесть любые неидентифицированные опасности в каждой области деятельности, будь то действия сотрудников или агентов, включая управление и обучение персонала; следить за работой информационных систем, осуществляющих обработку, хранение, передачу или разглашение личной информации; предотвращать и осуществлять ответные действия по отношению к атакам, вторжениям, несанкционированному доступу или другим нарушениям безопасности информационных систем.

Все это должно выполняться любой ответственной компанией, однако теперь компании Lilly нужно провести сложную работу по документированию этих превентивных операций, предоставить сведения правительству и выполнять их под строгим надзором с возможностью дальнейших санкций в случае, если правительство будет недовольно положением дел. Приняв все это во внимание, можно удивиться, каким же образом возникшая проблема "всплыла" на столь высокий уровень. Были у компании Lilly свои политики и процедуры по защите секретной информации о клиентах? Разумеется, были. Федеральная торговая комиссия обнаружила, что сотрудники, работавшие с программой электронной почты, не были осведомлены о секретности определенной информации. То есть программа, с помощью которой было отправлено роковое сообщение, не была протестирована настолько, насколько это требовалось.

Важно. Сообщения электронной почты не шифруются по умолчанию. Отправка любой секретной информации через электронную почту без шифрования представляет собой риск. Например, в случае с компанией Lilly, даже не принимая во внимание непреднамеренное разглашение, существовала опасность разглашения данных каждого, кто получал или читал электронные сообщения от службы оповещения Prozac через локальную сеть на своей работе. Сетевой администратор с помощью инспектора пакетов или другой сотрудник, создавший резервную копию почтового сервера, мог просмотреть содержимое сообщения и сделать из этого выводы о личной жизни сотрудника. Имейте в виду, что упомянутый ранее HIPAA ставит вне закона использование нешифруемой электронной почты для передачи персональной медицинской информации.

Ознакомившись с общедоступными документами, связанными с этим случаем, можно сделать вывод о том, что Федеральная торговая комиссия была бы более снисходительной, если бы компания создала видимость того, что ее сотрудники прошли необходимое обучение. Федеральная торговая комиссия неоднократно заявляла о том, что лучшим способом предотвращения дальнейших инцидентов является обучение сотрудников. Менее очевидны принятые меры по обеспечению секретности личных данных клиентов.

Определения секретности и P3P

Если послушать некоторых правозащитников, представление о политиках секретности и P3P значительно изменится. Они говорят о том, что в P3P не требуется принуждение или компенсация. Действительно, возможно создать политики P3P так, чтобы они выглядели подобающим образом, даже если вы не хотите обеспечивать соответствие функциональности сайта политикам (если руководствоваться таким подходом, можно вызвать гнев членов Федеральной торговой комиссии и другие санкции). В то же время применение P3P в IE6 объясняется адвокатами как "вынужденное принятие" некорректного стандарта секретности. Некоторые высказывали мнение, что фильтры P3P "наказывают администраторов посредством блокировки или задерживания их элементов cookie" (слова Бенжамина Райта, автора Закона об электронной коммерции [Aspen Law & Business, 1990-2000]). По словам Райта, для любой организации, правительственной службы или другой структуры язык кодирования P3P представляет собой угрозу судебных процессов. Написанная на нем политика секретности в большинстве случаев подвергает компанию ответственности. Политика секретности, даже написанная на компьютерных языках, может на легальных основаниях иметь юридическую силу, как контракт. В судебных процессах, проходивших в 1999 г., истцы вынудили US Bancorp заплатить 7,5 миллионов долларов за несоответствие положениям, указанным в политике секретности на веб-сайте этой компании.

По мнению Райта, перед веб-администраторами стоит дилемма: как удовлетворить техническим требованиям IE6 для кодов P3P, чтобы не возлагать на политику секретности лишнюю ответственность. В качестве выхода из положения он предлагает разработать отказ от ответственности, написанный в виде нового кода на языке P3P. Новым кодом является DSA – сокращение от "disavow P3P and any liability it carries" (отказ от ответственности за P3P). Веб-администраторы могут использовать DSA в "компактных" политиках секретности P3P, руководствуясь следующим определением.

Символы DSA в компактной политике секретности P3P означают следующее: коды P3P и так называемые политики секретности P3P, которые мы публикуем, не имеют значения и не несут обязательств или ответственности. Они являются вымышленными. Мы отказываемся от какой-либо значимости этих кодов и политик, а также игнорируем все аспекты протокола P3P. Мы применяем коды P3P только в качестве технических мер, позволяющих нашему сайту правильно функционировать. Некоторым браузерам требуются эти коды для выполнения элементов cookie. Использование нами P3P никак не связано с какими-либо политиками данных и секретности, которыми мы можем руководствоваться. Для получения дополнительной информации посетите сайт http://www.disavowp3p.com.

Здесь вы видите одно из возможных решений вопроса, связанного с использованием P3P, но предварительно следует представить его в юридический отдел. Необходимо выяснить, является ли P3P-код достаточно законченным, чтобы соответствовать исходным целям его создателей, или от него нужно отказаться, как от неудачной попытки автоматизировать то, что более эффективно выполняется при помощи компаний, придерживающихся четких стандартов, и людей, хорошо осведомленных в юридической области.