Приватные данные: кризис-2006

На место плохих приходят еще худшие

(с) Стивен Спилберг

На минувшей неделе в США ряд крупнейших компьютерных компаний выступили в непривычной для себя роли - законодателей. В совместно подписанном документе говорится, что законопроект должен обеспечить "защиту компьютерных пользователей от незаконного сбора и использования их личной информации". Обращение подписали двенадцать компаний: Google, eBay, Microsoft, Intel, Sun, Hewlett-Packard, Oracle, Symantec, Kodak, Eli Lilly, Procter & Gamble и Hewitt and Associates. Судя по всему, скоро этот список увеличится.

Между тем подобная инициатива - откровенная попытка сместить фокус общественного внимания в сторону от реальной проблемы. По мнению большинства экспертов по информбезопасности, чаще всего кража ценных данных (в том числе информации о кредитных картах) происходит не из-за чьего-то злого умысла (например, хакеров), а по беспечности сотрудников компаний, которые хранят конфиденциальные данные в незашифрованном виде и теряют их в самых неожиданных местах.

Один из самых свежих подобных случаев произошел недавно в Управлении по делам бывших военнослужащих США: там были утеряны данные 26,5 млн. ветеранов и военнослужащих. Они хранились в незашифрованном виде в ноутбуке, украденном из дома работника Управления в пригороде Вашингтона.

Не далее, как 2 июня представители розничной продуктовой сети Royal Ahold NV сообщили, что их подрядчик Electronic Data Systems утерял ноутбук с личной информацией на большое количество пенсионеров и бывших работников компании Ahold. Попросту говоря, работник EDS сдал ноутбук в багаж перед авиаперелетом. По прибытии рейса ноутбука уже не было. А еще раньше инвестиционная компания Ameriprise Financial сообщила об утрате внутренних идентификационных номеров счетов 158 тыс. клиентов в результате кражи ноутбука из автомобиля работника. Работник должен был зашифровать данные, которые содержались в двух файлах, однако он этого не сделал, за что и был впоследствии уволен.

По данным американской организации Privacy Rights Clearing House, которая наблюдает за случаями воровства данных, с июня 2005 года в США произошло не менее 29 ставших известными эпизодов утери или кражи ноутбуков с такими данными, как номера социального страхования, медицинские карты и адреса миллионов людей. Правда, чаще всего так и не обнаруживается никаких свидетельств того, что украденные данные были использованы мошенниками. Обычно воров интересует только сам ноутбук, а вовсе не содержимое его жесткого диска.

Компании, которые уже столкнулись с воровством ноутбуков, реагируют принятием более строгих мер безопасности. Например, в компании Ernst & Young имеется 30 тыс. ноутбуков, которыми пользуются ее консультанты, и все содержимое этих компьютеров шифруется. Однако в начале нынешнего года, когда такая политика еще только начала проводиться, из автомобиля одного сотрудника был украден ноутбук с незашифрованной информацией. Вместе с ним пропали имена, адреса и информация о кредитных картах около 243 тыс. клиентов сети Hotels.com, обслуживаемой Ernst & Young.

Уже сейчас во многих штатах США установлено требование, согласно которому компании и организации, хранящие личную информацию, обязаны информировать общественность о случаях утечки данных. Однако эти же законы не требуют уведомлять общественность, если утраченные данные были зашифрованы. Сейчас существует великое множество разнообразных инструментов для шифрования, включая ПО и специальные микросхемы. Тем не менее, многие неохотно пользуются такими средствами, так как утеря ключа перекрывает доступ к информации, а программы шифрования замедляют его. Положение может измениться, если производители компьютеров начнут продавать ноутбуки со встроенными средствами шифрования.

Однако любые меры безопасности будут работать, только если они реально выполняются. В большинстве случаев ноутбуки терялись или воровались, когда работники нарушали корпоративные правила, оставляя компьютеры в припаркованных автомобилях или у себя дома. И обычно данные, которые должны были быть зашифрованными работником, оказывались незашифрованными.

Виктор ДЕМИДОВ

Версия для печатиВерсия для печати

Номер: 

26 за 2006 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!