Все под контролем: Кто и как следит за тобой
Шрифт:
Электронное письмо другого рода я получил от женщины, жившей в многоквартирном доме и начавшей нервничать, когда менеджер здания начал отпускать замечания по поводу одежды, которую она надевает на ночь. В конечном счете она обнаружила, что в ее спальне установлена скрытая видеокамера. Женщина обратилась в местную полицию, но там ей сказали, что это не нарушает закон об ограничении подслушивающих устройств, поскольку он касается лишь звукозаписывающей аппаратуры. Ей посоветовали просто найти новое жилье.
Атаки на приватность продолжаются
Это был тяжелый год для приватности. Когда в ноябре 1999 года эта книга вышла из печати, рекламное интернет-агентство Doubleclick как раз закончило процесс слияния с занимающейся маркетинговыми исследованиями фирмой Abacus Direct. Doubleclick планировало скомбинировать свою собственную базу данных по предпочтениям пользователей Интернета, – полученную путем обработки статистики посещения и регистрационных форм web-серверов, – с базой данных Abacus, содержащей имена, адреса и демографические сведения о потребителях. Сообщение об этом вызвало бурю протестов со
Мы стали свидетелями того, как многочисленные ошибки, недочеты в безопасности, просто небрежность и банкротства превратили радужные перспективы Интернета в информационное болото, в котором практически не оказывается внимания и уважения приватности личности. Рассмотрим следующие факты.
• Консультант по вопросам компьютерной безопасности Ричард Смит [Richard Smith], основатель и бывший президент Phar Lap Software, превратил поиск web-сайтов, нарушающих приватность, в некий вид домашнего бизнеса. Смит специализируется на анализе кода, используемого для создания web-страниц, с целью нахождения кода, передающего информацию между различными организациями. Например, в марте 2000 года Смит обнаружил, что web-сайт Intuit по неосторожности допускает передачу рекламодателям информации, вводимой пользователями на странице финансового калькулятора. [250] Эта утечка дает рекламодателю возможность узнать, что пользователь ищет возможность получить кредит в сумме 30 тысяч долларов на приобретение машины или 500 тысяч долларов на приобретение дома. Intuit заявила, что утечка данных была случайной и исправила ошибку сразу же, как только она была обнаружена.
250
Junnarkar, Sandeep, «Intuit plugs leak Doubleclick», CNET News.com, 2 марта 2000. См.: http://news.cnet.com/news/0-1007-200-1562341.html.
• Несмотря на то что жалобы на непрошеную электронную почту являются самыми распространенными среди пользователей Интернета, компании, собирающие адреса электронной почты, не защищают их. Например, в марте 2000 года программная ошибка привела к тому, что Trans World Airlines разгласила электронные адреса 80 % подписчиков своего списка рассылки Dot Com Deals. В сентябре 2000 года компания DigitaliConvergence столкнулась с проблемой в безопасности, приведшей к тому, что были разглашены имена и электронные адреса всех клиентов, установивших выпускаемый компанией сканер штрих-кодов и зарегистрировавших продукт. Компании заявили, что воспринимают происшедшее со всей серьезностью: «Мы сожалеем о причиненных неудобствах. Мы устранили проблему и приняли дополнительные меры предосторожности во избежание появления подобных проблем в дальнейшем», – сказал технический директор DigitahConvergence Дуг Дэвис [Doug Davis] в выпущенном компанией пресс-релизе. [251] Но если компании действительно воспринимают эти угрозы серьезно, они в первую очередь должны тратить больше времени и денег на проверку своих систем для предотвращения подобных проблем.
251
«DigitalConvergence Experiences Electronic Security Breach», Digital Convergence, 15 сентября 2000. См.: http://www.digitalcon-vergence.com/news/20000915.html.
• Многие компании продолжают сталкиваться с хорошо подготовленными проникновениями в их банки данных с кредитными картами. В январе 2000 года хакер под псевдонимом Максус связался с онлайновым магазином CD Universe, заявив, что похитил 350 тысяч имен и номеров кредитных карт с web-сайта компании. Хакер запросил 100 тысяч долларов за возврат информации и в подтверждение серьезности своих слов опубликовал несколько тысяч имен и номеров в Интернете. [252] На Максуса началась облава, но результат был неутешительным. В марте 2000 года с web-сайта розничной торговли Salesgate.com было похищено около 20 тысяч записей о клиентах, включая номера кредитных карт и другую персональную информацию. [253] В сентябре 2000 года Western Union сообщила о хищении с ее сайта подробной информации о кредитных картах 15 700 клиентов.
252
Wolverton, Troy, «FBI probes extortion case at CD store», CNET News.com, 10 января 2000. См.: http://news.cnet.com/news/0-1007-200-1519088.html.
253
Borland, John, «E-commerce site breached by credit card thieves», CNET News.com, 1 марта 2000. См.: http://news.cnet.com/news/0-1007-200-1562239.html.
• Наконец, банкротство Интернет-магазина Toysmart.com показало, что так называемая «добровольная» политика защиты приватности просто не может ее защитить. Еще в то время, когда Toysmart.com была процветающей фирмой, она приобрела уважение многих клиентов, заявив, что никогда не продаст список своих клиентов – мера безопасности, очень важная для родителей малолетних детей. Но когда дело дошло до аукциона, Toysmart объявила, что на продажу выставляется все ее имущество,
254
Farmer, Melanie Austria, «39 states object to sale of Toysmart's customer list», CNETNews.com, 21 июля 2000. См.:news/0-1007-200-2307727.html.
Где же ответ?
Неразбериха с приватностью продолжается, поскольку американский бизнес и правительственные круги испытывают нехватку формальных руководств и советов экспертов по методикам обеспечения надлежащего уровня защиты приватности. Такого нет в других странах. Например, после того как публичная библиотека Ванкувера (Британская Колумбия) установила сеть из 30 камер видеонаблюдения для предотвращения хищений и вандализма, специальный уполномоченный по вопросам приватности Британской Колумбии провел инспекцию здания. После он предоставил отчет, в котором показал, как сеть наблюдения может быть изменена, чтобы лучше выполнять свое предназначение по предотвращению краж и одновременно меньше нарушая приватность личности. [255] Но, в отличие от Канады, Европы и Гонконга, Соединенным Штатам не достает как законодательных актов, устанавливающих минимальные стандарты обеспечения приватности, так и занимающихся регулированием этих вопросов агентств, которые могли бы консультировать компании и правительственные учреждения по вопросам создания приемлемой политики защиты приватности.
255
Подробности отчета можно найти по адресу http://www.oip-cbc.org/investigations/reports/invrptl2.html.
Конечно, правительство США продолжает настаивать на том, что нет необходимости в создании законодательных актов, всесторонне регламентирующих защиту приватности личности, поскольку вполне достаточно добровольно устанавливаемой политики, несмотря на тот факт, что Федеральная комиссия по торговле докладывала конгрессу США о неотложной необходимости принятия новых законодательных актов в области приватности. [256]
Вместо того чтобы сопротивляться принятию законодательных актов в области приватности, индустрия США должна сфокусироваться на разработке набора правил и методик по соблюдению приватности, которые были бы приемлемы как для Интернета, так и для обычной жизни. Эти методики должны учитывать как директиву Евросоюза о персональной информации [European Union's Directive on Personal Information], так и выпущенное ОЭСР в 1980 году Руководство по контролю над защитой приватности и перемещением через государственные границы персональных данных. (ОЭСР – Международная организация по экономическому сотрудничеству и развитию, объединяющая 29 стран-членов и занимающаяся обсуждением, развитием и работами по улучшению экономической и социальной политики.) В конце концов, американские компании ведут бизнес в Европе, Канаде и многих других странах, уже имеющих соответствующие законы в области приватности, базирующиеся на этих принципах. Эти компании лицемерят, когда говорят, что законодательные акты по защите приватности могут стать неприемлемой преградой их бизнесу.
256
Mariano, Gwendolyn, «FTC to recommend stronger privacy legislation to Congress», CNET News.com, 22 мая 2000. См.: http:// news.cnet.com/news/0-1005-200-1926088.html.
История с MetroCard
Через день после того, как я начал свой «книжный тур» [p82] с этой книгой, в Нью-Йорке состоялось мое радиоинтервью репортеру «Голоса Америки» Ларри Фройнду [Larry Freund]. Фройнд передал мне опубликованную в New York Post статью, описывающую, как полиция Нью-Йорка получает доступ к данным из компьютеров системы метрополитена. Похоже, что администрация метрополитена [Metropolitan Transit Authority, МТА] запрограммировала компьютеры на запоминание времени и места каждого использования всех карточек MetroCard в городе. Полиция прослышала об этой базе данных и взяла за практику получать данные о проходе через турникеты метро задержанных ею людей: один звонок в управление метрополитена, и полиция получала подробную распечатку, с указанием всех станций метро, где была использована карточка задержанного.
p82
Тур с целью продвижения книги, включающий встречи с читателями и т. п.
Согласно статье из Post, полиция уже неоднократно пользовалась этой возможностью для опровержения алиби. В одном из случаев человек был задержан по подозрению в совершении кражи в магазине. Подозреваемый заявил, что не покидал Стейтен Айленд в день преступления, но, согласно данным компьютера, его MetroCard была использована через пять минут после совершения преступления на станции метро, находящейся рядом с магазином. Автор статьи в Post рассказывал еще о нескольких случаях, когда система опровергла алиби, и об одном случае, когда алиби было доказано (что заставило полицию искать другого подозреваемого).