Огромный общественный резонанс в конце февраля получил факт кражи приватных данных, затронувший все совершеннолетнее население США. Компания ChoicePoint допустила утечку конфиденциальных сведений о 145 тыс. граждан США, находящихся во всех пятидесяти штатах страны.

Таким образом, в руки злоумышленников попали конфиденциальные данные об именах и фамилиях, адресах, номерах социального страхования и водительских прав, отчеты по операциям с кредитными картами, а также некоторая общедоступная информация, собранная ChoicePoint из открытых источников.

Между тем, масштаб инцидента мог быть не в пример шире: компания имела доступ к 19 млн. записей и, судя по отчетам, хранила сведения о каждом совершеннолетнем гражданине страны.

Об инциденте стало известно лишь в конце февраля текущего года, хотя утечка была зафиксирована еще в октябре предыдущего года. Представители компании почти сразу же поставили об этом в известность правоохранительные органы Лос-Анджелеса, так как посчитали, что именно там произошла утечка.

В ноябре 2004 года калифорнийские власти попросили ChoicePoint не оглашать факт кражи конфиденциальной информации, так как это может навредить следственным мероприятиям. Как именно злоумышленники смогли получить доступ к конфиденциальным сведениям неизвестно до сих пор.

Компания ChoicePoint собирает конфиденциальные данные о гражданах США, чтобы контролировать точность осуществляемых ими финансовых операций, например, по кредитным картам. Представители Electronic Privacy Information Center (EPIC), выступающие за защиту электронной приватной информации, уже обвиняли ChoicePoint в слежке за потенциально невиновными людьми и некорректном обращении с полученной информацией. Например, в декабре 2004 года адвокаты организации обратились в Федеральную комиссию по торговле США с просьбой расследовать деятельность компании.

Несмотря на масштаб произошедшего инцидента, общественные организации США взбудоражены совсем другой проблемой: не будь в составе украденной приватной информации записей о жителях штата Калифорния, компания ChoicePoint могла бы вообще не ставить в известность владельцев личных данных о самом факте утечки.

Другими словами, никто бы никогда и не узнал о краже конфиденциальных сведений. Исключительная роль Калифорнии состоит в законе, который обязывает любую компанию, занимающуюся бизнесом в этом штате, сообщить владельцам приватной информации, если кто-то получит к ней неавторизованный доступ. Этот закон введен в действие с июля 2003 года.

Последний инцидент послужил катализатором, побудившим EPIC и Center for Democracy and Technology (CDT), начать кампанию по лоббированию федерального закона, который бы каким либо образом урегулировал действия представителей бизнеса по хранению конфиденциальных данных и при утечках приватной информации.

Защитники личных сведений требуют, чтобы компании, по крайней мере, уведомляли своих клиентов об инцидентах. Заявка на слушания в Конгрессе по соответствующему законопроекту Notification of Risk to Personal Data Act уже была подана 24 января 2005 года сенатором от штата Калифорния Даяной Фейнштейн (Dianne Feinstein).

Если этот закон вступит в силу, то организации, как коммерческие, так и государственные, будут обязаны уведомлять своих клиентах о случаях утечки их конфиденциальных данных сразу же, как только появятся достаточно серьезные основания подозревать о самом факте утечки.

Перспективы Notification of Risk to Personal Data Act на 2005 год еще не ясны. Автор законопроекта подчеркнула, что его продвижение в Конгрессе - очень сложный процесс, но случаи кражи личной информации о сотнях тысяч граждан США существенно упрощают и ускоряют это процесс. Между тем ни у кого не возникает сомнений, что случаи утечки конфиденциальных данных будут происходить и дальше, так что эта проблема требует самого пристального внимания.

Законодательные инициативы очень важны в вопросах хранения электронной конфиденциальной информации и действиях организаций в случае утечек этой информации.

Личные сведения граждан принадлежат самим гражданам вне зависимости от того, являются ли они клиентами какой-то коммерческой компании или государственной организации. Именно поэтому пострадавшая сторона, а это всегда те люди, чьи приватные данные были украдены, должна быть поставлена в известность о факте утечки как можно раньше.

"Проблема утечки приватных данных намного серьезнее, чем может показаться из официальной сводки: нельзя забывать о высоком уровне латентности происшествий подобного рода. Чтобы стимулировать защиту конфиденциальной информации, необходимо задуматься над введением национальных стандартов защиты и обязательных законодательных актов (наподобие акта Сарбаниса-Оксли), регламентирующих хранение личных сведений частных лиц", - комментирует ситуацию Евгений Преображенский, генеральный директор компании InfoWatch.

Действительно, известные случаи утечки конфиденциальных данных – лишь верхушка айсберга. Все остальное скрыто необычайно высоким уровнем латентности правонарушений в этой сфере. В США, например, скрытность преступлений в сфере информационных технологий достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%.

Экстраполируя эти данные, можно утверждать, что статистика является отражением лишь около 10% совершенных преступлений. Большая часть организаций в случае обнаружения инцидента предпочитает не разглашать сведения о нем из-за боязни повредить своему конкурентному положению, имиджу в глазах общественности, а также из-за вероятности негативного влияния на стоимость акций на фондовой бирже.

Каждую неделю в мире фиксируются серьезные случаи утечки конфиденциальной информации, из-за чего страдают как компании, так и частные лица. Проблема, несомненно, требует серьезного отношения и определенных законодательных инициатив. Рано или поздно на путь государственного регулирования и выработки национальных стандартов защиты придется встать и России.