Next: Why I can’t sleep soundly with blockchain, being the cypherpunk, Previous: Преимущества и недостатки ZFS, Up: Articles
В прошлый четверг Equifax сообщила об утечке данных, затронувших 143 млн. клиентов США, около 44% населения. Это крайне серьёзная утечка. Хакеры имеют доступ к полным именам, номерам социального страхования, датам рождения, адресам и номерам водительских удостоверений – как-раз тот вид информации, который используется преступниками для имперсонификации жертв для банков, компаний кредитных карт, страховых компаний и другого бизнеса уязвимого к мошенничеству.
Много сайтов публиковало руководства для защиты себя от того что произошло. Но если вы хотите предотвратить возникновение такого рода вещей, то ваше единственное решение это урегулирование правительством (чего похоже ещё не будет).
Рынок не может исправить это. Рынки работают потому что покупатели выбирают между продавцами, а продавцы соперничают за покупателей. В данном же случае, если вы не заметили, вы не клиент Equifax. Вы их продукт.
Это происходит потому что ваша персональная информация ценна, а Equifax занимается её продажей. Компания более похожа на агентство кредитования. Это посредник данных. Она собирает всю информацию о нас, анализирует, а затем продаёт.
Её клиенты это люди и организации которые хотят купить информацию: банки, ищущие как вам одолжить денег; землевладельцы, решающие арендовать вам жильё; работодатели, решающие нанять вас; компании пытающиеся понять являетесь ли вы выгодным клиентом – все кто хочет вам что-то продать, даже правительства.
Это не только Equifax. Это возможно одна из самых крупных компаний, но существует от 2500 до 4000 других посредников данных, собирающих, хранящих и продающих информацию о вас – о практически всех из них вы никогда не слышали и не имели отношений.
Капитализм слежки правит Интернетом и, иногда кажется, что все все за вами следят. Вы тайно отслеживаетесь на практически каждом посещаемом коммерческом сайте. Facebook это крупнейшая организация слежки, которое человечество когда-либо создавало – сбор данных о вас это её бизнес модель. У меня нет Facebook учётной записи, но Facebook всё равно хранит на удивление полное досье на меня и моих связей – в случае если я когда-нибудь решу к ним присоединиться.
У меня также нет учётной записи Gmail, потому что я не хочу чтобы Google
хранил мою почту. Но я уверен что у них всё равно есть половина моих
сообщений, потому что так много людей с которыми я общаюсь, имеют их
учётную запись. Я даже не могу избежать этого, отказываясь не писать на
gmail.com адреса, потому что я никак не смогу узнать размещается ли
newperson@company.com на Gmail.
Повторюсь, многие компании которые следят за нами, делают это тайно, без нашего известия или согласия. И в большинстве случаев мы не можем уйти от этого. Иногда это компания типа Equifax, которая просто нам никак не отвечает. Иногда это компания типа Facebook, которая является монополией из-за своего колоссального размера. А иногда это наш провайдер сотовой связи. Все они решили следить на нами, а не конкурировать за предоставление приватности своим клиентам. Безусловно вы можете сказать людям прекратить использовать email или сотовую связь, но это немыслимо для большинства людей XXI века в Америке.
Компаниям собирающим и продающим наши данные не нужно хранить их безопасно чтобы завоевать долю рынка. Им не нужно перед нами отвечать, их продуктам. Они знают что больший доход можно получить сэкономя деньги на безопасности, закрыв глаза на очередные новости прессы о потере данных. Да, мы единственные кто страдает когда преступники получают наши данные или наша приватная информация становится общедоступной. Но на кой чёрт Equifax париться об этом?
Да, для Equifax это неприятность – на этой неделе. Вскоре другая компания потеряет данные и мало кто вспомнит аналогичную проблему Equifax. Кто-нибудь помнит прошлый год когда Yahoo подтвердила раскрытие персональных данных миллиарда пользователей в 2013-ом и ещё пол миллиарда в 2014-ом?
Подобные рыночные провалы не новы для информационной безопасности. Мало чего предпринимается для безопасности в любой индустрии пока не придёт государство. Вспомните о еде, фармацевтике, машинах, самолётах, ресторанах и условиях труда.
Рыночные провалы, подобные Equifax, могут быть решены только вмешательством государства. Регулируя практики безопасности компаний хранящих наши данные, и наказывая компании не выполняющих требования, государства могут увеличить цену провала безопасности достаточно высоко, чтобы безопасность оказалась более дешёвой альтернативой. Они также могут дать возможность обычным лицам, потерпевшим от подобных утечек, от публикации персональных данных, постоять за себя.
В любом случае, возьмите на заметку рекомендуемые шаги для защиты себя от кражи личности в свете утечек Equifax, но учитывайте что эти шаги будут работать только в некоторых пределах, а большая часть безопасности данных не в ваших руках. Возможно будет вовлечена Федеральная Торговая Комиссия, но не по причине "нечестных и обманчивых торговых практик", так как тут они ничего не могут сделать. Возможно даже будет какой-то закон, но, так как сложно понять границу между вами и информационными посредниками связанную с причинённым вредом, то суды вряд ли будут на вашей стороне.
Если вам не нравится насколько Equifax была небрежна с вашими данными, то не тратьте время и силы на жалованием на Equifax. Жалуйтесь на ваше правительство.
© 2017, Брюс Шнайер (перевод Сергея Матвеева), On the Equifax Data Breach