Защита частной информации в онлайне
Чула Кинг
По секрету всему свету
Самая популярная книга в Arthur Andersen & Co. - "Гарри Поттер и огненная чаша". Самое любимое видео в KPMG - "Секс и город", а игрушка в Deloitte & Touche - робот-щенок Tekno. В Ernst & Young питают необычную слабость к DVD "Звуки музыки". Главный хит в PricewaterhouseCoopers - "All That You Can't Leave Behind" в исполнении U2.
Эту и другую информацию о покупательских привычках фирм, университетов, некоммерческих организаций и т. д. можно найти на сайте Amazon.com, в разделе Purchase Circles (данные на 31 августа 2001 г.). Интересно не то, что компания имеет эти данные, а то, что она их публикует.
Чем рискует средний пользователя, который все больше времени проводит в киберпространстве? Почему это должно беспокоить дипломированных бухгалтеров? Что вообще со всем этим делать?
CPA и защита конфиденциальности
В ноябре 1999 г. Конгресс США принял закон Грэмма-Лича-Блайли "О конфиденциальности финансовой информации потребителей" (Gramm-Leach-Bliley, "Privacy of Consumer Financial Information Act" - GLBA).
Дипломированные бухгалтеры, которые составляют налоговые декларации частных лиц, проводят некоммерческие консультации по вопросам налогообложения или оказывают услуги в области финансового планирования, также обязаны соблюдать положения GLBA.
До 1 июля 2001 г. они должны были сообщать о своих правилах в отношении конфиденциальности всем некоммерческим частным клиентам, которым предоставляли услуги. Первое уведомление отправлялось до подписания договора. Если сотрудничество становилось длительным, та же информация сообщалась клиенту ежегодно.
В дополнение к GLBA бухгалтеры руководствуются требованиями этического кодекса штата. Члены AICPA обязаны соблюдать Правило 301 Кодекса Профессионального Поведения AICPA, которое запрещает специалистам, имеющим независимую практику, раскрывать конфиденциальную информацию о клиенте без его явно выраженного согласия.
Согласно разделу 7216 IRC (Internal Revenue Code), считается преступлением, если составитель налоговой декларации раскроет информацию, не связанную с подготовкой документа (за исключением ряда случаев).
Без вины виноватые
Иногда CPA, сам того не желая, может неумышленно обнародовать не только конфиденциальную информацию о клиенте, но и личные данные о себе, своих коллегах или работодателе.
Пример. Джейн получает от коллеги электронное письмо с приложенным файлом, который (как сказано в сообщении) она просила выслать. Джейн открывает приложение и видит незнакомую ей таблицу. Пожав плечами, девушка возобновляет работу.
К тому моменту в компьютере Джейн уже сидит W32/SirCam - червь и вирус. Он составляет подобное письмо, прикладывает к нему случайно выбранный файл типа Word, Excel или .zip и рассылает по всем адресам, найденным в адресной книге. После этого вирус может занять все свободное пространство на жестком диске, сделав невозможным сохранение файлов.
Представим, что вирус выбрал для рассылки сообщение, которое Джейн направляла в налоговое управление, подозревая одного из своих клиентов в мошенничестве. Информация разошлась по множеству адресов, так что Джейн фактически нарушила требования GLBA, этического кодекса штата, Кодекса Профессионального Поведения AICPA и раздела 7216 IRC.
Компьютерные вирусы и черви
Компьютерные вирусы - это небольшие программы, которые запускаются (как правило) без ведома пользователя, заражают выполняемые файлы и создают свои копии.
Компьютерные черви - программы, которые, кочуя из системы в систему, воспроизводят себя без помощи несущего файла или человеческого участия.
Информационная безопасность и Интернет
Вирусы и черви - не единственный источник опасности. Интернет-пользователи работают в среде, где частную информацию легко собрать и передать другим лицам. Web по определению предполагает информационный обмен, а для эффективности некоторых услуг нужен значительный объем данных личного характера.
Например, чтобы посетить сайт, пользователь отсылает запрос на сервер. Запрос содержит: IP (Интернет-протокол) пользователя, дату и местное время, URL (унифицированный указатель ресурса), а также: информацию о провайдере Интернет-услуг пользователя, имя компьютера, тип браузера и операционной системы.
В основном эта информация безвредна и нужна для выполнения запроса. Однако ее можно использовать и для создания профиля поведения пользователей в онлайне.
Собирая подобные данные, компания способна следить за перемещением пользователя в пределах сайта; регистрировать время, которое он провел на каждой странице; отслеживать, какую информацию читал; куда направился, уходя с сайта.
Примерно так Amazon.com собирает информацию для своего раздела Purchase Circles.
Продолжение в следующем выпуске.
Продолжение в выпусках: #165
