Letyshops

Защита частной информации в онлайне

Чула Кинг

По секрету всему свету

Самая популярная книга в Arthur Andersen & Co. - "Гарри Поттер и огненная чаша". Самое любимое видео в KPMG - "Секс и город", а игрушка в Deloitte & Touche - робот-щенок Tekno. В Ernst & Young питают необычную слабость к DVD "Звуки музыки". Главный хит в PricewaterhouseCoopers - "All That You Can't Leave Behind" в исполнении U2.

Эту и другую информацию о покупательских привычках фирм, университетов, некоммерческих организаций и т. д. можно найти на сайте Amazon.com, в разделе Purchase Circles (данные на 31 августа 2001 г.). Интересно не то, что компания имеет эти данные, а то, что она их публикует.

Чем рискует средний пользователя, который все больше времени проводит в киберпространстве? Почему это должно беспокоить дипломированных бухгалтеров? Что вообще со всем этим делать?

CPA и защита конфиденциальности

В ноябре 1999 г. Конгресс США принял закон Грэмма-Лича-Блайли "О конфиденциальности финансовой информации потребителей" (Gramm-Leach-Bliley, "Privacy of Consumer Financial Information Act" - GLBA).

Дипломированные бухгалтеры, которые составляют налоговые декларации частных лиц, проводят некоммерческие консультации по вопросам налогообложения или оказывают услуги в области финансового планирования, также обязаны соблюдать положения GLBA.

До 1 июля 2001 г. они должны были сообщать о своих правилах в отношении конфиденциальности всем некоммерческим частным клиентам, которым предоставляли услуги. Первое уведомление отправлялось до подписания договора. Если сотрудничество становилось длительным, та же информация сообщалась клиенту ежегодно.

В дополнение к GLBA бухгалтеры руководствуются требованиями этического кодекса штата. Члены AICPA обязаны соблюдать Правило 301 Кодекса Профессионального Поведения AICPA, которое запрещает специалистам, имеющим независимую практику, раскрывать конфиденциальную информацию о клиенте без его явно выраженного согласия.

Согласно разделу 7216 IRC (Internal Revenue Code), считается преступлением, если составитель налоговой декларации раскроет информацию, не связанную с подготовкой документа (за исключением ряда случаев).

Без вины виноватые

Иногда CPA, сам того не желая, может неумышленно обнародовать не только конфиденциальную информацию о клиенте, но и личные данные о себе, своих коллегах или работодателе.

Пример. Джейн получает от коллеги электронное письмо с приложенным файлом, который (как сказано в сообщении) она просила выслать. Джейн открывает приложение и видит незнакомую ей таблицу. Пожав плечами, девушка возобновляет работу.

К тому моменту в компьютере Джейн уже сидит W32/SirCam - червь и вирус. Он составляет подобное письмо, прикладывает к нему случайно выбранный файл типа Word, Excel или .zip и рассылает по всем адресам, найденным в адресной книге. После этого вирус может занять все свободное пространство на жестком диске, сделав невозможным сохранение файлов.

Представим, что вирус выбрал для рассылки сообщение, которое Джейн направляла в налоговое управление, подозревая одного из своих клиентов в мошенничестве. Информация разошлась по множеству адресов, так что Джейн фактически нарушила требования GLBA, этического кодекса штата, Кодекса Профессионального Поведения AICPA и раздела 7216 IRC.

Компьютерные вирусы и черви

Компьютерные вирусы - это небольшие программы, которые запускаются (как правило) без ведома пользователя, заражают выполняемые файлы и создают свои копии.

Компьютерные черви - программы, которые, кочуя из системы в систему, воспроизводят себя без помощи несущего файла или человеческого участия.

Информационная безопасность и Интернет

Вирусы и черви - не единственный источник опасности. Интернет-пользователи работают в среде, где частную информацию легко собрать и передать другим лицам. Web по определению предполагает информационный обмен, а для эффективности некоторых услуг нужен значительный объем данных личного характера.

Например, чтобы посетить сайт, пользователь отсылает запрос на сервер. Запрос содержит: IP (Интернет-протокол) пользователя, дату и местное время, URL (унифицированный указатель ресурса), а также: информацию о провайдере Интернет-услуг пользователя, имя компьютера, тип браузера и операционной системы.

В основном эта информация безвредна и нужна для выполнения запроса. Однако ее можно использовать и для создания профиля поведения пользователей в онлайне.

Собирая подобные данные, компания способна следить за перемещением пользователя в пределах сайта; регистрировать время, которое он провел на каждой странице; отслеживать, какую информацию читал; куда направился, уходя с сайта.

Примерно так Amazon.com собирает информацию для своего раздела Purchase Circles.

Продолжение в следующем выпуске.

Продолжение в выпусках: #165

 

 

Реклама: