Отчет EFF по IT-безопасности. Кто нас прикрывает?

Доверяя свою личную информацию различным сервисам, можем ли мы быть уверены, что кто-то не воспользуется ей без нашего ведома?

EFF разбирается, кто нас защищает лучше.

Когда правительству США приходится лезть во все тяжкие, чтобы получить от крупнейших интернет-компаний данные об их пользователях, то Verizon, AT&T, Apple и Yahoo не особенно заинтересованы в защите населения в целом, как это показывает отчет Фонда электронных рубежей (Electronic Frontier Foundatoun, EFF) «Кто может вас защитить?». В то же время сеть Twitter и провайдер Sonic.net получили «проходные баллы» по всем шести критериям EFF.

EFF изучает, какая компания лучше защищает пользовательские данные.

В докладе рассматриваются способы, которыми провайдеры онлайн-сервисов отвечают на запросы правительства о получении пользовательской информации. EFF основывает доклад на ответах на шесть основных, с их точки зрения, вопросов о корпоративной политике защиты, заданных группе крупных и влиятельных интернет-компаний. Вопросы такие:

  • Требует ли компания ордер на запрос о переписке?
  • Сообщает ли компания о правительственных запросах на пользовательскую информацию своим клиентам?
  • Публикует ли компания «отчеты прозрачности»?
  • Публикует ли компания рекомендации и указания от правоохранительных органов?
  • Борется ли компания за права пользователей на конфиденциальность их информации в судах?
  • Отстаивает ли компания права пользователей в Конгрессе?

Только Sonic.net и Twitter получили шесть звезд, то есть только они смогли честно ответить утвердительно на все эти вопросы. Только Verizon получила нулевые звезды, что означает, что компания искренне на все вопросы EFF ответила отрицательно. Google, кажется, единственная компания, которая совершила некий регресс в этом году. В докладе за прошлый год Google получила звезду за вопрос о сообщении пользователям о государственных запросах их данных. В этом году компания ввела несколько неоднозначные формулировки в свою политику конфиденциальности, указав, что будет сообщать пользователям о запросе их личной информации только «в случае необходимости». Естественно, EFF не дал им звезду в этой категории, что может означать, что информация в почтовом ящике Gmail отныне не такая надежная, как раньше. Как отметил фонд EFF, это не единственный способ, каким компании могут встать на защиту конфиденциальности пользователей, но предложенный тест весьма показателен.

Как отметил фонд EFF, это не единственный способ, каким компании могут встать на защиту конфиденциальности пользователей, но предложенный тест весьма показателен.

Компании, включенные в исследование EFF, такие: крупный интернет-хостер и торговый гигант Amazon, самая дорогая технологическая компания в мире Apple, крупные операторы сотовой связи AT&T и Verizon, интернет-провайдеры Comcast и Sonic.net, облачные хранилища Dropbox и SpiderOak, самая густонаселенная социальная сеть в мире Facebook, геолокационный сервис Foursquare, компьютерные и интернет-гиганты Google и Microsoft, социальная профессиональная сеть LinkedIn, когда-то лидирующая социальная сеть MySpace, социальные сети микроблогов Twitter и Tumblr, система управления контентом и блог-хостинг-провайдер WordPress и «делающая вид, что все еще находится на плаву», компания Yahoo. Вы можете увидеть, как каждая из этих компаний ответила на опрос:

EFF разобрался, кто реально защищает наши данные.

Раньше, если правительство США хотело получить доступ к информации о своих гражданах в рамках расследований прокуратуры или полиции, требовалось через суд получить ордер, дающий право на проведение обысков в домах или офисах лиц, представляющих интерес для правоохранительных органов. В ряде случаев вместе с ордером судья давал разрешение на прослушивание телефонных переговоров и проверку всех почтовых сообщений. Это было в недавнем XX веке. Сейчас же, как мы понимаем, на дворе век информации, в котором, как это следует из названия, информация о человеке размыта как никогда. Помимо прослушивания телефонных разговоров, почтового мониторинга, обыска в домах и офисах следователям приходится изучать интернет-деятельность подозреваемого. В отличие от телефонных разговоров, физического поиска и изъятия, а также мониторинга почты, что четко регламентируется в соответствии с законодательством США, нет никаких четких прецедентов защиты пользовательской информации, хранящейся онлайн.

Фонд EFF борется, чтобы изменить это, но такой драконовский закон, как Патриотический акт, был написан еще тогда, когда компьютеры были размером с теннисный корт, а другие спорные инициативы администрации, такие как необоснованное прослушивание телефонных переговоров в рамках программы национальной безопасности, были не так остро восприняты населением. Хорошая новость, которая следует из доклада, состоит в том, что налицо тенденция усиления надежности защиты личной информации в соответствии с отраслевыми стандартами, особенно когда дело касается информирования клиентов о правительственных запросах и реакции самих компаний на эти запросы.

Мы обязаны призывать должностных лиц, отвечающих за конфиденциальность нашей информации, следовать путем Twitter и Sonic.net и делать все от них зависящее для защиты пользовательских данных.

Существует старая поговорка: «Плохо быть правым, когда власть неправа». В соответствии с ней, как я уже говорил, если вы делитесь информацией, которая идет вразрез с законами или взглядами вашего государства, то вы должны быть крайне осторожными и избегать эти компании.

Существует еще одна поговорка, которая гласит: «Если вы не сделали ничего плохого, то вам нечего скрывать». Это нонсенс. Просто потому, что вы не делаете ничего дурного, не означает, что вы не можете быть под постоянным надзором властей. Хотя большинству из нас и не придется волноваться на этот счет, а также о тех, кто находится под таким надзором и рискует свободой или жизнью, передавая подобную информацию. И что тогда может значить этот отчет для нас, относительно «нормальных» и законопослушных людей? Ну, наши друзья в EFF умные и разумные, так что всем пользователям Интернета стоит прислушаться к словам этой организации. По крайней мере, мы должны быть в курсе таких докладов и того, как защищаются наши данные. Когда это возможно, мы должны также отдавать предпочтение компаниям, которые борются во всех возможных инстанциях за соблюдение прав неприкосновенности частной жизни, рассказывают принципы своей работы с правоохранительными органами и публикуют «отчеты прозрачности». Кроме того, я думаю, мы должны «голосовать ногами», то есть не доверять конфиденциальную информацию компаниям, не гарантирующим ее сохранность и не сообщающим клиентам, когда эту информацию у них запрашивают органы.

В любом случае что бы мы ни делали – писали бы в своих личных блогах, социальных сетях, комментировали новости или просто переписывались дедовским способом на бумаге, – мы обязаны призывать должностных лиц, отвечающих за конфиденциальность нашей информации, следовать путем Twitter и Sonic.net и делать все от них зависящее для защиты пользовательских данных.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.