Реальна ли угроза утечки личной информации в Internet?

Взгляд изнутри

Защита личной информации в Internet остается одной из самых обсуждаемых проблем, по крайней мере, в некоторых кругах. И вот, наконец, свое слово сказали производители. Однако будьте осторожны с их предложениями. Направлены ли они против реальной угрозы или против чисто воображаемых страхов? Действительно  ли они позволяют повысить уровень безопасности или только усыпляют вашу бдительность и провоцируют на менее осторожное обращение с конфиденциальной информацией?

Предложенный недавно корпорациями Netscape, Firefly и фирмой VeriSign стандарт Open Profiling Standard (OPS) представляет определенный интерес: в нем отражен ряд неплохих идей (уже реализованных разработчиками VeriSign и Firefly), однако ничего существенного к нынешним технологиям обеспечения безопасности в Internet он не добавляет. OPS лишь помогает лучше понять существующее положение дел в этой области, что само по себе уже неплохо.

Однако многие пользователи (и значительная часть авторов публикаций в прессе) сосредотачивают внимание совсем не на тех аспектах OPS, рассматривая его как ответ на технологию cookie (фиксация информации о посетителе Web-узла в специальном cookie-файле на его машине). Cookie-файлы позволяют сохранять информацию о текущем состоянии в системе, основанной на, в общем-то, не предусматривающем этого протоколе HTTP. С их помощью ПО Web-узлов может накапливать сведения о пользователе, идентифицируя его при каждом выполненном им шаге, в том числе в ходе повторных посещений. Эта технология позволяет накапливать на диске клиентского ПК небольшие наборы данных, которые передаются на Web-сервер при каждом последующем посещении.

Как бы сомнительно это ни звучало, сами по себе cookie-файлы не представляют угрозы для конфиденциальности личной информации. Нет способа связать запись в таком файле с конкретным именем или с адресом электронной почты, если только пользователь сам добровольно не раскроет эту информацию. Кроме того, обмена накопленной информацией между различными узлами Web не происходит, за исключением особых случаев, когда несколько из них оказываются связанными друг с другом через общее центральное агентство, размещающее на них свою рекламу.

Но попробуйте убедить в этом пользователей! Когда в браузере впервые появилась функция предупреждения о записи в cookie-файл, поднялся целый вал истерии. Я опубликовал тогда заметку технического плана, в которой объяснял, как работает эта технология и почему ее невозможно использовать в качестве некоего оруэлловского средства слежения за пользователем Сети.

С помощью cookie организация, публикующая Web-материалы, может определить, что одни нажатия на кнопку мыши были выполнены одним посетителем, а другие  -  другим, и только. Имена этих посетителей остаются в тайне, если только для их выяснения не был применен специальный способ (такой, как заполнение регистрационной формы).

Я и по сей день получаю по электронной почте письма от читателей, которые не верят, что это действительно так.

Положительная роль OPS состоит в том, что люди получат наконец ясное представление о том, какого рода информацию о себе они доверяют узлам сети. Пользователь создает свой “персональный профиль”, содержащий все сведения  -  от имени и почтового адреса до возраста и гражданского состояния. Передавать эту информацию можно с использованием двух технологий: в виде цифрового идентификатора или в формате vCard. Человек полностью контролирует, какой узел и какую информацию о нем получит.

Кроме того, OPS упрощает процедуру добровольного раскрытия записанной в профиле информации в ответ на специальный запрос. Для большинства пользователей это означает экономию времени, которое раньше уходило на заполнение регистрационных форм. Теперь им нужно всего лишь нажать кнопку “Yes”.

Чтобы OPS смог реально оказать положительное влияние на ситуацию с защитой личной информации в Internet, заинтересованным организациям необходимо внушить людям уверенность, что полученная от них информация будет использована исключительно в тех целях, для которых была предоставлена. Корпорация Firefly, например, первой привлекла третью сторону (в данном случае фирму Coopers & Lybrand) для проверки своей корпоративной политики в области обеспечения конфиденциальности личной информации. Для обеспечения аналогичных гарантий многие фирмы, например eTrust  -  узел www. etrust.org  -  подключаются к подобным программам. Есть надежда, что OPS побудит пользователей Internet требовать таких гарантий, прежде чем они начнут передавать информацию о себе.

Вскоре должно состояться заседание Федеральной Торговой Комиссии по вопросу обеспечения конфиденциальности личной информации о потребителях в онлайновом мире (см. www.ftc.gov/ bcp/privacy2/index.html). Подозреваю, что там не обойдется без горячих споров. Без этого просто невозможно обойтись, в первую очередь потому, что само существование целого ряда коммерческих организаций немыслимо без использования личной информации о клиентах (к этой категории относится, например, вся индустрия адресной рекламы по почте).      

Имонн Салливан

Следует ли поставить вне закона распространение личной информации о пользователе без его согласия? Пишите мне по адресу: esulllivan@zd.com.