Компания ChoicePoint, собирающая данные о гражданах США для контроля за точностью осуществляемых ими финансовых операций (например, по кредитным картам), допустила утечку конфиденциальных сведений о 145 тыс. лиц, проживающих во всех пятидесяти штатах страны. Инцидент, произошедший в конце февраля, получил в Америке большой общественный резонанс.
В руки злоумышленников попали такие конфиденциальные данные, как имена и фамилии, адреса, номера свидетельств социального страхования и водительских прав, отчеты по операциям с кредитными картами, а также некоторая общедоступная информация, собранная ChoicePoint из открытых источников. Между тем масштаб инцидента мог бы быть не в пример шире: компания имела доступ к 19 млн. записей.
Хотя утечка была зафиксирована еще в октябре 2004 г., широкая общественность узнала о ней лишь в конце февраля 2005-го. Представители компании почти сразу поставили об этом в известность правоохранительные органы Лос-Анджелеса, так как посчитали, что кража произошла именно там.
В ноябре 2004 г. калифорнийские власти попросили ChoicePoint не оглашать этого факта, дабы не навредить следственным мероприятиям. Как именно злоумышленники смогли получить доступ к конфиденциальным сведениям, до сих пор неизвестно.
Несмотря на значительный масштаб произошедшего инцидента, общественные организации США взбудоражены совсем другой проблемой: не будь в составе украденной приватной информации записей о жителях штата Калифорния, компания ChoicePoint могла бы вообще не сообщать владельцам личных данных о самом факте утечки.
Другими словами, никто бы никогда и не узнал о краже конфиденциальных сведений. Столь исключительная роль Калифорнии состоит в законе, который обязывает любую компанию, занимающуюся бизнесом в этом штате, дать знать владельцам приватной информации о том, что кто-то получил к ней неавторизованный доступ. Этот закон введен в действие с июля 2003 г.
В настоящее время в Конгрессе США рассматривается федеральный закон Notification of Risk to Personal Data Act. Если он вступит в силу, то организации -- как коммерческие, так и государственные -- должны будут уведомлять своих клиентов о случаях утечки их личных данных сразу же, как только появятся достаточно серьезные основания подозревать о подобных фактах.
О. Б.