Jak zajistit zodpovědnost infobrokerů za bezpečnost údajů, aniž by to poškozovalo obchody
Když začátkem února dostal Venkatesh „Bunty“ Pabbaraju dopis, srdce se mu málem zastavilo. Společnost ChoicePoint, obří informační broker, ho varovala, že gang kalifornských podvodníků získal přístup k jeho soukromým finančním údajům. Nebylo to poprvé, kdy se třiačtyřicetiletý obyvatel Atlanty stal obětí podvodu: před méně než rokem někdo prolomil jeho identitu a z jedné kreditní karty mu neoprávněně vyčerpal sedm tisíc dolarů. I když se tentokrát nic takového nestalo – alespoň zatím – Pabbaraju je rozčilený z toho, že by ho brokeři jako ChoicePoint mohli opět vystavit nebezpečí. ChoicePoint říká, že je sám obětí zločinu, Pabbaraju ale tvrdí: „Mám hrůzu z toho, že mohli prodat moje soukromá data druhořadým kriminálníkům. Měl by tu na to být nějaký zákon.“
Možná má pravdu. Pokud se něco po takovém prolomení bezpečnosti jasně ukázalo, pak je to skutečnost, jak malý přehled vláda má, aby donutila informační brokery, jako je ChoicePoint, k adekvátní ochraně finanční údajů milionů Američanů. Potvrdilo se to ještě jednou 9. března, kdy LexisNexis, informační oddělení společnosti Reed Elsevier Group, oznámilo, že hackeři získali přístup zhruba k 32 tisícům účtů klientů. O tom, že problém krádeží identity narůstá, nikdo nepochybuje. Podle údajů Federální obchodní komise bylo v roce 2004 podáno 246 570 žalob pro krádeže identity oproti pouhým 1380 v roce 1999. Komise v roce 2003 odhadla, že roční ztráty z takových podvodů přišly asi na 47,6 miliardy dolarů.
Po nedávné spoušti Kongres zbystřil pozornost. Při jednáních dvou kongresových výborů bylo 15. března navrženo několik možných opatření. Federální obchodní komisi byla například přiznána nad infobrokery regulační pravomoc, klienti získali oprávnění omezit přístup ke svým osobním informacím a infobrokerům byla stanovena povinnost uvědomit klienty, kdykoli budou jejich informace v ohrožení. Ale tváří v tvář silnému odporu v odvětví je nepravděpodobné, že by se přísné opatření v brzké době uskutečnilo – pokud vůbec.
Nejedná se o pouhé obstrukce. Nalezení přesné hranice mezi ochranou soukromých údajů bez nenávratného poškození průmyslu, který je zásadně důležitý, bude dosti složité. Údaje, které ChoicePoint a podobné společnosti shromažďují, umožňují finančním institucím vyřizovat půjčky, pronajímatelům hodnotit úvěrovou historii svých budoucích nájemníků a zaměstnavatelům prověřit potenciální zaměstnance. Držet infobrokery příliš pevně na uzdě a přitom řídit obchody by začalo být méně pohodlné a dražší. Pro klienty by bylo pomalejší a obtížnější získat úvěr.
Existují však způsoby, jak chránit klienty, aniž by byl průmysl příliš omezen. Pro začátek by měl Kongres následovat příklad Kalifornie a Texasu a měl by jednotlivcům v celé zemi umožnit „bezpečnostní blokaci“ historie úvěrů. Protože takové zmrazení znesnadňuje obchodníkům a jiným poskytovatelům úvěrů ověřit si historii kreditu žadatele bez povolení, bylo by téměř nemožné, aby podvodníci podali neoprávněnou žádost o úvěr. Přestože průmyslová lobby soudí, že zmrazování a rozmrazování dat je mnohem nepohodlnější, než si zákazníci uvědomují, a že jim může dokonce úvěr i další transakce znemožnit, lidé by určitě měli mít právo si vybrat, zda jim takové dodatečné zabezpečení za další nepříjemnosti stojí.
Zákonodárci ve Washingtonu by také měli v duchu dva roky starého kalifornského zákona předložit zákon s celonárodní působností, který by infobrokerům nařídil, aby všem rezidentům v daném státě, jejichž databáze byly ukradeny, tuto skutečnost sdělili. Je velmi nepravděpodobné, že by to firmy shromažďující údaje bez zákona udělaly dobrovolně. Koneckonců, podle informací kalifornských úřadů ChoicePoint klienty neupozornil, když se mu podobný incident přihodil v roce 2002. ChoicePoint se k tomuto incidentu odmítl vyjádřit. Pabbaraju špatnou zprávu tentokrát dostal jenom proto, že kalifornský zákon donutil ChoicePoint rozeslat 35 tisíc dopisů všem Kaliforňanům, jejichž informace byly zkompromitovány, a generální prokurátoři ostatních států požádali o podobné informace pro zbytek národa. Průmysloví lobbisté se rozčilují a tvrdí, že takové automatické oznamování by mohlo mezi klienty vyvolat nežádoucí paniku. Tvrdí, že bezpečnostní selhání většinou finančním podvodem nekončí. To je možné, ale lepší je vědět, že máte svůj kredit začít sledovat, než zůstávat v nevědomosti, když někdo další má informace potřebné k vyprázdnění vašeho bankovního konta.
Informační brokeři by rovněž měli nést větší zodpovědnost ve chvíli, kdy k prolomení bezpečnosti dojde. Až doposud soudy odmítaly povolit podvedeným klientům s brokery vést jakékoli spory. Důvod: protože individuální klienti nejsou zákazníky brokerů, nejsou s nimi v žádném obchodním vztahu. Ale bez hrozby pokuty nebo jiného finančního postihu mají brokeři minimální ekonomický zájem svou bezpečnost posílit. Bruce Schneier, technický ředitel firmy Counterpane Internet Security v kalifornském Mountain View, poznamenává, že původně nesli v Evropě odpovědnost za libovolné selhání bezpečnostní technologie ATM klienti, pokud se jim nepodařilo prokázat, že na vině je jejich banka. Výsledkem bylo, že ATM v Evropě zůstávala v klidu. Nezlepšilo se to, dokud pravidla nestanovila bankám odpovědnost za ztráty klientů, jako tomu již v USA bylo. „Tohle dokáže regulace,“ soudí Schneier. A za daných obtíží si informační brokeři budou sami udržovat pořádek, což může být přesně to, co je právě zapotřebí.
Copyrighted 2002 by The McGraw-Hill Companies, Inc BusinessWeek
ČLÁNKY DO MAILU