Безопасность IIS
       

Определения секретности и Федеральная торговая комиссия США


Самым известным примером компании, понесшей ответственность за свои обещания, присутствовавшие в определении секретности сайта, является компания Eli Lilly, крупнейший производитель фармацевтических препаратов (в частности, антидепрессанта Prozac, мировые продажи которого с 1995 по 2000 г. составили более двух миллиардов долларов). С 2000 г. сайты компании lilly.com и prozac.com предлагали посетителям подписаться на услугу под названием "Medi-messenger", которая отправляла сообщения по электронной почте с напоминанием о необходимости пройти или продолжить лечение. Примерно 600 – 700 человек предоставили свои адреса электронной почты и начали прием оповещений.

В 2001 г. Lilly решила закрыть данную услугу, и 27 июня отправила соответствующие уведомления подписчикам по электронной почте. К сожалению, это сообщение было отправлено всему списку единовременно, что привело к случайному раскрытию адресов электронной почты всех получателей в поле "To" ("Кому") сообщения. Результаты этого были, мягко говоря, неприятными, начиная с большого количества антирекламы, и заканчивая внутренним разрушением компании и внешним судебным процессом. Некоторые получатели сообщения решили отстаивать свое право на секретность и обратились в организацию American Civil Liberties Union (CALU) (Американский Союз человеческих свобод), который передал дело в Федеральную торговую комиссию. Федеральная торговая комиссия составила жалобу на компанию Lilly, указав на то, что в определении безопасности, размещенном на сайтах lilly.com и prozac.com, в частности, говорилось: "Eli Lilly и Компания уважает секретность посетителей своих веб-сайтов и считает важным сохранение секретности посетителей при их работе с данными ресурсами". Федеральная торговая комиссия заявила, что "заявленные на сайтах Lilly секретность и конфиденциальность были ложными, так как Lilly не обеспечила необходимых внутренних мер для сохранения секретности информации о потребителях, что привело к непреднамеренному разглашению 27 июня личной информации (адресов электронной почты) пользователей программы Medi-messenger".


Ответное заявление, направленное Федеральной торговой комиссии, повлекло за собой значительные судебные и административные расходы Lilly. Чтобы предотвратить подобные инциденты, компания наложила запрет на адресацию сообщений электронной почты более чем одному пользователю (можно не быть специалистом по электронной почте, чтобы понять, насколько обременительна эта задача). Между тем, нужно было собрать и изучить сотни страниц документов перед ответным обращением в Федеральную торговую комиссию, которая прибегла к услугам сторонних специалистов по секретности для помощи в проведении анализа. (Моя компания, ePrivacy Group, предоставила рекомендации Федеральной торговой комиссии по этому поводу; вся информация является общедоступной и находится на сайте http://www.ftc.gov.)

В конечном счете, компания Lilly достигла соглашения с Федеральной торговой комиссией, в котором указывалась недопустимость нарушения прав человека и требование привести компанию в соответствие с большим перечнем условий, включавших в себя следующее.

  • Создать и осуществлять поддержку четырехэтапной программы по обеспечению информационной безопасности, включающей в себя действенные административные, технические и физические меры защиты персональной информации потребителей от каких бы то ни было угроз, связанных с безопасностью данных, их конфиденциальностью или целостностью.
  • Обеспечить защиту информации от несанкционированного доступа, использования и разглашения.
  • Назначить персонал для координации и контроля работы программы.
  • Определить возможные внутренние и внешние угрозы безопасности, конфиденциальности и целостности личных данных, включая опасности, связанные с недостаточным опытом сотрудников.
  • Учесть любые неидентифицированные опасности в каждой области деятельности, будь то действия сотрудников или агентов, включая управление и обучение персонала; следить за работой информационных систем, осуществляющих обработку, хранение, передачу или разглашение личной информации; предотвращать и осуществлять ответные действия по отношению к атакам, вторжениям, несанкционированному доступу или другим нарушениям безопасности информационных систем.




Ответное заявление, направленное Федеральной торговой комиссии, повлекло за собой значительные судебные и административные расходы Lilly. Чтобы предотвратить подобные инциденты, компания наложила запрет на адресацию сообщений электронной почты более чем одному пользователю (можно не быть специалистом по электронной почте, чтобы понять, насколько обременительна эта задача). Между тем, нужно было собрать и изучить сотни страниц документов перед ответным обращением в Федеральную торговую комиссию, которая прибегла к услугам сторонних специалистов по секретности для помощи в проведении анализа. (Моя компания, ePrivacy Group, предоставила рекомендации Федеральной торговой комиссии по этому поводу; вся информация является общедоступной и находится на сайте http://www.ftc.gov.)

В конечном счете, компания Lilly достигла соглашения с Федеральной торговой комиссией, в котором указывалась недопустимость нарушения прав человека и требование привести компанию в соответствие с большим перечнем условий, включавших в себя следующее.

  • Создать и осуществлять поддержку четырехэтапной программы по обеспечению информационной безопасности, включающей в себя действенные административные, технические и физические меры защиты персональной информации потребителей от каких бы то ни было угроз, связанных с безопасностью данных, их конфиденциальностью или целостностью.
  • Обеспечить защиту информации от несанкционированного доступа, использования и разглашения.
  • Назначить персонал для координации и контроля работы программы.
  • Определить возможные внутренние и внешние угрозы безопасности, конфиденциальности и целостности личных данных, включая опасности, связанные с недостаточным опытом сотрудников.
  • Учесть любые неидентифицированные опасности в каждой области деятельности, будь то действия сотрудников или агентов, включая управление и обучение персонала; следить за работой информационных систем, осуществляющих обработку, хранение, передачу или разглашение личной информации; предотвращать и осуществлять ответные действия по отношению к атакам, вторжениям, несанкционированному доступу или другим нарушениям безопасности информационных систем.



Содержание раздела