Американцы любят соревнования, о системе спортивной подготовки в средних и высших учебных заведениях Соединенных Штатов сказано было немало, как в прессе, так и в кинематографе. Однако последний рекорд, который поставил Университет Южной Каролины, к спорту имеет косвенное отношение. Если бы был список тех вещей, которые не следует делать с персональными данными, то южно-каролинский обыватель, с удивлением бы для себя обнаружил, что университет его гордого штата проштрафился по всем пунктам. В общем, история показательная.
«Мы хотим, чтобы наше учебное заведение воспринималось как ответственный, надежный и поверенный хранитель ценной информации». Такое сообщение висело на сайте, обеспечивающем техническое сопровождение Университета Южной Каролины, до того, как неизвестные хакеры, предположительно - из заграницы, получили доступ к 34 тысячам записей студентов, преподавательского состава и всех, кто имел какое-либо отношение, прямое или косвенное, к университету.
Первое, что бросается в глаза – это время, которое прошло с момента атаки до оповещения всех лиц, к персональным данным которых хакеры получили доступ. Сотрудникам центра технического сопровождения университета стало известно об атаке 6 июня. Когда произошла сама атака - до сих пор неизвестно. И лишь три месяца спустя руководство Университета Южной Каролины начало оповещение возможных пострадавших. «Возможными» мы их назвали потому, что хакерам удалось получить доступ к серверу, на котором хранилось 34 тысячи записей. К каким из этих записей были обращения со стороны хакеров, выяснить либо нельзя, либо до сих пор не получилось.
Следующее, что поражает – это избыточность хранимых данных и несоответствие их целям обработки, указанным при сборе, хотя, опять же, американская юридическая система такими понятиями не оперирует. На сервере хранились данные всех слушателей заведения с 2005 года, а в каждой позиции, помимо имени и адреса, значился номер социальной страховки, который, по значимости, можно сравнить с номером паспорта в нашей стране.
Таким образом, имея «окно» в три месяца и данные, достаточные для открытия банковского счета или получения водительских прав, которые в США являются официальным удостоверением личности, злоумышленники имели возможность натворить много дел, известно о которых станет намного позже. Неудивительно, что представители университета заявляют, что хакерские атаки совершались из-за рубежа. Вообще желание «не нагнетать панику», которым представители Университета Южной Каролины объясняют свои действия, нельзя оправдать никакими соображениями. Ни желанием провести детальное расследование, ни пресловутым желанием «не нагнетать панику». Возможно, причиной такой задержки является тот факт, что эта утечка - уже шестая за последние 6 лет.
Следующие грабли, на которые наступил наш университет-рекордсмен – обращение к компании Kroll Advisory Solutions, которая занимается консультированием возможных жертв банковских махинаций. Само по себе это решение, может быть, и неплохое, но многие западные юристы уверены, что университет обязан оплатить каждому возможному пострадавшему совсем другие услуги – услуги по мониторингу махинаций с персональными данными субъектов. Цена такой услуги – от 10 до 20 долларов в месяц, а срок, который юристы требуют оплатить – 2 года.
Возможно, в Соединенных Штатах нет злобных европейских регуляторов, зато там есть злобные американские судьи, которые могут опустошить кошелек компании не только не хуже, но зачастую даже лучше. Пусть университету не грозят никакие санкции за утечку персональных данных, зато оплата вышеописанных услуг каждому возможному пострадавшему составит от 8 до 16 миллионов долларов. Возможно, именно этим фактом была вызвана задержка – желанием выяснить, какие именно данные были скомпроментированы, чтобы не платить всем. Однако теперь университет, как пить дать, ждет череды судебных исков за ту задержку по уведомлению возможных пострадавших, которую он допустил. Поэтому, вполне возможно, что Университет Южной Каролины скоро снова станет рекордсменом – теперь уже по количеству долларов, которые пришлось заплатить за одну утечку.
Алексей Калмыков,
журнал «Персональные данные»
