Личные данные американцев нуждаются в срочной защите

Что будет вместо номеров social security?

Скандал с кредитным бюро Equifax, база данных которого была взломана хакерами, стал последней каплей, переполнившей чашу терпения американцев: они стали требовать от госаппарата безотлагательных действий. Ясно, что надо срочно менять систему идентификации граждан, сделать ее более защищенной. Будем надеяться, что скоро на смену вездесущим номерам Social Security придут другие способы персональной идентификации. Процесс уже пошел.

Что будет вместо номеров social security?

Соцстраховские номера всегда были слабым местом, которое использовали в преступных целях разнообразные жулики. Но число этих преступлений стало расти в геометрической прогрессии после вступления Америки в эру компьютеров и Интернета, когда на просторах «Всемирной паутины» стала орудовать целая армия «злых программистов» – хакеров.

Однако помимо хакерских взломов есть много других каналов, по которым номера Social Security (в сочетании с именами, фамилиями, адресами) попадают не в те руки. К этим номерам имеют доступ клерки медицинских офисов и больниц, управлений автомобильного транспорта (motor vehicle departments), банков, кредитно-карточных компаний, жилищных офисов, учебных заведений и так далее. Из работающих там клерков кто-то теряет личные данные клиентов по небрежности, кто-то продает их жуликам за деньги. А когда в руки мошенников попадает чей-то номер Social Security в сочетании с другими личными данными человека, этот человек может ожидать многих неприятных чудес.

Но, конечно, взлом Equifax занимает особо «почетное» место в истории: украдены личные данные более 145 млн американцев – почти половины населения США. К десижен-мейкерам пришло осознание того, что надо что-то делать, и срочно.

Власть изучает альтернативы

По следам хакерского взлома Equifax состоялся, как водится, «разбор полета». На Капитолийском холме был проведен ряд слушаний, в ходе которых законодатели пытались выяснить, как стал возможным такой гигантский прокол и как можно предотвратить подобные эпизоды в будущем.

Бывшему главе компании Equifax Ричарду Смиту пришлось выслушать большое количество нелестных слов в свой адрес. Выслушивая критику и отвечая на вопросы, он подчеркивал, что в основе проблемы лежит сама система идентификации граждан: номера Social Security настолько уязвимы, что в них уже практически не осталось никакой «security».

«Представление о том, что номера Social Security в нынешних условиях остаются защищенными, неверно – мы должны это переосмыслить», – заявил Смит. По его словам, существуют куда более безопасные способы идентификации граждан, чем имя-фамилия, дата рождения и соцстраховский номер.

Какой именно способ будет выбран, пока неизвестно, но очевидно, что номера Social Security должны скоро утратить свою роль идентификатора личности. Белый дом уже поручил всем федеральным министерствам и ведомствам представить свои соображения относительно уязвимых мест нынешней системы идентификации граждан, а также путей устранения этих уязвимых мест. Об этом сообщил специальный помощник президента и координатор Белого дома по вопросам кибербезопасности Роб Джойс.

«Я убежден, что номера Social Security отжили свое. Каждый раз, когда мы используем номер Social Security, мы подвергаем его опасности», – сказал Джойс, выступая на конференции в Вашингтоне. Ему самому пришлось четыре раза столкнуться с кражей его номера Social Security.

Номера Social Security появились в 1936 году, и с тех пор Администрация социального страхования выпустила 454 млн уникальных номеров. Заменить их все чем-то иным – задача не из легких, и быстро решить ее не получится. SSN (так сокращенно называют соцстраховские номера) были первоначально задуманы как часть пенсионной системы и не более того – с их помощью государство отслеживало заработки жителей США и начисляло им на основе заработков пенсию. Эта функция сохранилась по сей день, но к ней добавилась целая куча других употреблений SSN – соцстраховские номера стали универсальным общенациональным идентификатором личности гражданина.

На это они не были рассчитаны, как не рассчитаны они и на современные средства коммуникации – компьютерные базы данных, глобальный Интернет, мобильную связь и т.д. В XXI веке эти номера выглядят таким же анахронизмом, как пишущие машинки. Настала пора внедрить вместо них что-то из нынешнего, а не прошлого века.

Что вместо соцстраховских номеров?

Но что именно должно прийти на смену отжившим свой век SSN? Один из вариантов – выдача каждому жителю страны личного ключа – длинного криптографического числа, зашифрованно упакованного в «физический токен». Этим личным ключом мало обладать – надо еще подтвердить с помощью PIN (personal identification number), что данный ключ принадлежит именно вам. Иначе говоря, это устройство будет работать как чип кредитной или дебетной карты, в дополнение к которому надо вводить PIN – короткое число, которое делает возможным использование длинного числа, являющегося персональной идентификацией.

Насколько реальна такая система? Это вообще не вопрос: система уже работает, и успешно, в маленькой, но очень продвинутой стране – Эстонии. По части кибердостижений прибалтийская малышка далеко обогнала гигантскую Америку, которая изобрела компьютерные чудеса, а потом безнадежно отстала по части их практического применения и усовершенствования. А Эстония... Именно благодаря эстонцам мы пользуемся Скайпом, одно это чего стоит!

Впрочем, не только развитая маленькая Эстония (население – 1,35 млн человек), но и гораздо менее развитая огромная Индия (население – более 1,2 млрд) успешно справилась с задачей современной идентификации граждан. Всем жителям Индии выдают карточки Aadhaar, для получения которых требуется сдать биометрические данные – отпечатки пальцев и сканерный снимок радужной оболочки глаза. Это вам не соцстраховский номер.

Итак, что будет вместо номеров соцстраха – примерно ясно, дальше надо что-то выбрать из диапазона вариантов (помимо вышеприведенных, есть и другие современные способы идентификации). Но вот как будет происходить замена всего необозримого ретро-хозяйства, связанного с SSN, – это большой вопрос. Неэффективность бюрократического аппарата США давно стала притчей во языцех, а тут к этому добавляется еще и необходимость законодательного утверждения подобной реформы: ведь если частные компании не заставить силой закона, сами они не раскошелятся на дорогостоящие изменения. Беда в том, что конгрессмены и сенаторы озабочены только межпартийными боевыми действиями, а насущные, конкретные вопросы решают долго и неохотно. Так что не исключено, что соцстраховские номера еще поживут энное количество лет.

Как будут себя при этом чувствовать американцы, у которых хакеры все чаще и наглее похищают личные данные, – это не очень волнует слуг народа. Пока нет народного восстания, народ может подождать. Будут и дальше ходить с карточками Medicare, на которых выставлен на всеобщее обозрение номер Social Security вместе с именем и фамилией.

Требуется целый комплекс мер

Только в этом году, как сообщает Центр изучения кражи личных данных, имели место 1022 хакерских взлома баз данных. Замена номеров Social Security – абсолютно необходимая вещь, но этого недостаточно, чтобы защитить личные данные американцев. Что еще планируют осуществить вашингтонские законодатели и исполнительная власть?

Во-первых, ряд конгрессменов и сенаторов предлагают ужесточить штрафы за халатность и нежелание тратить деньги на безопасность – этим грешат очень многие компании. Теоретически Equifax могут оштрафовать на $145 млрд, так как федеральный закон предусматривает в подобных случаях штраф из расчета до $1000 на каждого пострадавшего от действий (или бездействия) компании. Но это – теория, которая едва ли станет практикой. Да, оштрафуют, но, думаю, на значительно меньшую сумму.

Во-вторых, давно пора принять общенациональный закон об обязанности компаний информировать потребителей о произошедшем хищении личных данных, и делать это не через полгода или год, а немедленно. Такого закона нет – вместо него есть, как всегда, лоскутное одеяло законодательных актов отдельных штатов.

Далее, Бюро финансовой защиты потребителей (Consumer Financial Protection Bureau) предлагает прикомандировать ко всем трем кредитным бюро достаточное количество представителей этого ведомства для мониторинга: государство должно жестко регулировать деятельность кредитных бюро. Ведь Equifax, Experian и Trans Union – частные корпорации, которые в первую очередь думают не об интересах граждан, а о своей прибыли.

Наконец, есть и более радикальное предложение (с которым лично я полностью согласен): кредитные бюро надо национализировать. Пусть этим общественно значимым делом занимается государство, не ставя целью извлекать из него прибыль.

...Тем временем Equifax – компания, проворонившая кражу личных данных у половины населения страны, – прекрасно себя чувствует без всяких реформ. Вместо наказания она получила поощрение: теперь Equifax будет помогать налоговому ведомству, IRS, проверять личность налогоплательщиков. За это из кармана налогоплательщиков будет вынуто и уплачено Equifax $7,25 млн. Насколько мудро такое использование наших долларов? Ответ на этот вопрос очевиден.

Что еще почитать

В регионах

Новости региона

Все новости

Новости

Самое читаемое

Автовзгляд

Womanhit

Охотники.ру