355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Симеон Гарфинкель » Все под контролем: Кто и как следит за тобой » Текст книги (страница 4)
Все под контролем: Кто и как следит за тобой
  • Текст добавлен: 7 октября 2016, 13:55

Текст книги "Все под контролем: Кто и как следит за тобой"


Автор книги: Симеон Гарфинкель



сообщить о нарушении

Текущая страница: 4 (всего у книги 34 страниц)

Кража личности: Украденное «Я»

Истории, подобные произошедшей с семьей Росс, составляли основную массу проблем кредитных бюро в 1980-х и 1990-х годах. Но в последние годы наблюдается неожиданный и поистине драматический рост нового вида преступлений, ставших возможными вследствие доступности как кредитной, так и личной информации. Злоумышленник узнает номер социального страхования какого-нибудь человека, заводит себе дюжину кредитных карточек на его имя, в результате платить по счетам приходится этому человеку. (Многие банки облегчают задачу злоумышленника, печатая номера социального страхования клиентов на банковских выписках.) В одних случаях мошенники пользуются кредитками непосредственно, покупая для себя товары, отправляясь в дорогостоящие путешествия, обедая в дорогих ресторанах. Другие используют более изощренные схемы мошенничества, превращая приобретенные обманным путем вещи в наличные деньги. Это преступление стало настолько распространенным, что приобрело даже собственное название – кража личности [identity theft].

Иногда злоумышленники получали информацию из внутренних источников: в апреле 1996 года группе служащих Управления социального страхования было предъявлено обвинение в продаже личной информации 11 000 граждан криминальным кругам, которые использовали ее для активации краденых кредитных карт и оплаты с их помощью счетов на огромные суммы.[24]24
  Jim Mallory, «Social Security Workers Charged with Data Theft», Newsbytes News Network (http://www.newsbytes.com), 4 августа 1996.


[Закрыть]
Нередки случаи, когда преступники под видом бомжей перерывали городские помойки в поисках выписок по банковским счетам и кредитам.

Случай, произошедший с вашингтонским журналистом Стивеном Шоу [Stephen Shaw], является типичным.[25]25
  Интервью автору, апрель 1995. См. также «Separating the Equifax from Fiction», Wired Magazine, сентябрь 1995, p. 96.


[Закрыть]
В один прекрасный летний день 1991 года продавец автомобилей из Орландо, штат Флорида, с похожим именем Стевен Шоу [Steven Shaw], получил доступ к кредитному отчету Стивена Шоу. Сделать это было проще простого. В течение многих лет Equifax вела агрессивную рекламную компанию своих услуг по предоставлению кредитных отчетов фирмам, торгующим автомобилями. Услуга предоставляла продавцу возможность, узнав имя потенциального покупателя, ненадолго отлучиться и быстро произвести проверку его кредитной благонадежности. Вероятнее всего, мистер Шоу из Флориды использовал эту возможность, чтобы «вычислить» кого-нибудь с созвучным именем и незапятнанной кредитной историей, считает Стивен Шоу.

Как только Стевен Шоу из Флориды узнал номер социального страхования и другую личную информацию Стивена Шоу из Вашингтона, он получил возможность «украсть личность» последнего. Помимо сведений о безупречной кредитной репутации Стивена Шоу, его кредитный отчет содержал настоящий и предыдущие адреса места жительства, девичью фамилию матери и номера всех его кредитных карт. Джекпот!

«Он воспользовался моими данными для открытия 35 счетов и нанес мне ущерб в размере 100 000 долларов, – рассказывает Стивен Шоу. – Он „засветил“ меня повсюду брал кредиты на покупку автомобиля, персональные кредиты, открывал банковские счета, покупал дорогую стереоаппаратуру, мебель, домашнюю технику, вещи, авиабилеты».

Поскольку все счета были открыты на имя Стивена Шоу и с использованием его номера социального страхования, ему автоматически предъявлялись к оплате все траты, которые на самом деле производил другой Шоу – из Флориды. Коль скоро счета не оплачивались, пострадавшие фирмы сообщили Equifax и другим кредитным бюро, что Стивен Шоу, имевший ранее безупречную кредитную репутацию, стал теперь неблагонадежным.

Не все истории с кражей личности начинались с кражи кредитных отчетов или банковских выписок. Некоторые начинались с подделки заявлений на смену адреса, в результате адресованная человеку почта отправлялась в заброшенный дом. При этом не оставалось никакого документального следа! В мае 1997 года газета Seattle Times рассказывала на своих страницах о том, что тысячи жителей Сиэтла и окрестностей получали очень странные и подозрительные звонки. Звонивший представлялся сотрудником радиостанции, которая производит возврат денег, и сообщал, что чек будет выслан по почте, если ответивший сообщит свой номер социального страхования.

Многие сочли это все подозрительным и сообщили на радиостанцию и в полицию, но некоторые легкомысленно сообщили звонившему интересующую его информацию. Эпидемия аналогичного жульничества охватила одного из крупнейших провайдеров – America Online, где этот способ мошенничества даже получил свое название – «phishing».[p6]p6
  Вылавливание паролей доступа у неосторожных пользователей. Phishing – неологизм, созвучный «fishing» – рыбалка.


[Закрыть]

По словам Шоу, ему понадобилось около четырех лет для решения проблемы – типичный срок, о котором говорят и другие жертвы «кражи личности». Четыре года звонков из коллекторов счетов с напоминанием о необходимости оплаты, нарастающим количеством гневных писем в почтовом ящике и изматывающей неизвестностью, что еще злоумышленник сделает с вашим именем. Четыре года все кредиторы считают вас неблагонадежным. В этот период жертва практически лишена возможности получить новую кредитную карту или ипотечный кредит. Но одно из самых жестоких последствий кражи личности заключается в том, что многие его жертвы не могут найти работу: многие работодатели кроме рекомендательных писем изучают и кредитную историю претендентов на рабочее место.

Кража личности стала возможной из-за политики компаний, эмитирующих кредитные карты. Эти компании постоянно озабочены привлечением новых клиентов и не оказывают должного внимания идентификации личности заявителя при оформлении карты посредством почты или телефонного звонка. Опасность политики этих компаний заключается в том, что если вы знаете чье-либо имя, его адрес, номер телефона, номер социального страхования и девичью фамилию матери, то этого достаточно для идентификации вас как этой личности. А после того как счета за сделанные покупки не оплачиваются, крайним оказывается этот человек.

Несомненно, узнать чье-то имя, адрес, номер телефона, номер социального страхования и девичью фамилию матери относительно несложно. Кредитные бюро предоставляют эту информацию своим клиентам, поисковые службы за умеренную плату делают эту информацию доступной через Интернет, да и сами люди зачастую неосмотрительно предоставляют эту информацию по телефону человеку, который рекомендуется сотрудником банка или компании, выпускающей кредитные карты.

Кража личности не является принципиально новым преступлением. Существует множество историй – от сказок и вестернов, когда мужчина получал еду, ночлег и даже любовь незнакомки, представившись кем-то другим. Отличие нашего времени в том, что стремление корпораций расширить кредитный рынок делает каждого из нас беззащитным перед угрозой кражи личности и порчи репутации без нашего ведома. Поскольку кредиты предлагаются по почте или по телефону – зачастую это делает компьютерная программа или низкооплачиваемый сотрудник службы по работе с клиентами, действующий строго по предписанному сценарию, – настоящему герою сложно будет убедить даму, что его просто подменил какой-то самозванец.

Вряд ли кто-то до конца представляет себе масштабы кражи личности сегодня – оценки колеблются от 100 до 400 случаев в год, – ясно одно: их количество увеличивается. В идеале преступник должен быть подвергнут тюремному заключению, штрафу или другому наказанию. Но правоохранительные органы перегружены, а суды отказывают пострадавшим в возбуждении уголовных дел против мошенников. Это происходит потому, что закон считает в этой ситуации пострадавшими компании, выдавшие кредит, а не людей, чья личность была украдена. При этом многие банки не дают делу ход, им проще списать убытки и работать дальше.

Существует целый ряд технических мер, которые могли бы снизить количество такого рода преступлений. Одной из таких мер могло бы стать требование личной явки для оформления кредитной карты и помещение на нее фотографии владельца. Это создало бы серьезный барьер мошенничеству, так как мошенники, естественно, не хотят, чтобы их идентифицировали. Однако компании вряд ли согласятся с этим, поскольку это резко снизит эффективность бизнеса: вместо упрощенной идентификации и отсылки карточки по почте придется открывать новые офисы.

Наконец, расцвет воровства личности стал возможен потому, что от кредитующих компаний не требуется вкладывать средства в обеспечение адекватного уровня безопасности процедуры выдачи кредита, который в настоящее время явно недостаточен. Рвение, с которым компании рассылают предварительно заполненные заявления на получение кредитных карт, создает благодатную почву для мошенничества. Когда это происходит, кредиторы просто вносят информацию в кредитное досье клиента и продолжают работать дальше, а клиент остается у разбитого корыта, иначе говоря, несет в результате кражи личности материальные потери. Самым простым средством снижения количества мошенничеств может стать требование к компании, создавшей риск, принимать участие в ликвидации его последствий. Это можно сделать путем наложения наказаний на компании, вносящие незаслуженно компрометирующую информацию в кредитные досье, так же как отдельных граждан наказывают за ложное сообщение в полицию. Угроза подвергнуться наказанию заставит предоставляющие кредиты организации внимательнее относиться к идентификации личности заемщика и снизит тем самым количество краж личности.

Двигаясь в будущее, надо помнить уроки прошлого

Последние тридцать лет преподали нам немало уроков, начиная с отказа от создания Национального информационного центра и создания в образовавшемся вакууме частным бизнесом системы национального масштаба, включающей банки данных, терминалы доступа и компьютерные сети.

Возможно, самым главным уроком стало осознание того, что принятые в начале пути решения могут привести к далеко идущим последствиям. Разработанная в 1932 году система номеров социального страхования стала играть все более важную роль в жизни общества в последующие 60 лет. Независимо оттого как вы относитесь к нему, SSN – вредное изобретение. Но страна уже не может отказаться от его использования.[26]26
  Источник данных – Управление социального страхования.


[Закрыть]

Год – Пользователи системы номеров социального страхования

1943 Федеральные агентства используют SSN только для своих служащих

1961 Комиссия по гражданской службе использует SSIM для идентификации служащих

1962 Налоговое управление использует SSN для идентификации налогоплательщиков

1967 Министерство обороны использует SSN для идентификации военнослужащих

1972 США начали присваивать SSN всем легально въезжающим в страну иностранцам и любому получающему государственные субсидии

1975 Программа помощи семьям с детьми [Aid for Families with Dependent Children] начинает использовать SSN для их идентификации

1976 Отдельные штаты используют SSN для налоговых и благотворительных платежей, а также на водительских удостоверениях

1977 Программа продовольственных талонов [Food Stamp Program] использует SSN для определения членов семьи

1981 Программа школьных завтраков [School Lunch Program] использует SSN для определения взрослых членов семьи

1981 Служба призыва в армию [Selective Service System] использует SSN для учета призывников

1982 Федеральная программа кредитования [Federal loan program] использует SSN для учета заемщиков

1983 Указание SSN стало обязательным при открытии вкладных счетов (с доходом в виде процента)

1984 Отдельным штатам разрешено использовать SSN в Программе помощи семьям с детьми, программе Меdicaid,[p7]p7
  «Медикэйд» – программа медицинской помощи неимущим, осуществляемая на уровне штатов при финансовой поддержке федеральных властей.


[Закрыть]
при выплатах пособий по безработице, в программах продовольственных талонов и других государственных программах, осуществляемых по плану, утвержденному разделами I, X, XIV или XVI «Закона о социальном страховании»

1986 SSN может быть использован для подтверждения возможности трудоустройства

1986 Наличие SSN стало обязательным для идентификации налогоплательщиков с иждивенцами в возрасте от пяти лет и старше

1986 Министр транспорта постановил использовать SSN при выдаче лицензий на коммерческие автоперевозки

1988 Указание SSN стало обязательным для идентификации налогоплательщиков с иждивенцами в возрасте от двух лет и старше (требование вступило в силу в 1990 году)

1988 Штаты стали использовать SSN родителей при выдаче свидетельства о рождении

1988 Штаты и станции переливания крови стали использовать SSN для идентификации доноров

1988 Указание SSN стало обязательным для всех получающих пособия в соответствии с разделом II «Закона о социальном страховании»

1989 В Национальную систему учета кредитования студентов [National Student Loan Data System] также стали вноситься их SSN

1990 Указание SSN стало обязательным для идентификации налогоплательщиков с иждивенцами в возрасте от года и старше (требование вступило в силу в 1991 году)

1990 Указание SSN стало обязательным при осуществлении любых выплат Министерства по делам ветеранов

1990 Указание SSN стало обязательным для служащих продуктовых и розничных магазинов, производивших отпуск товаров по продовольственным талонам

1994 SSN стал использоваться при выборе присяжных

1994 Министерство труда утвердило SSN в качестве идентификационного номера заявок на получение выплат

1994 Указание SSN стало обязательным для идентификации налогоплательщиков с иждивенцами независимо от возраста (требование вступило в силу в 1996 году)

1996 SSN стал обязательным к указанию при соискании любых профессиональных лицензий, подаче заявления о вступлении в брак. SSN должен указываться в заявлении о разводе, выплате алиментов, определении и подтверждении опекунских прав, необходим он и при оформлении свидетельства о смерти

1996 Генеральный прокурор утвердил требование всем негражданам страны сообщать свой SSN для включения его в записи службы иммиграции и натурализации [Immigration and Naturalization Service]

1996 SSN должен наноситься на водительские удостоверения

1997

Другой важный урок заключается в том, что крупные организации, совершающие технические ошибки, редко платят за них – эти потери ложатся на клиентов. Сегодня очень легко получить выгодный кредит, всего лишь сообщив свой SSN, чем зачастую и пользуются мошенники. Но когда афера вскрывается, все проблемы приходится разрешать настоящему владельцу SSN, которому и предъявляются претензии по невыплаченному кредиту. Банки же ничем не озабочены, они просто поднимают процентные ставки, распределяя свои потери между клиентами.

Еще один урок – не упускать важных деталей. Обрывочные сведения, которые мы получаем из газет и телевидения, не отражают истинной картины. Однако все чаще именно средства массовой информации становятся трибуной для обсуждения сложных вопросов взаимодействия общества и технологий.

В Соединенных Штатах широко распространено мнение, что свободный рынок всегда прав, а попытки правительства что-то регулировать лишь создают проблемы. Эта «вера» особенно распространена среди «цифровой элиты», которая рассматривает все действия правительства как «плохие», а все действия частного бизнеса – как «хорошие». Несмотря на это, в области компьютерной приватности, чаще всего верно обратное. В 1960-е годы предоставленный самому себе частный бизнес создал систему, ущемляющую права простых граждан. Да, это был свободный информационный рынок, но на этом рынке могли играть только бизнесмены. И лишь после вмешательства правительства в форме принятия «Закона о точной отчетности по кредитам» люди получили право знакомиться со своими кредитными досье и требовать удаления из них недостоверной информации. Конечно, установленный этим законом порядок государственного регулирования вопросов приватности не решает всех проблем, но это лучше, чем ничего.

Мы постоянно наблюдаем, как бизнес сопротивляется любым попыткам регулирования в области приватности, так же как химическая промышленность в свое время боролась с попытками установить регулирование в сфере охраны окружающей среды. Причем и в том и в другом случае предсказываемые катастрофические последствия не сбылись. Фактически так же как жесткое регулирование использования окружающей среды заставило химическую отрасль стать менее расточительной (и, как следствие, более прибыльной), так и принятие даже небольшого количества мер по регулированию вопросов приватности привело к тому, что повысилось качество информации, хранимой в корпоративных и государственных банках данных, что сделало эти системы более ценными, удобными и прибыльными. Очевидно, что защита приватности и личных свобод представляет долгосрочный интерес как для общества, так и для бизнеса. Но поскольку многие бизнесмены смотрят не далее, чем на год вперед, они просто не осознают эту простую мысль.

Наше будущее в базах данных

А что мы видим в другом направлении? Нас ждет будущее, в котором технологии будут играть решающую роль в устранении неоднозначности. Все, что может быть сделано, будет сделано, причем с очень высокой точностью. Предоставленный сам себе, частный бизнес скорее всего повторит ошибки прошлого и вновь создаст системы, которые изначально будут несправедливыми, недемократичными и неконтролируемыми.

В 1965 году Правительство Соединенных Штатов стояло на компьютерном перепутье: решался вопрос о создании глобальной правительственной базы данных. Но когда детали этого проекта стали доступны общественности, он был немедленно закрыт. Конгресс инициировал серию слушаний, посвященных исходящей со стороны компьютеров угрозе приватности, правительственная комиссия сформулировала принципы защиты информации, и у исполнительной власти была возможность принять пакет новых законов.

Но мы упустили ее. Общенациональная база данных могла бы предотвратить злоупотребления в кредитной индустрии. Система с жестким контролем над ее использованием и средствами восстановления не допустила бы появления ошибок, наводнивших сегодня разрозненное множество банков данных. Более того, в информационной системе общего пользования было бы просто невозможно тайком от общественности использовать информацию в целях отличных от тех, для которых она была собрана.

Сегодня мы снова стоим на компьютерном перепутье. Мы вновь, как это уже было в 1960-е годы, рассматриваем компьютеры как средство хранения важной финансовой, образовательной и кредитной информации. Мы на пороге технократического будущего, в котором компьютеры будут фиксировать даже самые интимные аспекты нашей жизни. Всеми своими датчиками они будут воспринимать и записывать все происходящее на планете. Они позволят нам отличать одну личность от другой с очень высокой точностью. Еще раз повторюсь, что правительству просто необходимо принять меры по регулированию использования новейших информационных технологий. В противном случае мы рискуем попасть в ту информационную пропасть, которой до сих пор удавалось избежать. К сожалению, об этом почти не упоминают в открытых дискуссиях по поводу мошенничеств с кредитными картами, неправомерного использования баз данных и краж личности.

Основная проблема баз данных заключается в том, что никто не может гарантировать корректность хранящейся в них информации. Мы должны сосредоточиться на этой проблеме и попытаться построить наше общество и наши компьютерные системы таким образом, чтобы они были устойчивы против таких ошибок. Но мы делаем все с точностью до наоборот. Банкиры и правоохранительные органы, иммиграционные службы и политики – все озабочены лишь поиском технологического решения, которое урегулирует проблему идентификации личности. В следующей главе мы увидим, почему этот подход нежизнеспособен.

3
Абсолютная идентификация

Ошибки в базах данных, кража личности, нелегальная иммиграция и нераскрытые преступления стали распространенными явлениями в нашей жизни, поэтому многие политики обращают свои надежды к достижениям в области технологий биометрической идентификации. Сторонники этих технологий утверждают, что их использование позволит создать режим абсолютной идентификации, при котором каждая личность может быть уникально идентифицирована по одним лишь уникальным признакам собственного тела.

Абсолютная идентификация как политическая цель – вещь вполне достижимая. Действительно, все большее число ученых, инженеров и политиков рассматривают идентификацию человека по антропометрическим признакам не как техническую, а как политическую проблему. Если этого потребуют интересы общества, мы можем уникальным образом зарегистрировать каждого жителя Соединенных Штатов, Европы, Азии и, возможно, всей планеты. После этого мы сможем очень легко идентифицировать личность в банке, учебном заведении, на работе и на дороге. Абсолютная идентификация поможет избавиться от взаимного несоответствия компьютерных записей, кражи личности и неоднозначности, с которыми мы постоянно сталкиваемся в повседневной жизни. Когда на смену анонимности придет абсолютная идентификация, мы сможем построить общество, каждый член которого гарантированно сможет получить положенные ему привилегии и будет полностью ответствен за все свои действия.

Абсолютная идентификация – очень соблазнительная идея. Но, к сожалению, порочная. Чтобы понять, почему, нам необходимо разобраться в недостатках самой технологии.


    Ваша оценка произведения:

Популярные книги за неделю