30-11-05 15:27
Nacrt američkog zakona o krađi podataka
piše ALEKSANDRA ŠTINGL
Tek što se pojavio, predloženi nacrt nacionalnog zakona o zaštiti osobnih podataka, Data Accountability and Trust Act (DATA) već je pretrpio kritike sigurnosnih stručnjaka koji su ga proglasili previše dvosmislenim da bi bio učinkovit. Njega je, podsjećamo, predložio pododbor Uprave za energiju i trgovinu početkom ovog mjeseca, a nacrt je napisao republikanac Cliff Stearns, predsjedatelj pododbora. Nacrt se sada nalazi na razmatranju na predsjedništvu Uprave. U kratkim crtama, ovaj je nacrt sličan kalifornijskom zakonu Database Breach Notification Act i također obvezuje kompanije da obavijeste svoje klijente o provalama u baze u kojima se čuvaju njihovi osobni podaci.
Najveći problem nacrta jest u tome što ostavlja mogućnost kompanijama da svoje klijente obavještavaju o provali u baze osobnih podataka samo ako postoji značajan rizik da će njihove osobne podatke netko doista i zloporabiti. Allan Paller, direktor američkog SANS Instituta smatra kako će ova mogućnost strahovito umanjiti utjecaj kalifornijskog zakona, koji koliko toliko, obvezuje kompanije što da učine u slučaju provale podataka. "Ovo nije ništa drugo doli korporativno lobiranje", izjavio je Paller. Kompanije će se tako pokušati maksimalno zaštiti nauštrb svojih klijenata, koliko god to apsurdno zvučalo.
Ako nacrt zakona bude usvojen, sve će teže biti pronaći poveznicu između provale u određenu bazu podataka i krađa identiteta. Do sada su, barem po kalifornijskom zakonu, ljudi morali biti obaviješteni te bi nakon toga poduzimali sve da se zaštite.
No, postoje i druge dvosmislenosti u nacrtu zakona. U njemu se ne predviđa vrijeme u kojem kompanije moraju objaviti provalu u baze osobnih podataka. "Čini se da se nacrt zakona više odnosi na kompanije koje posluju s nekim inozemnim tvrtkama. Nije posve jasno što je s obvezama onih kompanija koje posluju sa samo jednom tvrtkom iz neke druge države", ističe Arshad Noor, izvršni direktor StrongAuth korporacije iz Kalifornije. Nacrt zakona predviđa i to da kompanije moraju imati sigurnosne politike i procedure kako postupati u ovakvim slučajevima, ali ne specificira nikakav njihov nadzor. "Da li to znači da mogu imati pisani dokument koji odražava moju politiku i procedure, ali ne činiti ništa po pitanju prave zaštite, a da mi to ipak ostavlja prostora da se bunim?", pita se Noor.
Neki ističu kako nacrt zakona ima i dobre strane, a jedna od njih je i odredba koja oslobađa kompanije od prijavljivanja krađa osobnih podataka, ako su oni bili kriptirani. "Ovakvim nacrtom zakona napokon ćemo dobiti jedan balans. Postojeći zakoni obvezivali su kompanije da prijavljuju i one krađe osobnih podataka koje nisu rezultirale nikakvim krađama identiteta ili bilo kakvim drugim zloporabama. U gotovo 99 posto slučajeva krađe nisu uzrokovale nikakve daljnje incidente", rekao je John Pescatore, Gartnerov analitičar.
Reći da je najveći broj objava krađa osobnih podataka nepotreban može samo netko čiji osobni podaci nikada nisu bili ukradeni ili čovjek bez imalo suosjećajnosti. Donositi zakon koji je evidentno usmjeren protiv klijenata, a sve u zaštiti korporativnih interesa, Ameriku gura korak nazad. Zaštita ljudskih prava, koja bi trebala uključivati i pravodobnu informaciju o tome da su nekome ukradeni osobni podaci radi čega može pretrpiti ozbiljne financijske gubitke, trebala bi biti ispred interesa kompanijske zarade.
Više možete pročitati na:
http://www.computerworld.com/governmenttopics/
government/legislation/story/0,10801,106116p2,00.html
|