Прогнозируемые позитивные результаты (или выгоды) взаимообмена, на которые изо дня в день полагается подавляющее большинство людей, характеризуются значением «доходности информационных активов». Инфопереработчики отличаются друг от друга качеством обработки первичных данных и заявленными критериями их ранжирования и подбора. Благодаря праву на сравнение по этим трем показателям – рискам надежности и безопасности хранения информации, уровню приватности и агрегированной доходности информационных активов – можно выбирать инфопереработчика.
Обратите внимание, что я не предлагаю какие-то специальные показатели для непрогнозируемых позитивных результатов обработки данных и обозначаю их в матрице как «приятные неожиданности». Приятной неожиданностью может стать встреча с родственной душой на сайте знакомств, получение идеальной работы через LinkedIn, обнаружение информации о лечении непонятной болезни[356] или ответа на жизненно важный вопрос. Хотя я уверен в том, что отдельные инфопереработчики будут все больше помогать нам в принятии важных жизненных решений, такие редкие счастливые моменты слишком субъективны и уникальны для агрегирования в единый показатель.
Теперь давайте рассмотрим три показателя для проверки инфопереработчиков.
Право на ознакомление с аудитом сохранности данныхСообщения об очередном случае массовой утечки данных появляются едва ли не каждую пару месяцев. У каждой технологии есть свои плюсы и минусы. Большинство технологий, предполагающих впечатляющие изменения в повседневной жизни, несут и определенные риски, тем более если предусматривают сохранение определенной части работы за человеком. Управление автомобилем может закончиться аварией; предоставление данных для обработки может быть чревато их утечкой или хакерской атакой.
Автор книги «Преступления будущего»[357] и консультант ООН, НАТО и Интерпола Марк Гудман подчеркивает, что от утечек данных нельзя отмахиваться, как от исключительно маловероятных событий. От 15 до 20 процентов мирового ВВП приходится на долю организованной преступности, в сферу интересов которой наряду с наркоторговлей, работорговлей и проституцией входят незаконный оборот информации и кража интеллектуальной собственности, причем доля доходов от киберопераций в общем обороте криминального бизнеса постоянно растет[358].
Самые резонансные утечки данных (например, покупателей eBay[359] и магазинов сети Target[360], финансовой информации из банка JPMorgan Chase[361], сведений сотрудников кинокомпании Sony Pictures[362], пациентов медицинского страховщика Anthem[363], избирателей из избирательной комиссии Филиппин[364]) оказываются в центре внимания СМИ и становятся источником серьезных проблем[365]. Однако случаев, когда отчеты о причинах происшедшего становились бы достоянием гласности, немного, равно как и открытых дискуссий о мерах, которые должны быть приняты той или иной компанией в целях укрепления безопасности. Была ли информация перехвачена на пути от одного узла к другому? Можно ли было выявить уязвимость системы собственными силами? Как можно определить, что инфопереработчик «достаточно надежен», чтобы доверить ему свои данные?
В случаях утечки данных компании обычно утверждают, что они бессильны перед лицом изощренной атаки. Иногда подобная «посмертная» оценка правдива. После взлома данных кинокомпании Sony Pictures ее представитель сказал, что «любые предположения относительно того, что компания могла бы защититься от этой атаки, глубоко ошибочны и идут вразрез с ключевыми выводами и комментариями ФБР»[366]. Глава управления ФБР по борьбе с киберпреступностью свидетельствовал перед сенатом, что «использованная хакерская программа… с вероятностью 90 процентов преодолела бы любые средства сетевой защиты, применяемые сегодня в бизнесе, и, смею предположить, в правительственных учреждениях»[367]. Вредоносная программа, использованная хакерами, по степени предсказуемости была сродни присутствию заразного больного на кухне ресторана: несмотря на все разумные меры предосторожности и значительные инвестиции в кибербезопасность, компания оказалась уязвимой, что привело к неожиданным и крайне негативным результатам.
Аудит сохранности данных должен стать обязательным для любой компании, работающей с социальными данными, а его результаты должны быть доступны пользователям. Исходя из опыта прошлого, потребители имеют право требовать, чтобы предоставление им результатов проверки надежности и безопасности стало нормой. Тем не менее компании не спешат делиться ими, поскольку опасаются, что обнародование результатов аудита сохранности данных сделает их более уязвимыми для хакеров. По их словам, обнародование низкой оценки сохранности данных, не говоря уже об описании слабых мест системы, равносильно тому, чтобы поставить у незапертого дома плакат, приглашающий в него грабителей. Однако взломщики выбирают свои цели по критерию ценности, а не доступности.
Для защиты своих активов Sony Pictures пригласила ведущего эксперта в области кибербезопасности Кевина Мандиа[368]. Консультантов нанимают многие компании, работающие с конфиденциальной информацией, будь то дорогостоящие голливудские киноленты или миллионы номеров кредитных карт. Интересы компаний и пользователей в части безопасности совпадают: ни те ни другие не хотят, чтобы их информацию украли преступники. Но сегодня большей части людей предоставляется слишком мало информации, чтобы они могли судить об уязвимости их данных в конкретной компании. Еще меньше возможностей есть для того, чтобы сравнивать подходы к вопросам безопасности, существующие у различных компаний. Вот почему необходимо распространить практику проведения аудита сохранности данных и публикации результатов на все организации, занимающиеся обработкой и анализом информации.
Применение стандартов безопасности для коммуникации с пользователями и анализа их информации – один из компонентов сохранности данных. Фонд электронных рубежей[369] обращает внимание на «изначальную незащищенность» протокола НТТР, который передает информацию в незашифрованном виде и, к сожалению, по умолчанию используется подавляющим большинством интернет-сайтов. Инфопереработчикам следует использовать протокол HTTPS с зашифрованным каналом связи между клиентом и сервером, благодаря чему перехватить информацию станет значительно сложнее[370].
Аудит исследует порядок доступа сотрудников компании к данным. Использование двух– или более ступенчатой авторизации, при которой человек вводит второй одноразовый пароль, созданный мобильным приложением или специализированным сервисом, свидетельствует о более ответственном подходе к сохранности данных. Кроме того, наличие регистрации и анализа каждого случая доступа к информации повышает оценку уровня безопасности компании. Такие записи не только позволяют выявить исходные точки любых нештатных ситуаций, но и способствуют повышению уровня ответственности и функциональной дисциплины сотрудников. Мы уже знаем, что люди меняют свое поведение, если знают, что их действия записывают.
Однако во многих случаях истоки утечки данных находятся не в области слабого программного обеспечения, а в области человеческих слабостей сотрудников компании, которые могут быть раздражены, нелояльны, плохо обучены или попросту слишком загружены для того, чтобы должным образом выполнять свою работу. Пользователи заслуживают большей ясности в вопросе сохранности их данных в
