РАЗЛИЧИЕ ПРОБЛЕМ БЕЗОПАСНОСТИ И ЗАЩИТЫ
Хотя понятия за щиты и безопасности часто используют как синонимы, важно понять существующее между ними различие, представленное на рис. 10.1. Это поможет вам выстроить действенный план решения проблем безопасности и защиты в своем собственном приложении.
Вопросы безопасности сконцентрированы на уязвимости технологий и решениях для защиты конфиденциальных данных от неавторизованного доступа к ним и манипуляции ими. Сведения о лицах, компаниях и объектах, которые трактуются как закрытые, должны подлежать бережному хранению и охране. К числу намеренных нарушений режима безопасности данных относят их кражу и применение третьими сторонами по злому умыслу для извлечения прибыли или причинения ущерба. И хотя бреши в системе хранения могут повлечь раскрытие персональных данных о гражданине, свое внимание в этой главе мы сосредоточим на защите личной информации, речь о которой и пойдет ниже.
В центре нашего обсуждения вопросов защиты — возможное злоупотребление информацией ее авторизованным получателем, ведущее к нарушениям и вторжению в сферу частной или деловой тайны. В то же время горячо обсуждаемые в контексте RFID темы защиты персональных секретов не связаны с безопасностью как таковой, а в первую очередь относятся к авторизованному сбору личных данных, использование которых властями потенциально может быть сопряжено со злоупотреблениями и применением данных не по прямому их назначению. «Большой брат следит за тобой», — эта звучащая рефреном в Соединенных Штатах мысль Оруэлла отражает озабоченность общества тем, что органы, ответственные за сбор и управление данными о населении в целях оказания услуг, могут использовать их для ведения слежки, наблюдения, контроля и ограничения свободы граждан. Аналогичную тревогу вызывает и кажущийся менее навязчивым опыт «целевых продаж» (то есть отслеживания потребительских предпочтений с целью проведения рекламных кампаний, более точно ориентированных на ничего не подозревающих покупателей).
Заметим, что хотя тема защиты личности публично обсуждается куда чаще, компании также озабочены теми проблемами безопасности, которые ведут к получению неавторизованного доступа и возможности манипулирования корпоративной информацией личного или конфиденциального содержания. Так, используя приложение RFID для управления цепочками поставок, в котором для трассировки продуктовых запасов служат радиометки, деловые партнеры, имеющие доступ к закрытым данным о состоянии склада или наблюдающие перемещение запасов по данным от меток — с авторизацией или без, — подвергают опасности корпоративные данные, а возможно, и затрудняют возможность компании вести переговоры о более выгодной ценовой политике с поставщиками и своими клиентами.
В следующих разделах главы мы очертим уязвимые области, оценим риски для бизнеса и клиентов и обозначим диапазон возможных решений. В заключение же обсудим проблемы защиты личной тайны в отношении RFID и предложим ряд рецептов их разрешения из числа лучших примеров практического характера.