რატომ არის რთული უჩივლო კომპანიას პერსონალური მონაცემების გაჟონვისთვის (Equifax-ის მაგალითი)

Equifax

2017 წელს ჰაკერებმა აშშ-ის ერთ-ერთი უმსხვილესი კომპანია – Equifax  გატეხეს. თავდამსხმელებს ხელში ჩაუვარდათ, დაახლოებით, 143 მილიონი ადამიანის ისეთი სენსიტიური ინფორმაცია, როგორიცაა მომხმარებლების სახელები, სოციალური დაზღვევის ნომრები, დაბადების თარიღები, მისამართები და ასევე, 209,000 მომხმარებლის საკრედიტო ბარათის ნომრები. კიბერ კრიმინალებმა მოახერხეს ონლაინ პორტალზე 4 ციფრიანი პინის დარესეტება (PIN reset), რომელსაც პაროლად იყენებდნენ მომხმარებლები. რის შემდეგაც პერსონალურ კითხვებზე პასუხის გაცემით ამ მომხმარებელთა მონაცემები მოიპარეს. Equifax-ის კიბერ თავდასხმაზე იხილეთ ვრცლად ჩვენი სტატია.

კომპანიაზე რამდენიმე ფაქტმა გადამწყვეტი მნიშვნელობა იქონია: 1. დაზარალებული ადამიანების სენსიტიური ინფორმაცია არაპირდაპირ იყო მოპოვებული საკრედიტო ისტორიების ბიუროს მიერ. 2. Equifax-ს განსაკუთრებული ადგილი უკავია პერსონალური ინფორმაციისა და კიბერუსაფრთხოების ეკოსისტემაში.

რასაკვირველია, ამ ფაქტთან დაკავშირებით დაიწყო გამოძიება. სავაჭრო ფედერალური კომისიის და შიდა ვაჭრობის იუსტიციის დეპარტამენტის მიერ კომპანიის მიერ გამოძიების საგანი გახდა, ასევე, უსამართლო და ტყუილზე აგებული სავაჭრო პრაქტიკა. აღსანიშნავია ისიც, რომ ჰაკერული შეტევის შედეგად დაზარალდნენ კანადისა და დიდი ბრიტანეთის მოქალაქეებიც, რის გამოც მოცემული ქვეყნების წარმომადგენლებმა საკუთარი კვლევა აწარმოეს. ფაქტი, რომ Equifax არაპირდაპირი გზით მოიპოვებდა მომხმარებლების პირად სენსიტიურ ინფორმაციას, ბადებს უამრავ სამართლებრივ შეკითხვას.

ფართომასშტაბიანმა ინფორმაციულმა გარღვევამ უამრავი კომპანია გაანაწყენა შესაძლო ნეგატიური გავლენის გამო, რადგან მათი მომხმარებლებიც და თანამშრომლებიც პოტენციური რისკის ქვეშ დადგნენ. მართლაც, ნებისმიერი კომპანია, რომელიც იყენებს პერსონალურ მონაცემებს მომხმარებელთა საიდენტიფიკაციოდ, უნდა აფასებდეს, შეუძლია თუ არა სრულფასოვნად დაიცვას მათი ინფორმაცია ამ ტიპის ფართომასშტაბიანი მონაცემების გარღვევის დროს.

აღსანიშნავია ისიც, რომ 2017 წელს Equifax-მა მოიხსნა ვალდებულება არაპირდაპირად დაკავშირებულ მომხმარებლებთან და განაცხადა, რომ მხოლოდ დაზარალებული კორპორატიული მომხმარებლების წინაშე იყო ვალდებული. ჩნდება უამრავი კითხვა, რა სამართლებრივი ვარიანტები აქვთ დაზარალებულ მომხმარებლებს? შეუძლიათ თუ არა უჩივლონ კომპანიას ამგვარი დაუდევრობისთვის? მსგავს სიტუაციებში, პასუხი არის – არა. მესამე პირის მიერ განხორციელებული ქმედებებისას კომპანია, უმეტეს შემთხვევაში, იხსნის ვალდებულებას (როგორც Equifax-ის შემთვევაში მოხდა), მიუხედავად იმისა, იცავს თუ არა იგი საკმარისად მომხმარებლების უფლებებს პირადი მონაცემების კონფიდენციალურობის მხრივ. ეს შემთხვევა ნათლად ცხადყოფს, რაოდენ რთულია პირადი მონაცემების გაჟონვისას ფიზიკური პირის მიერ დიდ კომპანიასთან დაპირისპირება.

ნორმალურ ვითარებაში, საკრედიტო ბიუროები არიან ისინი, ვისაც დახმარებას თხოვენ დაჰაკვის შემთხვევაში საკრედიტო მონიტორინგისთვის, პირადობის ქურდებისგან დაცვის და უამრავი სხვა სერვისისთვის. აქვე უნდა ითქვას, რომ არცერთი კომპანია არაა დაზღვეული ჰაკინგისგან. ინფორმაციის სენსიტიურობამ და დაზარალებულ მომხმარებელთა მრავალრიცხოვნობამ მნიშნელოვნად დააკნინა კომპანიის რეპუტაცია.

ამერიკის შეერთებულ შტატებში ინფორმაციის მოგროვებას აადვილებს სოციალური უსაფრთხოების ნომრის პაროლად გამოყენება. ამ უნიკალური ნომრით არა მხოლოდ ადამიანის იდენტიფიცირება, არამედ აუთენთიფიკაციაც ხდება. ქართულ რეალობასთან პარალელი რომ გავავლოთ, მომხმარებლის გარკვეული ნაწილი აუთენთიფიკაციისთვის იყენებს პირად ნომერს, რაც არასწორია (რადგან, პირადი ნომერი უნიკალურია, თუმცა საიდუმლო არაა, იქიდან გამომდინარე, რომ იგი გამოიყენება ბევრგან და გაგება მარტივია). შესაბამისად, დაუშვებელია, რომ პირადი ნომერი გამოყენებული იყოს აუთენთიფიკაციისთვის.

ასევე, სასურველია, რომ კერძო ინდუსტრია აღჭურვილი იყოს ბევრად უფრო მძლავრი პერსონალური ავტორიზაციის მექანიზმებით, როგორიცაა ბიომეტრიული, მულტიფაქტორული და სხვა ტიპის ავტორიზაციები, რათა, შეტევის შემთხვევაში, ბევრად რთული იყოს ჰაკერების მიერ მომხმარებლის ინფორმაციაზე წვდომის მოპოვება.