В 2014 году ИТ-руководителям придется принять серьезные решения о сохранении конфиденциальности информации в своих компаниях. Зачастую, говоря о сложных решениях, мы имеем в виду, что знаем, как правильно это сделать, но главное – принять это “правильное”. К тому же каждой компании – в каждой отрасли – надо будет принять свое решение, основываясь на проблемах своих сотрудников и клиентов.

Конечно, есть компании, которым приходится сталкиваться с “демонами” конфиденциальности чаще, чем остальным. И не всегда они меняют свою политику в сторону защиты клиентов и пользователей, чаще это противоречит самой миссии компании.

Возьмем к примеру Google. Особенно тот момент, когда изменение политики конфиденциальности привело к совершенно другим результатам. Помните, когда выпустили Android 4.3 с системой контроля конфиденциальности? Редкий случай, когда компания Google решила позаботиться о защите личных данных своих клиентов, и это было здорово. Там был список всех приложений с информацией о том, какой доступ есть у каждого приложения, и можно было просто ограничить то, что вы хотели ограничить. Даже защитники сохранения личной информации из Фонда электронных рубежей – а не только фанаты – одобрили это начинание.

А потом эта функция исчезла. С приходом Android 4.4.2 кратковременная помощь с системой управления конфиденциальностью закончилась. А выяснилось, что этот полезный инструмент никогда и не предназначался для нужд пользователей. Инженер-разработчик Google Android Дайан Хэкборн в своем посте написала, что UI предназначалось не для конечного пользователя, а использовалось лишь в конструкторских целях. UI вообще не должен был быть доступен для всех, а только для создания архитектуры.

То есть сама идея, что Google сделает такие средства управления конфиденциальностью доступными для людей, за чьей жизнью постоянно наблюдают, была изначально абсурдна для Google! Компания Google считает конфиденциальность препятствием для извлечения своей прибыли. Ее бизнес-модель зависит от того, сколько информации она сможет добыть у своих клиентов и компаний и продать ее другим потребителям и компаниям.

Кстати, не только Google жаждет продавать данные о поминутном отслеживании геолокации каждого сотрудника, заказчика и поставщика. Поэтому в 2014 году компаниям необходимо вплотную заняться этим вопросом и принять соответствующие решения о том, насколько далеко они могут позволить компаниям вторгаться в свое личное пространство. Но теперь такие решения необходимо принимать не просто на уровне ИТ-руководителей, а на уровне CEO и руководства компании, и проводить их через каждый департамент организации (особенно это касается отдела маркетинга).

Вот несколько ключевых областей, где просто необходимо как можно быстрее принять соответствующие решения.

Политика использования собственных устройств на работе (BYOD)

Идея разрешить (или заставить?) сотрудникам использовать свою личную собственность для осуществления бизнес-деятельности имеет и свои плюсы, и свои минусы, но эта тенденция получает все большее распространение, поэтому большинству предприятий не избежать этого нововведения. Протоколы системы безопасности требуют, чтобы личные телефоны и планшеты также, как и корпоративные информационные устройства, регулярно создавали резервные копии. И здесь возникает вопрос: как гарантировать, что эти копии на ИТ-серверах (или в облаках) не будут выставлять личную информацию или фото на всеобщее обозрение компании?

Лучшим решением здесь будет провести некоторое разделение, т.е. полностью отделить корпоративные данные и приложения от личной информации и приложений. Так ИТ может по умолчанию получать доступ и копировать все, что касается дел компании, не волнуясь о сохранении конфиденциальности. А если сотрудник уходит из компании, его сокращают или увольняют, то в последний день его работы с корпоративной стороны устройства все можно дистанционно удалить.

Миф, что молодых пользователей не волнует защита частной сферы

Почему это миф? Потому что это стало расхожим мнением на основании всего лишь нескольких низкосортных опросов. Если вы спросите какую-нибудь группу людей: “Насколько вы цените свою конфиденциальность?”, то получите совершенно другой ответ, чем если бы вы попросили этих людей привести конкретные примеры личной информации, которую они не хотели бы раскрывать.

На самом деле, молодежь высоко ценит свою частную жизнь, но то, что они не считают личной информацией, порой изумляет. Социальные взаимодействия (включая секс) – это вопросы, которыми они свободно делятся на социальных сайтах, как и номерами своих мобильных телефонов. Но они не хотели бы, например, чтобы другие люди знали информацию о их банковских счетах и платежных карточках.

Здесь надо понять, что каждая ключевая группа (сотрудники и клиенты) считает конфиденциальным? Насколько они беспокоятся о каждой сфере? Есть ли что-то, что заставило бы их отказаться от этой особой конфиденциальности? Вы обнаружите, что у разных сотрудников (и клиентов) совершенно разные точки зрения.

Затем следует пересмотреть политику конфиденциальности, проводимую в своей компании. Сотрудники, скорее всего, скажут о вашей возможности получать доступ ко всей электронной почте и телефонным звонкам компании (а также к обмену сообщениями по Twitter или другим механизмам коммуникации). Но так ли на самом деле вам необходима эта информация? Если да, нет ли здесь менее назойливого способа получить эти данные? Менее навязчивое вторжение в личную сферу может оказаться весьма полезным инструментом рекрутинга и сохранения ценных сотрудников, особенно в отношении разработчиков и инженеров. Изучите свою корпоративную культуру и обязательно обсудите эти вопросы с руководителями компании, чтобы запланировать эту деятельность на 2014 год.

Вызовы в суд и ордера на обыск

Вендор электронной почты Lavabit оказался одним из фигурантов дела вследствие разоблачений Эдварда Сноудена в отношении АНБ. Когда по распоряжению суда компанию обязали передать им шифровальные ключи, компания согласилась – в некотором роде. Она предоставила 11-страничную распечатку мелким шрифтом со значками. Прокуроры пожаловались на неудобочитаемость этого документа.

“Чтобы использовать эти ключи, ФБР должны вручную ввести все 2560 знаков, и один неправильный набор знака в этом трудоемком процессе сделает невозможным для системы ФБР расшифровку собранной информации,” – писали обвинители. Суд, соответственно, обязал компанию Lavabit предоставить им ключи в электронной форме. И тут Lavabit сделала необычный ход: компания сообщила своим клиентам, что больше не может защищать эту коммуникацию и затем закрыла сервис, чтобы предотвратить ненамеренный обмен данными между своими пользователями и государственными следователями.

Lavabit, на самом деле, заслуживает доверия за достоверность своего маркетингового сообщения: компания действительно заботится о конфиденциальности данных своих клиентов. Принцип здесь превзошел вопрос прибыли. Но этот пример заставил задуматься, а надо ли компаниям решать, где проводить границу в отношении юридических аспектов, и затем публиковать это решение в рамках своей политики конфиденциальности? И как такой поступок может сказаться на PR-отношениях? Скорее всего, большинство компании откажутся от своей ответственности и автоматически будут передавать всю полученную информацию в суд, но для некоторых компаний своя точка зрения и принципы определенно имеют смысл. И для каждой компании здесь тоже есть что обсудить.

Как опубликовать вашу политику конфиденциальности

То, как большинство компаний презентует свою политику конфиденциальности, похоже на шутку. Многостраничный текст написан крошечными буквами и полон неразборчивых и невразумительных юридических терминов. Если его резюмировать, то выглядеть он будет так: “Мы можем делать все, что захотим, а вы ничего с этим поделать не можете. Просто кликните на поле “Согласен”, и вы будете связаны обязательствами со всем, что здесь написано. Единственный альтернативный вариант – не использовать наш сайт или приложение”.

В 2014 году вопрос сохранения конфиденциальности в компаниях следует поставить во главу угла. Документ, касающийся конфиденциальности, должен быть кратким и написан понятным языком. Все, что действительно важно, необходимо четко сформулировать и выделить жирным шрифтом. Кстати, судебных разбирательств в отношении политики конфиденциальности, враждебно настроенной против пользователей, становится все больше, и судьи все чаще занимают сторону пользователей.

Политика конфиденциальности в этом году должна стать одним из основных стратегических документов в компании. Если вы не будете уделять ей должного внимания, то можете столкнуться с гораздо большим сопротивлением, чем раньше. К тому же в защите личной информации есть и положительная сторона: у вас может появится большое преимущество перед своими конкурентами, которые отвергли возможность принять такое важное стратегическое решение.