ЦОДы предоставят доступ к данным по решению суда США

11 августа 2014 г. | Цодиков Евгений | Категория: Обсуждаем статью

Microsoft и другие компании тщетно противостоят приказу властей предоставлять государственным органам США данные, хранящиеся в дата-центрах. Руководители компании сопротивляются этой инициативе по нескольким причинам:

– это отпугивает клиентов необходимостью «фильтровать информацию» с учетом возможного надзора,  

– отнимает время персонала на площадках, когда они обязаны предавать данные властям,

− увеличивает риск утечек информации.

Едва утихло волнение после разоблачений Сноудена, как летом 2014 года опять заговорили на тему, что спецслужбы проникают в хранилища данных. Корпорация Microsoft получила ордер от американской государственной организации на выдачу электронной переписки и финансовых счетов одного клиента, - информации, которая хранилась в европейском дата-центре в Дублине. В этом ЦОДе есть также данные пользователей из России.

В декабре 2013 года суд обязал Microsoft передать американским властям данные о подозреваемом. Корпорация подала апелляцию. Но недавно, рассмотрев жалобу, вышестоящая инстанция оставила постановление в силе.

Лоретта Преска, судья муниципального суда Нью-Йоркского округа, отметила, что речь идет «о контроле над информацией, а не о ее месторасположении». То есть не важно, что еще хранится в том же дата-центре – распоряжение касается лишь переписки конкретного обвиняемого в распространении наркотиков, а не всех данных в ЦОДе.

Microsoft не оспаривала вину или невиновность данного лица, но не хотела создавать прецедент таких предписаний и предоставления доступа властям в дата-центр, тем более в другой стране.

Федеральный судья США Джеймс Френсис поддержал решение суда, заявив - если бы США приходилось каждый раз координировать свои действия с другими правительствами, то правосудие было бы серьезно ограничено, а преступники легко сливали бы данные в соседние страны.

За последние два года законодательные органы взялись за формирование новых правил, касающихся хранения данных. В этом году в Европе был принят новый закон о том, что компаниям больше не нужно хранить в дата-центрах запросы в поисковиках от владельцев IP-адресов более двух лет. Microsoft и Google начали удалять личные данные по запросу европейских пользователей.

Microsoft подчинилась постановлению Европейского суда и «почистила» по требованию пользователей персональную информацию из базы интернет-поисковика Bing. Для этого нужно заполнить интерактивную форму на сайте, указать настоящее имя, адрес проживания, контактную информацию и прикрепить документы, подтверждающие эти данные. Также необходимо указать ссылки, что и где нужно удалить. Все данные заверяются электронной подписью. Однако только модератор Bing решает, удалить ли информацию окончательно.

О том, что такой интерес к удалению данных у пользователей есть, свидетельствует следующий факт − когда компания Google разместила аналогичную форму в начале июня, то в первые часы поступило более 12 тысяч заявок на удаление личных данных. Но многие представители ИТ-компаний негативно прореагировали на европейский закон. Основатель Википедии Джимми Уэйлс назвав требование удалять информацию «правом подвергать цензуре то, что кого-то не устраивает».

По мнению многих экспертов, новые законодательные инициативы о личных данных мешают объективной циркуляции сведений в виртуальной сети. Однако судиться из-за европейского закона компании не стали.

Информационное агентства Reuters уверяет, что иск Microsoft против решения Нью-Йорского суда - это первый случай оспаривания частной компанией законности ордера о выдаче данных, которые хранятся в дата-центре за границей.

Судебное разбирательство с Microsoft закончилось проигрышем для отрасли дата-центров. Суд принял решение о том, что «американские интернет-компании обязаны предоставлять адреса электронной почты пользователей и любой другой контент, интересующий спецслужбы США, даже если эта информация хранится на серверах за границей».

Во время судебного разбирательства стороны завязли в спорах о юридических тонкостях. Юристы Microsoft указывали, что согласно тому же самому американскому законодательству, ордера на выдачу данных перестают действовать в отношении объектов в других странах. Прокурор сослался на закон «О хранении информации», который содержит оговорку о применении без геополитических ограничений.

Теперь постановление автоматически будет распространяться на американские компании по всему миру. Это означает, что власти Америки смогут получить доступ в дата-центр американской компании, даже на территории Российской Федерации, без согласия владельца информации и санкции или уведомления госорганов РФ.

Однако есть и такие аргументы в пользу разрешения проверять личные данные − недавно Google помогла поймать педофила именно благодаря тому, что нарушила неприкосновенность частной информации. Полиция Хьюстона арестовала педофила, после того как система поисковика выявила, что в его аккаунте Gmail хранится детская порнография. Google использует автоматическое сканирование изображений и выявляет снимки с противозаконным содержанием. Преступник был вне подозрения пока поисковая система не указала полиции на него. Анализируя содержание аккаунтов, компания Google не нарушила права пользователей. В соглашении, который владелец аккаунта подписывает одним кликом, указывается, что компания мониторит содержимое почтового ящика, отсеивая вирусы, спам и материалы, которые расцениваются как угроза общественной безопасности. Никто из клиентов не обращает особого внимания на этот пункт, а он дает повод пролистать переписку и личный архив.

Вероятно, в будущем можно будет выявлять корпоративные преступления, вроде махинаций со счетами энергетического гиганта Enron, − на уровне сканирования документации в ЦОДе.

Руководители ИТ-фирм и владельцы дата-центров находятся между двух огней.  Не позволять сканировать данные в хранилищах в целях безопасности – все равно что создавать теневые зоны. А позволять это делать – значит, вызывать недовольство клиентов и обвинения в том, что площадка не может предоставить полную сохранность корпоративной информации. Для корпораций есть существенная разница между автоматической системой сканирования поисковика и направленным вторжением в хранилище посторонних служб. Захотят ли клиенты оставаться в дата-центре, где их данные проходят мониторинг?

AT&T, Apple, Cisco Systems и Verizon Communications заявили о поддержке жалобы Microsoft и из отраслевой солидарности  оспаривают законность решения с выдаче частных данных с сервера ЦОДа в другой стране. Юристы этих корпораций указывают на риск для следователей превысить полномочия. Операторы дата-центров опасаются потери прибыли из-за бегства клиентов из ЦОДов американских компаний в других странах к местным провайдерам. Не беспочвенны и опасения о том, что конкуренты сумеют переманить их к себе под таким предлогом.

Теги: Microsoft, хранение данных, безопасность