Правовые аспекты
Категория: Политика администрирования | Автор: admin | 29-06-2010, 04:49 | Просмотров: 3118

Федеральное правительство и некоторые штаты издали законы о преступлениях в области вычислительной техники. На федеральном уровне таких законов несколько:

  • Федеральный закон о секретности связи;
  • Закон о компьютерном мошенничестве и компьютерных злоупотреблениях;
  • Закон о компьютерных кражах;
  • Закон об авторском праве "Digital Millennium Copyright Act".

С началом нового тысячелетия перед системными администраторами, сетевыми операторами и Web-узлами, предоставляющими услуги хостинга, встали новые ответственные задачи: это и усиление защиты электронной коммерции, и защита авторских прав, и защита конфиденциальности.

 

Ответственность

 

Системные администраторы обычно не отвечают за то, что пользователи хранят на машинах, которые они обслуживают. Провайдеры услуг Internet чаще всего просто направляют всех, кто к ним подключается, к своим клиентам. Вся ответственность за действия клиентов возлагается на самих клиентов, а не на провайдеров или организации, предоставляющие услуги провайдерам. Целью такой политики является защита провайдеров от ответственности за спам и прочие неприятности, такие как, например, хранение пользователями на своих узлах детской порнографии. Узнайте, каковы законы на этот счет в вашей стране.

Полезная юридическая информация имеется на узле www.mibh.net. Там есть сведения о незаконных действиях, нарушениях интеллектуальной собственности и нарушениях правил использования продуктов и услуг. Вы найдете на этом узле список запрещенных действий, ограничений, описание процедур регистрации жалоб и кое-что об ответственности.

 

Шифрование

 

Необходимость шифрования в сферах электронной коммерции и коммуникации очевидна. Однако в некоторых странах шифрование запрещено законом. Полиция и другие организации, охраняющие закон, не хотят, чтобы они не могли расшифровать передаваемые гражданами данные.

В Соединенных Штатах законы, касающиеся шифрования, меняются. В прошлом запрещалось экспортировать серьезные технологии шифрования. Поэтому компаниям приходилось разрабатывать по две версии программного обеспечения: одну для локального рынка, а другую на экспорт. Очевидная абсурдность этой политики (как будто больше нигде в мире не разработаны технологии шифрования!) и явные требования электронной коммерции заставили правительство изменить этот закон. Хотя некоторые ограничения на экспорт по-прежнему существуют, ситуация в США уже значительно улучшилась.

Еще один побочный эффект, вызванный устаревшим законом США, заключается в том, что все программные проекты, связанные с шифрованием, разрабатываются вне страны. IETF провела серьезную работу по стандартизации в области защиты двусторонней коммуникации на уровне протоколов (усилиями IPSEC), и производители начали разрабатывать системы на основе этих стандартов. Аутентификационная часть пока еще привязана к конкретной системе, однако шифрующее программное обеспечение уже устанавливается отдельно. Такая архитектура, кроме прочего, обеспечивает большую гибкость в разработке программного обеспечения для стран, где шифрование запрещено.

 

Защита авторских прав

 

Музыкальная индустрия и кинопроизводство оказались перед серьезным фактом: на домашних компьютерах можно проигрывать музыку с компакт-дисков и просматривать фильмы в формате DVD С одной стороны, это открывает новые возможности, а с другой, ставит множество проблем, особенно с распространением таких служб, как Napster.

Содержимое диска в формате DVD шифруется по технологии, называемой CSS (Content Scrambling System). Это делается для того, чтобы диски могли проигрываться только лицензированными и одобренными плеерами. Эти плееры, как и лицензированное программное обеспечение для проигрывания, имеют ключ для раскодирования дисков.

И вот один норвежский студент и еще пара неизвестных европейских хакеров проанализировали процесс шифрования CSS и поместили в Web программу, названную DeCSS. Эта программа не обходит схему шифрования DVD. Она просто использует ключ законного плеера Windows для декодирования потока данных DVD и сохраняет расшифрованный поток на диске.

Этого студента судят в Норвегии, a Motion Picture Association of America и DVD Copy Control Association судятся с множеством дистрибьюторов программного обеспечения DeCSS. Их обвиняют не в краже материалов, защищенных авторским правом, а в распространении коммерческой тайны и "нарушении защиты от копирования", что запрещено законом Соединенных Штатов "Digital Millennium Copyright Act", изданным в 1998 году.

Поскольку на этих судебных процессах обсуждаются многие проблемные вопросы компьютерного законодательства, общественность и специализированные юридические организации следят за ними с большим интересом. За информацией на эту тему можно обратиться по адресу www.cssfaq.org.

Компания CyberPatrol разрабатывает программное обеспечение для фильтрации данных, получаемых из Internet. Религиозные организации распространяют это программное обеспечение в семьях, где имеются дети, в школах и библиотеках, чтобы защитить детей от того, что им видеть не нужно. Компания A Canadian and a Swede разработала программу cphack, позволяющую расшифровывать списки блокировки, создаваемые программным обеспечением CyberPatrol, чтобы узнать, какие Web-узлы заблокированы, каков уровень ошибок и какие невидимые программы присутствуют в системе. Ее сотрудники сообщили, что все, кто критиковал программное обеспечение CyberPatrol, заблокированы по всем категориям.

Мэттел, которому принадлежит компания CyberPatrol, подал в суд на авторов этой программы, утверждая, что лицензия CyberPatrol запрещает инженерный анализ программного обеспечения компании. Мэттел получил предварительное судебное заключение, запрещающее распространение программного обеспечения, но, к сожалению, судебный процесс так и не начался, поскольку дело было улажено. Авторы программы cphack продали ее Мэттелу за 1 доллар и согласились выполнить это постановление. Похоже, что авторы отступили, и Мэттел пытается доказать свои права на программу, выпущенную как общедоступное программное обеспечение (т.е. с лицензией GNU Public License).

Мэттел собирается использовать свое новоприобретенное право интеллектуальной собственности для того, чтобы запретить копирование программы cphack через Internet (как будто это возможно!). Но поскольку эта программа выпущена авторами с лицензией GPL, ее можно распространять безо всяких ограничений, кто бы ни был владельцем авторского права. Раз уж программа выпущена с лицензией GPL и все сделано в соответствии с законом, обратно ее не вернешь.

 

Конфиденциальность

 

Обеспечение конфиденциальности всегда было задачей не из легких, а уж с появлением Internet дело тут стало совсем плохо. Возьмем, к примеру, недавний инцидент в Университете штата Мичиган. Медицинские карточки студентов университета в один прекрасный день оказались опубликованными в Internet. К тому времени, как один из студентов заметил "утечку", они находились там уже несколько месяцев.

Еще один большой скандал произошел вокруг компании Double-Click.net — рекламного агентства, создающего баннеры для Web-страниц. Годами эта компания заверяла своих пользователей в их полной анонимности, утверждая, что никто не сможет их обнаружить и идентифицировать. Недавно DoubleClick приобрела компанию, выполняющую поиск и анализ данных и начала собирать информацию о пользователях, посещающих Web-страницы с ее баннерами. Конечно, как только об этом стало известно, поднялся шум, и компании пришлось закрыть проект и нанять пару опытных в таких делах юристов.

Но афера компании DoubleClick — чепуха по сравнению с той угрозой конфиденциальности, которую представляют наши провайдеры услуг Internet в сочетании с действиями компании, называемой Predictive Networks. Как утверждается в "PRIVACY Forum Digest", компания Predictive с помощью провайдеров планирует наблюдать за вашей работой в сети и собирать информацию о посещаемых вами URL, ключевых словах, вводимых вами в программах поиска ресурсов, и т.п. На основе этой информации она будет формировать вашу цифровую "подпись" и пользовательский профиль и использовать его для того, чтобы подбирать Internet-ресурсы и рекламу персонально для вас.

Predictive утверждает, что эта информация будет "анонимной" и вы можете доверять всем, кто вовлечен в процесс ее сбора: сотрудникам компании Predictive, сотрудникам своего Internet-провайдера, тем, кто размещает рекламу и ресурсы, — в общем, чуть ли не всему миру. Вы можете запросить копию своей цифровой подписи, но за это придется заплатить. Можно также отказаться от использования этого "сервиса", но тогда подключение к Internet будет стоить вам дороже или провайдер даже вовсе расторгнет с вами договор. На момент написания этой книги на Web-узле Predictive (www.predictivenetworks.com) не было никаких сведений о политике защиты конфиденциальности и вообще было мало информации о том, чем они на самом деле занимаются. Статья из 'PRIVACY Forum Digest" (V09, #13, www.vortex.com) содержит больше подробностей об их планах и позиции в отношении защиты пользователей Internet.

 

Внедрение в жизнь политики администрирования

 

Файлы регистрации у вас лично не оставят и тени сомнения относительно того, кто именно и что плохого сделал, однако для суда это — все равно что доказательство, основанное на слухах. Используйте для защиты официально заверенные "бумажные" документы, ибо документы, представленные в электронной форме, в суде могут не возыметь действия. Некоторую пользу могут принести штампы времени в файлах регистрации, однако только в том случае, если на компьютере работает Network Time Protocol (NTP), синхронизирующий его часы с реальным временем.

А вот правила безопасности могут помочь возбудить дело о злоупотреблениях. В эти правила следует включать такое положение:

Unauthorized use of University computing systems may involve not only transgression of University policy but also a violation of state and federal laws. Unauthorized use is a crime and may involve criminal and civil penalties; it will be prosecuted to the full extent of the law.

(Несанкционированное использование компьютерных систем университета связано с нарушением не только университетских правил, но и законов штата и государства. Несанкционированное использование является преступлением, влечет за собой уголовную и гражданскую ответственность и подлежит наказанию, предусмотренному законодательством.)

Рекомендуем помещать в файл /etc/motd (сообщение дня) предупреждение о действующих у вас правилах. Наше выглядит так:

Your keyboard input may be monitored in the event of a real or perceived security incident.

(В случае реального или предполагаемого инцидента с системой защиты вводимая вами с клавиатуры информация будет контролироваться.)

Для некоторых типов соединений сообщение дня не отображается (например, во время сеанса ftp). Пользователи могут также воспрепятствовать выводу этого сообщения на экран, создав в своих начальных каталогах файл .hushlogin. Можно сделать так, чтобы пользователи прочли это уведомление хотя бы раз; для этого нужно включить его в файлы запуска, выдаваемые новым пользователям.

Обязательно укажите, что сам факт использования учетных записей пользователей равносилен согласию соблюдать установленные правила. Объясните, где можно получить экземпляры правил, и поместите основные документы на соответствующей доске объявлений. Укажите особые меры на случай их несоблюдения: удаление учетной записи, изъятие миллиона долларов со счета в швейцарском банке, лишение родительских прав и т.д.

Предположим, с вашего узла в телеконференцию отправлено какое-нибудь нехорошее сообщение. Если вы работаете в CompuServe (сейчас это часть AOL), проблем не избежать. В судебном деле Кабби против CompuServe рассматривался случай публикации некоего клеветнического сообщения. Судья постановил, что сама CompuServe невиновна, а ведущего телеконференции, в которой это сообщение было опубликовано, обвинил в халатности. Мораль: чем больше вы пытаетесь контролировать информацию, тем большую ответственность на себя берете.

Этот принцип прекрасно иллюстрируется историей бизнеса, которым занимался в Техасе один изобретательный студент по фамилии Чизер. Он написал сценарии на языке Perl, просматривающие группы новостей Usenet, собирал с их помощью непристойные картинки и публиковал их на собственном Web-узле. Он брал с подписчиков по 12 долларов в месяц и зарабатывал на этом огромные деньги.

Чизер пытался проявить ответственность и не подписывался на группы новостей, где могла быть детская порнография. Однако он имел дело с некоторыми группами новостей, материалы которых были на грани незаконных. Этот просчет, а также то, что он выбрал для своего бизнеса один из консервативных округов штата Техас, привели к тому, что его деятельность вскоре была прекращена.

Получив анонимное сообщение (вероятно, от конкурента), полиция конфисковала его компьютеры. Естественно, они нашли снимок детской порнографии, случайно попавший из "безопасной" группы новостей. И хотя дело не дошло до суда, из соглашения о принятии вины обвиняемым было ясно, что судья считает Чизера виновным не в создании узла, а в том, что он плохо отбирал материалы. Так что, если бы Чизер не отбирал их вовсе, по закону все было бы в порядке.

Безопаснее всего ситуация, когда ваша организация, являясь подписчиком всех телеконференций, не подвергает цензуре их статьи и не сокращает иерархию телеконференций на основании их содержания. Другое дело, когда для сокращения появляются основания технического характера (например, нет места на диске). Если иерархию телеконференций нужно сократить, сделайте это ближе к вершине дерева. Легче оправдать отказ от всей категории "alt", чем объяснить, зачем вы удалили alt.sex.fetish.feet и оставили alt.sex.bes-tiality.hamsters.

 

Этот принцип распространяется и на другие отношения с внешним миром. С юридической точки зрения вывод однозначен: чем больше вы контролируете использование Internet вашими пользователями, тем большую ответственность можете понести за их действия и публикации. Если вы знаете о противоправной, подсудной деятельности, закон обязывает вас расследовать ее и доложить о результатах куда следует.

Вот по этой причине некоторые компании ограничивают данные, которые они вносят в журналы доступа на своих Web-узлах, сокращают время хранения журналов, и не все их данные записывают в архивы и резервные копии. Для реализации подобной политики существует даже специальное программное обеспечение (например, Squid web cache), определяющее уровень протоколирования доступа, что позволяет системным администраторам разрешать возникающие проблемы и при этом не нарушать конфиденциальности действий пользователей.

Системные администраторы должны знать правила, действующие во всех подразделениях организации, и обеспечивать их неукоснительное соблюдение. При этом учтите, что не имеющие законной силы и противоречивые правила — это еще хуже, чем их отсутствие (как с практической, так и с юридической точки зрения).

 

Лицензии на программное обеспечение

 

Многие компании оплачивают меньшее количество копий программных пакетов, чем на самом деле используют. Если об этом становится известно, компания теряет гораздо больше, чем сэкономила на приобретении недостающего числа лицензий. Другие компании получают демо-версию дорогого пакета и взламывают ее (меняют дату на компьютере, определяют лицензи­онный ключ и т.п.), чтобы пакет продолжал работать по истечении демонстрационного срока. Как системный администратор должен реагировать на предложения нарушить лицензионное соглашение и установить нелицензионные копии продукта на дополнительные машины? Что ему делать, если он обнаружит, что на обслуживаемых им компьютерах работает пиратское программное обеспечение? И как быть с условно-бесплатными программами, за которые так никогда и не заплатили?

Это сложный вопрос. К сожалению, руководство не всегда поддерживает администратора, предлагающего либо удалить нелицензионные копии пакетов, либо их оплатить. А ведь часто именно системный администратор подписывает лицензионное соглашение, требующее удалить демонстрационные копии после определенной даты, тогда как решение их не удалять принимает руководитель.

Даже если вы дорожите своей работой, помните, что речь идет о вашей личной и профессиональной честности. Что касается работы, то спрос на хороших системных администраторов настолько велик, что без работы вы надолго не останетесь. Нам известно несколько случаев, когда непосредственный начальник системного администратора предлагал ему не раскачивать лодку. В каждом случае администратор написал докладную записку высшему руководству, в которой указал количество лицензированных и используемых копий и процитировал лицензионное соглашение. В результате в одном случае уволился непосредственный начальник системного администратора, в другом администратор.

 

Спам: навязчивая почта коммерческого содержания

 

Множество рекламных агентов, коммерческих представителей и просто аферистов ринулись в Internet, чтобы воспользоваться преимуществом "бесплатной" электронной почты. Стоимость отправки рекламы тысячам пользователей Internet ничтожно мала по сравнению со стоимостью отправки традиционной бумажной почты, и доходит она невероятно быстро. В результате страдают две категории людей: пользователи Internet, ежедневно получающие горы спама, и провайдеры услуг Internet, оплачивающие весь этот трафик.

Мы не будем вдаваться в технические детали борьбы со спамом. Они достаточно полно описаны в главе 19, посвященной электронной почте. Здесь же мы упомянем юридические аспекты вопроса.

В Соединенных Штатах действуют законы (преимущественно на уровне штатов), которые могут использоваться для юридического преследования лиц, занимающихся рассылкой спама. Как минимум в одном случае отправителям спама пришлось заплатить за каждое отправленное ими сообщение, поскольку они нарушили нормальное ведение бизнеса получателями. К сожалению, большинство получателей спама его просто удаляют и не трудятся призвать его отправителей к ответу.

Провайдеры услуг Internet пытаются всячески препятствовать рассылке спама, причем не только из-за используемых им ресурсов и полосы пропускания, но еще и потому, что спам обычно нарушает правила их собственных провайдеров и подвергает их риску утратить подключение к сети.

Полезные ссылки на материалы, связанные с рассылкой спама, вы найдете по адресу: http://www.elsop.com./wrc/nospam.htm


 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page