Джон К. Хиггинс
29 декабря 2020 г., 5:00 по тихоокеанскому времени
Федеральная торговая комиссия США выполняет резолюцию по усилению контроля за недостатками безопасности, возникающими при транзакциях электронной торговли. Ярким примером являются недавние действия агентства, связанные с обвинениями в неправомерных действиях провайдера телеконференцсвязи Zoom Video Communications.
В соглашении с Zoom, Федеральная торговая комиссия (FTC) наложила на компанию весьма специфические требования в отношении вопросов безопасности и конфиденциальности, связанных с услугами Zoom. Соглашение от 13 ноября 2020 г. стало официальным после того, как период комментариев истек в середине декабря.
Федеральная торговая комиссия заявила, что соглашение с Zoom требует, чтобы компания «внедрила надежную программу информационной безопасности для урегулирования обвинений в том, что провайдер видеоконференцсвязи участвовал в ряде обманных и несправедливых действий, которые подорвали безопасность его пользователей».
Zoom не признал и не опроверг утверждения Комиссии о принятии соглашения.
Содержание статьи
Эффект широкого колебания электронной коммерции
Что важно в мире электронной коммерции, действия Комиссии по делу Zoom отражали больше, чем внутреннюю политику усиления контроля над вопросами электронной коммерции. Действия FTC также отражают решение федерального суда, которое привело к тому, что Комиссия решила принять более жесткие и целенаправленные меры по обеспечению соблюдения требований по сравнению с более общими требованиями, согласно анализу дела Клири Готтлиб.
Кроме того, влияние действий FTC выходит далеко за рамки приложения к услугам видеоконференцсвязи и влияет на широкий спектр деятельности в области электронной коммерции. «Решение Zoom абсолютно применимо в широком смысле, — сказала Кэтлин Бенуэй, партнер Alston and Bird. Решение Федеральной торговой комиссии «предлагает уроки для любой компании, которая собирает личную информацию потребителей в электронном виде. Таким компаниям было бы разумно внимательно изучить жалобу Zoom и принять меры, чтобы их системы и процессы не вызывали подобных проблем», — сказала она E- Commerce Times.
Специфика утверждений Федеральной торговой комиссии по делу Zoom дает некоторое представление о типах транзакций электронной торговли, которые вызывают озабоченность Комиссии и могут повлиять на правоприменение.
В своей жалобе FTC сообщила, что по крайней мере с 2016 года Zoom вводила клиентов в заблуждение, заявляя, что предлагает «сквозное 256-битное шифрование» для защиты сообщений пользователей, «хотя на самом деле она обеспечивала более низкую уровень безопасности ". Сквозное шифрование — это метод защиты связи, так что только отправитель и получатель — и никто, даже поставщик платформы — не могут прочитать контент, пояснила FTC.
Zoom поддерживал криптографические ключи, которые фактически позволяли компании получать доступ к содержимому собраний своих клиентов, и частично защищал свои телеконференции с помощью более низкого уровня шифрования, чем было обещано, сообщает FTC. В апреле 2020 года Zoom признал, что его сервисы, как правило, не поддерживают сквозное шифрование, согласно анализу случая, проведенному Олстон и Берд
.
Согласно жалобе FTC, Zoom также ввел в заблуждение некоторых пользователей, которые хотели сохранить записанные встречи в облачном хранилище компании, ложно заявив, что эти встречи были зашифрованы сразу после окончания встречи. Вместо этого некоторые записи якобы хранились в незашифрованном виде до 60 дней на серверах Zoom, а затем были перенесены в его безопасное облачное хранилище.
Кроме того, Zoom развернул операционный механизм, связанный с браузером Apple Safari, который FTC охарактеризовал как метод, позволяющий обойти меры безопасности и конфиденциальности Safari без надлежащего уведомления или согласия пользователя. Комиссия утверждала, что размещение было несправедливым действием или практикой.
Мировое соглашение требует принятия нескольких мер по обеспечению соответствия
Zoom согласился разработать и внедрить комплексную программу безопасности, а также соблюдать другие подробные меры для защиты своей базы пользователей, которая в декабре резко возросла с 10 миллионов. По данным FTC, в 2019 году до 300 миллионов в апреле 2020 года во время пандемии COVID-19. В рамках соглашения Zoom:
- ежегодно оценивает и документирует любые потенциальные внутренние и внешние риски безопасности и разрабатывает способы защиты от таких рисков;
- реализует уязвимость программа управления; и
- развертывают меры безопасности, такие как многофакторная аутентификация, для защиты от несанкционированного доступа к своей сети; установить контроль удаления данных; и принять меры для предотвращения использования известных скомпрометированных учетных данных пользователя.
Кроме того, персонал Zoom должен будет проверять любые обновления программного обеспечения на предмет недостатков безопасности и должен гарантировать, что обновления не будут мешать сторонним функциям безопасности, как это произошло с механизмом Apple Safari.
Мировое соглашение также запрещает компании искажать информацию о своей политике конфиденциальности и безопасности, в том числе о том, как она собирает, использует, хранит или раскрывает личную информацию; его защитные функции; и степень, в которой пользователи могут контролировать конфиденциальность или безопасность своей личной информации.
В ответ на мировое соглашение компания заявила, что «безопасность наших пользователей является главным приоритетом для Zoom».
«Мы серьезно относимся к тому доверию, которое наши пользователи испытывают к нам каждый день, особенно потому, что они полагаются на нас, чтобы поддерживать их связь во время этого беспрецедентного глобального кризиса, и мы постоянно совершенствуем наши программы безопасности и конфиденциальности. Мы гордимся улучшениями, которые мы внесли в нашу платформу, и мы уже решили проблемы, выявленные Федеральной торговой комиссией. Решение с Федеральной торговой комиссией согласуется с нашим стремлением к инновациям и совершенствованию нашего продукта, поскольку мы обеспечиваем безопасную видеосвязь », — говорится в ответе компании E-Commerce Times от официального представителя Келси Маркович.
FTC будет и впредь бдительно следить за безопасностью и конфиденциальностью
Решение Zoom явно свидетельствует о более агрессивной политике принуждения со стороны FTC. «Я думаю, что FTC удвоит свое внимание на обеспечении конфиденциальности и безопасности данных во многих отраслях и компаниях», — сказал Алексис Коллинз, партнер Cleary Gottlieb.
"В последние годы агентство приняло меры против различных типов компаний, которые собирают или обрабатывают данные о потребителях или осуществляют электронную торговлю, за предполагаемые недостатки в соблюдении их политик конфиденциальности или реализации разумных мер кибербезопасности, независимо от того, компании напрямую сталкиваются с потребителями ", — сказал Коллинз E-Commerce Times.
Например, по ее словам, FTC достигла взаиморасчетов с рядом компаний, производящих потребительские товары или услуги, такими как Equifax и Uber, и сторонних поставщиков услуг, таких как InfoTrax.
Еще одним сигналом того, что FTC продолжит агрессивную позицию по вопросам конфиденциальности и безопасности, стали комментарии двух нынешних членов комиссии к заключениям, которые они подали по делу. Каждый из них предлагал агентству занять еще более жесткую позицию принуждения к урегулированию Zoom.
Согласно сообщению Клири Готтлиб Коллинз, комиссар Рохит Чопра выразил обеспокоенность тем, что в соглашении отсутствуют положения о значительном возмещении ущерба для пользователей, пострадавших от искажения информации Zoom, например освобождения по контрактам, возмещения средств или кредитов для малых предприятий, которые приобрели услуги Zoom на основе на ложных представлениях, не требовали уведомления затронутых пользователей и отсутствовали денежные штрафы.
Комиссар Ребекка Слотер предположила, что «более эффективный приказ» потребовал бы от компании Zoom пересмотреть риски, которые ее продукты и услуги представляют для конфиденциальности потребителей в дополнение к безопасности, согласно анализу дела Алстона и Берда. 
