Три антивирусных разработчика из США признались в обмане пользователей
Компании Sentinel Labs, SpyChatter и Vir2us утверждали в своих промо-материалах, что у них есть сертификаты соответствия системе правил трансграничной конфиденциальности АТЭС. На деле этих сертификатов они не получали. Федеральная торговая комиссия предъявила официальные обвинения, но штрафовать провинившихся пока не стала.
Сплошной обман
Три американские компании, выпускающие программные продукты, связанные с кибербезопасностью, признались в обмане пользователей под давлением со стороны Федеральной торговой комиссии США.
Компании Sentinel Labs, SpyChatter и Vir2us заявляли о соответствии своих разработок системе правил трансграничной конфиденциальности АТЭС (Азиатско-Тихоокеанское экономическое сотрудничество), хотя ни одна из них не имела на это права.
Sentinel Labs выпускает антивирусное ПО, SpyChatter — защищенный мессенджер, а Vir2us — менеджер паролей Xeropass.
После официального предъявления обвинений со стороны Федеральной торговой комиссии, все три компании согласились на предложенные им условия урегулирования спора: они обязались признать вину, не вводить более пользователей в заблуждение и согласились, что если в ближайшие двадцать лет их уличат в повторной попытке обмана, то их ждут штрафы размером до $40,7 тыс. за каждый выявленный факт нарушений.
Обязательная сертификация
Система правил трансграничной конфиденциальности — это набор нормативов, разработанный с целью обеспечения совместимости региональных политик в области конфиденциальности, защиты прав потребителей, а также снижения затрат на соблюдение нормативных требований в Азиатско-Тихоокеанском регионе. Система, одобренная в 2011 г., описывает, каким образом компании, действующие на территории стран, входящих в Азиатско-Тихоокеанское экономическое сотрудничество, должны хранить и защищать пользовательские данные и как работать с запросами на раскрытие этих данных.
Среди ключевых требований системы — обязательное прохождение независимого аудита, по итогам которого определяется, заслуживает ли компания соответствующего сертификата.
Ни Sentinel Labs, ни SpyChatter, ни Vir2us не проходили такого аудита. Sentinel Labs, вдобавок, утверждала, что у нее есть сертификат еще одной программы — TRUSTe, что также оказалось неправдой.
«Негласно в сфере информационной безопасности сосуществуют два направления: «бумажное» и прикладное, — комментирует Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». — В то время как прикладное — это практическое обеспечение защиты, то «бумажное» — это подготовка документации для формального соответствия регламентам. Иногда говорят, что в России доминирует «бумажное» направление и роль руководителя отдела ИТ-безопасности может сводиться к “защите от регулятора”. Но, как видим, щепетильное отношение к «бумажной» безопасности характерно не только для нашей страны».
По мнению Гвоздева, тот факт, что Федеральная торговая комиссия не стала сразу же штрафовать Sentinel Labs, SpyChatter и Vir2us, несмотря на очевидное нарушение, может указывать на то, что свои прикладные функции их разработки выполняют на должном уровне.