Странно, что существуют сразу два термина, означающие одно и то же. Но странно лишь до тех пор, пока не задумаешься об их происхождении. Термин Identity Theft пришел на смену старому доброму Impersonation в те времена, когда Интернет из телеграфа для физиков-ядерщиков трансформировался в инструмент получения прибыли.
Банки и прочие учреждения, желающие продвигать свои услуги через сеть, оказались не готовы к защите от связанных с такой деятельностью угроз. Поэтому, соответствующие риски было решено переместить. Отчасти, на точки продаж финансовых услуг и места их использования. Например, в пункты приема платежных карт: стандарт PCI DSS, отчасти предназначенный для такого переноса рисков, называет их мерчантами. Отчасти, на самих пользователей услуг. И вот здесь мы впервые встречаем термин Identity Theft.
Impersonation, то есть, присвоение личности, это успешное представление злоумышленника под видом лица, имеющего право на выполнение каких-либо действий. Пусть для примера это будет снятие денег с банковского счета или выполнения других финансовых операций. Восприятие этого термина таково, что в случае с присвоением личности жертвой этого акта является обманутый мошенником банк. Истинному владельцу счета не трудно доказать, что он не совершал сомнительную операцию и не должен терпеть связанные убытки.
В случае с Identity Theft ситуация иная. Из самого термина следует, что кража в этом случае осуществляется не у банка, а у владельца личности (владельца-личности?). И уже после этого мошенник, вооружившись похищенной личностью жертвы, обращается в банк с запросом на снятие средств. Успешное смещение понятия жертвы приводит к тому, что у банка есть вполне логичные причины не возмещать клиенту понесенные им убытки: ведь у него (банка) не было оснований не доверять мошеннику, успешно представившемуся жертвой. Банк провел идентификацию личности, остался ею удовлетворен, и выполнил платежное поручение.
Надеюсь, не одному мне вторая ситуация кажется не просто несправедливой, а безумной. Однако, следует признать, что подмена понятий выполнена весьма искусно: ее удалось провернуть, проанализировав оценочные суждения, косвенно заложенные в первый термин, и, вооружившись результатом этого анализа, синтезировав второй.
Сложившаяся таким образом ситуация вызвала целый ряд последствий. Например, если говорить об информационной безопасности, то мы очень много времени и средств уделяем защите данных, которые могут быть использованы для выполнения мошеннических операций под видом жертвы. Идентификация личности зачастую проходит путем сверки данных, называемых клиентом, с вариантами, предоставленными им ранее. Данные эти редко являются секретными, очень часто их можно разузнать без особых усилий. Поэтому защищать эти данные глупо, было бы умнее изменить саму процедуру идентификации личности, в которой содержится первопричина проблемы.
