Анализ информационных систем обработки персональных данных.

Элькин В.Д. — заведующий кафедрой правовой информатики МГЮА, к.т.н., профессор.

Черняев С. В. — заведующий курсом правовой информатики ОИ МГЮА, старший преподаватель
Для комплексного решения задачи защиты персональной информации немаловажное значение имеет системный подход к обеспечению технического компонента защиты.

Данную систему можно разделить на несколько уровней:

Рис. 1 Ранжирование средств защиты приватности по уровням применения.

Предлагаемая классификация является в какой-то мере условной, поскольку многие решения, направленные на обеспечение приватности носят комплексный характер. Например, компания Axiom помимо программно-технических решений по менеджменту персональных данных предлагает услуги по правовому консалтингу компаний-клиентов, обучению персонала, сопровождению системы.

На каждом из уровней решается свой определённый круг задач, связанный с защитой персональных данных.

Государственный сектор

Финансовый сектор

Медицинские персональные

данные

Сфера электронной коммерции

Обеспечение политики защиты персональных данных

Уровень глобальной информационной среды. Определяющим на данном уровне должно быть наличие чётких стандартов в области защиты и обмена персональной информацией. Основой такого рода спецификаций могли бы стать имеющиеся и разрабатываемые открытые стандарты зашиты информации, поскольку угроза нарушения конфиденциальности актуальна и для персональных данных. В области обеспечения открытой политики обработки персональной информацией посетителей сайтов в сети Интернет такой стандарт уже существует и успешно используется. Речь идёт о стандарте The Platform for Privacy Preferences (P3P)¹ разработанном консорциумом W3С (World Wide Web Consortium).

Рис 2. Области обращения персональных данных.

Данный стандарт позволяет описывать политику обработки персональной информации в компактной стандартной машиночитаемой форме. Программное обеспечение на стороне клиента, это может быть модуль с поддержкой P3P 1.0 встроенный в прокси-сервер, браузер (такой как Internet Explorer 6.0), Java-аплет и т.д , который автоматически считывает политику обработки (Compact Policy) до начала загрузки и передачи данных с выбранного пользователем сайта. Если настройки пользователя браузера по передаче и манипулированию персональной информацией совпадают с полученной с сервера политикой, то происходит загрузка основной информации с сайта, при обнаруженных отличиях для пользователя выводится соответствующее предупреждение.

Описание политики работы с персональными данными даётся в терминах специального словаря Compact Policy Vocabulary, данного в формате XML.

При желании пользователь может ознакомиться с политикой, принятой на данном сайте в текстовом формате.

С другой стороны владелец сайта может быть уверен, что все пользователи, обратившееся к ресурсам Web-узла при помощи браузеров, поддерживающих P3P ознакомлены и согласны с практикой использования персональных данных посетителей принятой на данном сайте. Естественно, данная технология не даёт гарантий реального соответствия корпоративных стандартов обработки персональных данных тем, что были заявлены в политике использования персональных данных. Гарантом такого рода соответствия может выступать, например независимая система сертификации.

При помощи семантики специальных тегов HTML различные политики могут применяться к различным разделам сайта.

Положительными моментами применения стандарта P3P можно считать следующие:

• 
  Наличие стандартной процедуры определения политики использования персональных данных на сайте. Политика будет выражена в структурированной, ясной форме, с указанием всех пунктов “текстовых” Policy Statement.
  
• 
  Для уполномоченных органов стран с развитой системой публично-правового регулирования обращения персональных данных, таких, например, как страны Евросоюза, появляется возможность удалённого автоматического контроля и анализа политик защиты приватности. Это позволяет контролировать выполнение соглашений по охране персональной информации в третьих странах, таких например как соглашение ЕС-США Safe Harbor.
  
• 
  Пользователю будет проще ориентироваться в многообразии принципов обработки данных. За счёт настроек клиента он сможет сам заранее задавать допустимый в тех или иных случаях “уровень доверия и открытости” при взаимодействии с различными информационными ресурсами в Сети.
  
• 
  Применение стандартных подходов облегчает установление доверительных отношений для “клиент-бизнес”. Компании в свою очередь будут уверены, что все посетители сайта не возражают против описанных принципов обработки персональных данных.
  
• 
  На основе стандартов P3P возможно создание программ-фильтров, которые заранее блокируют доступ к сайтам с ненадёжной или неприемлемой для компаний или отдельных пользователей политикой обработки персональной информации.
  
• 
  Гибкость стандарта, когда возможно использование различных политик работы с персональной информацией, позволяющей создавать на сайтах разделы с большей или меньшей “персонализацией” клиентов.
  

К сожалению, в окончательную версию не вошли планировавшиеся первоначально стандарты хранения и передачи персональной информации, а также протокол передачи политики безопасности между клиентом и Web-сервером.

Вместе с тем эксперты, в частности, Джейсон Катлетт (Jason Catlett)², Карен Коул (Karen Coyle)³ высказывают серьёзные сомнения в целесообразности продвижения данного стандарта как средства обеспечения безопасности пользователей. Они отмечают, что только техническое решение не даёт гарантий соблюдения приватности пользователей. Это комплексная проблема доверия в информационном обмене. К факторам, снижающим ценность данного стандарта можно отнести:

• 
  Неравноправные возможности обмена. Пользователи передают исчерпывающую информацию о себе, в то время как для контактной информации регистратора персональных данных может быть указан только адрес электронной почты и URL веб-узла.
  
• 
  Излишняя конкретизация информации пользователя, например в категории “возраст” вместо интервала 25-30 лет, требуется указание точной даны рождения, или полного почтового кода (ZIP-code), что позволяет определить вплоть до дома адрес проживания клиента.
  
• 
  Данная технология облегчает сбор информации для систем электронной коммерции и приводит к большей потере приватности, поскольку передача информации происходит автоматически.
  
• 
  Происходит подмена понятий вместо “режима защиты персональной информации” предполагаются “принципы обработки” персональной информации, что даёт свободу трактовать такие принципы для электронной коммерции удобным для себя образом.
  
• 
  Поддержка стандарта коммерческими компаниями AOL и Microsoft приведёт к тому, что настройки политики обмена персональными данными программ-клиентов будут обеспечивать максимальное благоприятствование не для конечного пользователя, а для систем электронной коммерции.
  

Если анализировать стандарт P3P на соответствие базовым принципам защиты персональных данных, то можно заметить что:

во-первых, не определены сроки предельного хранения персональной информации;

во-вторых, для пользователя отсутствует возможность проверить, какого рода информация о нем хранится у владельца ресурса, также не предусмотрена возможность изменения неверной информации;

в-третьих, затруднительной представляется практическая реализация политик, адаптированных под различное законодательство, хотя стандарт предусматривает отображение текста политики на различных языках.

Однако попытка создания и использования такого стандарта не должна остаться без внимания разработчиков программного обеспечения.

Рис. 2 Классификация корпоративных систем обеспечения защиты персональных данных.

Уровень корпоративной информационной системы. На данном уровне обеспечивается создание безопасной среды обработки персональных данных в рамках замкнутой корпоративной среды, например, медицинского учреждения, финансовой организации, страховой компании, компании электронной коммерции и т.д. Такого рода система может быть выполнена в виде законченного решения, полностью обеспечивающего задачи обработки и анализа закрытой персональной информации. Альтернативным вариантом может быть применение middle-ware решений, которые интегрируются в существующие информационные системы с целью обеспечения соблюдения принципов защиты приватности. Как третий вариант можно рассматривать использование консультационных систем для анализа механизмов обработки персональной информации с целью модернизации существующего программного обеспечения под выполнение задач связанных, с обработкой персональных данных.

Решение первой группы предлагает компания Axiom (www.axiom.com). Программные продукты компании ориентированы на сферу электронного бизнеса, медицину, сектор финансовых услуг. Для медицинских учреждений система управления информацией о пациентах AbiliTec Customer Data Integration предлагает систему обобщения информации о пациентах, которая может в себя включать множество баз данных. Это позволяет отслеживать информацию о любом пациенте в реальном масштабе времени даже в случае, если пациент известен под различными именами. Программный модуль Solvitur позволяет осуществлять анализ и управление профилями пациентов. Хранилищем информации выступает InfoBase – база, специально предназначенная для безопасного хранения медицинской информации.

К системам посредникам можно отнести PrivacyRight™ TrustFilter™ . Ядро системы выполнено на основе Java-технологий и работает как посредник на уровне приложений. Программный комплекс состоит из двух компонентов.

Permissions Engine определяет политику доступа и обработки персональной информации, служит для разрешения выполнения конкретных запросов к информационным объектам, причем правила обработки могут гибко меняться, подстраиваясь под особенности законодательства разных стран. Для работы Permissions Engine не требуется изменения прикладного программного обеспечения.

Audit Server обеспечивает для системного администратора управление разрешениями на доступ. Данный компонент так же ведёт протоколирование действий, выполняемых подсистемой TrustFilter и тех запросов, которые были выполнены или отклонены. Авторизованным пользователям может быть представлен отчёт в виде агрегированной или детальной информации. Аудиту также подвержены изменения в политике обработки персональной информации и запросы аутентификации пользователей.

Данная система обеспечивает для субъектов персональных данных возможности:

• 
  отслеживать политику сбора персональных данных;
  
• 
  выбирать и настраивать политику использования;
  
• 
  использовать внешний аудит для проверки соответствия заявленных правил реальной практике.
  

Система PrivacyRight™ TrustFilter™ адаптирована для использования в сфере финансов, электронной коммерции, медицинского обслуживания. Для каждой из областей применения настроены предустановленные политики обработки персональной информации и сделаны некоторые изменения в базовом программном комплексе.

Например, для финансового сектора политика обработки базируется на отраслевом кодексе США Code of Fair Information Practices. Предусмотрена интеграция с известными корпоративными системами, такими, как IMS, CICS, MQSeries, SAP R/3. Обеспечена полная запись действий любого пользователя системы. Добавлены возможность криптографической защиты информации и система управления рисками утраты информации.

Для медицинских организаций используются американские стандарты Health Insurance Portability and Accountability Act (HIPAA) и Good Clinical Practice (GCP). Поддерживается обмен информацией по протоколам ANSI ASCx12, ANSI HL7, XML. Основной акцент сделан на возможности обобщения информации о пациенте и на обеспечении конфиденциальности персональной информации.

Для систем электронной коммерции модулем Permissions Engine for E-Business пользователям обеспечивается интерактивный выбор политики использования персональной информации. Audit Server for E-Business контролирует передачу персональной информации третьей стороне и правила доступа к такого рода информации.

Третья группа программ служит для анализа процессов сбора, хранения и обработки персональной информации в сложных корпоративных Internet –intranet системах. Современные Web-порталы могут насчитывать сотни тысяч гипертекстовых страниц, многие десятки интерактивных форм для сбора персональных данных. С точки зрения WatchFire Corporation (www.watchfire.com) основные угрозы для персональных данных, собираемых о пользователя, состоят в следующем:

• 
  неавторизованный доступ к персональным данным для третьей стороны;
  
• 
  утечка персональных данных с незащищенных страниц интерактивных форм;
  
• 
  несанкционированный сбор информации о пользователе из лог-файлов, через cookies и web beacons.
  

Система WebCPO позволяет значительно уменьшить риск утраты персональных данных за счёт помощи в оптимизации процессов сбора данных , их использования и возможной передаче третьей стороне. Web CPO автоматизирует процессы контроля, анализа создания отчётов, а так же выдаёт предупреждения а случае нарушения режима приватности.

Система позволяет получать следующие виды отчётов:

• 
  Архитектуре web-сайта - его совокупный объём, количество внешних и внутренних гипертекстовых ссылок, которые могут привести к утечке персональной информации.
  
• 
  Сбор информации на web-сайте - перечисляет страницы, содержащие формы для сбора персональной информации. Указывает, связана ли страница, содержащая форму с политикой использования. Определяет уровень защиты страницы и потенциальную возможность утечки данных.
  
• 
  Наличие и анализ связей с третьей стороной – показывает все ссылки на внешние сайты, как на потенциальные каналы утечек приватной информации.
  
• 
  Средства поиска и анализа политик использования персональной информации. Отчеты формируют списки страниц содержащих графические метки цифровых удостоверений систем добровольной сертификации WebTrust, BBBOnline, TRUSTe, и соглашений об использовании персональной информации.
  

Мощным средством, объединяющим в себе возможности консультационных систем и систем посредников, можно считать разработку компании Zero-Knowledge Systems (www.zeroknowledge.com). Программный продукт Enterprise Privacy Manager позиционируется как комплексное решение обеспечения безопасности персональной информации для предприятия. В него включаются несколько независимых модулей.

На первоначальном этапе политика обработки персональной информации переводится с естественного языка в наглядную схему, которая в дальнейшем описывается на языке Enterprise Privacy Markup Language (EPML) (подмножество спецификации XML). Описание на EPML используется в дальнейшем для взаимодействия с другими корпоративными приложениями.

Например, выражение “наша компания передает информацию об адресе клиента только с его согласия” преобразуется в следующую схему.

Рис. 3 Схема высказывания на языке EPML.

Затем, при помощи компонента Data Discovery, создаётся объединённое представление о клиенте, в которое включается информация, описанная политикой использования персональных данных.

После этого ядро системы EPM может отслеживать все запросы по передаче персональной информации. Система контроля запросов основана на стандартных протоколах и не требует установки дополнительного программного обеспечения. При помощи модуля моделирования бизнес-процессов IT –персонал может проверить, как соотносится политика безопасности приватной информации с реальной практикой компании. Встроенная в EPM экспертная система позволяет адаптировать бизнес-процессы компании под существующие юридические нормы обращения персональной информации для любой области деятельности. Модуль отчётов включает в себя средства необходимые для анализа использования персональной информации, где можно получить сравнительные отчёты по политике использования и реальной практике, обобщённый отчёт о потенциальных конфликтах с используемой политикой безопасности.

Уровень операционной системы. На уровне операционной системы защита персональной информации обеспечивается поддержкой модели доступа ориентированной на обработку персональной информации. Наиболее известный на данный момент проект связан с операционной системой Linux и проектом RSBAC (Rule Set Based Access Control)^®,.

Реализация механизмов защиты выполнена на уровне ядра системы и позволяет эффективно контролировать все процессы обработки информации. Системные вызовы, затрагивающие безопасность, дополняются специальным кодом, выполняющим обращение к центральному компоненту RSBAC. Это компонент принимает решение о допустимости данного системного вызова на основе многих параметров:

• 
  типа запрашиваемого доступа (чтение, запись, исполнение);
  
• 
  субъекта доступа;
  
• 
  атрибутов субъекта доступа;
  
• 
  объекта доступа;
  
• 
  атрибутов объекта доступа.
  

Функционально RSBAC состоит из нескольких модулей, а центральный компонент принимает комплексное решение, основываясь на результатах, возвращаемых каждым из активных в данный момент модулей (какие модули задействовать и в каком объеме, определяется на этапе настройки системы).

Начиная с версии 1.1.0, в RSBAC включен модуль PM (Privacy Model) основанный на модели защиты персональной информации S. Fisher-Hüber. Для полноценной системы защиты можно дополнить установку ОС следующими модулями:

RC - Role Compatibility. Данный модуль определяет 64 роли и 64 типа для каждого вида объекта. Виды объектов могут быть следующими: file, dir, dev, ipc (interposes communication), scd (system control data), process. Для каждой роли отношение к различным типам и другим ролям настраивается индивидуально, в зависимости от вида запроса. Используя данный модуль, можно настроить разделение обязанностей между администраторами, избежав при этом назначения избыточных прав.

ACL - Access Control Lists. ACL - определяет, какие субъекты могут получать доступ к данному объекту, и какие типы запросов им разрешены. Субъектом доступа может быть как простой пользователь, так и RC-роль и/или ACL-группа. Объекты группируются по видам, но каждый имеет собственный список (ACL). Если права доступа к объекту не заданы явно, они наследуются от родительского объекта с учетом маски наследования прав. Эффективные права доступа субъекта к объекту складываются из прав, полученных непосредственно (прямых прав), и прав, полученных через назначение на роль или членство в ACL-группе.

В совокупности с модулями, реализующими доступ на основе ролевой модели RC и списков доступа ACL, можно получить операционную систему, в которой помимо традиционной защиты обеспечивается выполнение требований приватности. Подобный проект реализован также для операционной системы Unix System V.

На уровне приложений основные решения ориентированы на защиту персональных данных конечного пользователя. Можно выделить три задачи, решаемые такого рода средствами:

• 
  защита персональных данных пользователя от несанкционированного доступа. Выполнение данной задачи в случае автономной работы возможно за счёт использования средств шифрования и разграничения доступа. Для работы в глобальных сетях с целью предотвращения несанкционированного удаленного проникновения на компьютер пользователя применяются межсетевые экраны. Причём на данный момент персональные межсетевые экраны становятся стандартным средством настольных операционных систем [10].
  
• 
  сохранение анонимности при работе в сети Интернет. Решается за счёт использования специальных провайдеров –посредников доступа. В какой-то мере этому способствует применение средств блокирования идентификационных cookies, компонентов ActiveX и других средств слежения за пользователями на сайтах. Анонимность хранимой в сети информации пользователя обеспечивается в рамках проекта FreeNet.
  
• 
  управление контекстной информацией и передачей личных данных пользователя. Может обеспечиваться централизовано (проекты MS Passport, Liberity Allians Project) или с использованием локальных хранилищ на персональных компьютерах пользователей.
  

Рис. 4 Классификация средств защиты персональных данных конечного пользователя.

Методы защиты персональных данных для конечного пользователя в автономном режиме без подключения к коммуникационным каналам не отличается от методов, применяемых для любой другой конфиденциальной информации. Это разграничение и ограничение доступа средствами операционной системы и приложений⁴, использование программных и аппаратных средств шифрования для защиты файлов, дисков и т.д. Оптимальным решением представляется применение программных продуктов российских разработчиков имеющих сертификаты ГТК и ФАПСИ, которые обеспечивают кодирование и декодирование “на лету”, то есть во время операций “чтения”-“записи” и после активизации “прозрачны” для операционной системы. Всем вышеперечисленным требованиям удовлетворяет система PTS DiskGuard (www.PhysTechSoft.com). С точки зрения операционной системы защищенный диск PTS DiskGuard не отличается от реальных "физических" дисков, например, диска CD-ROM или накопителя Iomega Zip.

Для сетевого взаимодействия задача приватности сводится к обеспечению допустимого для пользователя уровня раскрытия персональной информации. В подавляющем большинстве случаев пользователь, как справедливо отмечает К. Коул (К. Coyl) [3], вообще не намерен передавать о себе какую-либо информацию и не желает, что бы отслеживались его перемещения в сети.

Сервис анонимного доступа к сети Интернет возможен за счёт использования технологии proxy–серверов. Программное обеспечение прокси-сервера выступает в качестве посредника при обработке запросов пользователя к ресурсам сети Интернет. Системы протоколирования доступа Web-сайтов получают вместо IP-адреса пользователя адрес анонимного прокси-сервера. Многие прокси сервера допускают каскадирование, что повышает анонимность работы пользователя.

WWW
сервер

Proxy

N

Proxy

1

Web-браузер

Web-браузер

Рис. 5 Каскадирование proxy –серверов.

В сети Интернет существует огромное количество бесплатных proxy для анонимного web-серфинга. Недостатками бесплатных proxy можно считать низкую надёжность, ограничение по числу поддерживаемых протоколов (как правило, это только HTTP), невысокую производительность.

В последние несколько лет получили распространение коммерческие сервисы анонимного доступа. Наиболее известные из них это ZeroKnowledge, Anonymizer.com, Safe Web. Данные сервисы не только позволяют осуществлять анонимный сетевой серфинг, но и могут использоваться для работы с web-узлами недоступными из-за блокирования корпоративными средствами контроля трафика, такими, как SurfControl, Cyber Patrol (если они не настроены на блокирование любых соединений с сайтами сервисов анонимного доступа). Таким же образом может быть решена и проблема ограничения доступа к определённым категориям ресурсов сети Интернет на государственном уровне.

Для работы с сервисами анонимного доступа не требуется установки дополнительного программного обеспечения и изменения стандартных настроек клиентского программного обеспечения.

Технология взаимодействия может быть условно представлена следующим образом. Клиенты обращаются к необходимым ресурсам сети через посредника, в качестве которого выступает сервер сервиса анонимного доступа. Посредник, получая запрос, трансформирует его и выполняет действия уже от имени пользователя системы. Например, запрос по URL http://www.primer.ru автоматически преобразуется к виду https://www.safeweb.com/o/_o(410):_win(1):_i:http://www.primer.ru. Для получен­ной HTML-страницы сервер SafeWeb выполняет процедуру “санации”, переписывая все ссылки по вышеприведённому образцу. Если этого не сделать, то может произойти утечка информации о пользователе за счёт “прямой” загрузки элемента страницы. Помимо этого любая запрошенная web-страница анализируется на наличие активных компонентов JavaScript.

Все подозрительные инструкции JavaScript заменяются безопасным кодом, предотвращающим потенциальную утечку информации о пользователе, с максимальным сохранением функциональности приложения. Рассмотрим Java Script, перенаправляющий пользователя с текущей страницы на сайт www.primer.ru

window.location=”http://www.bu.edu”;

Такой код, в случае выполнения браузером пользователя, немедленно приведёт к прямому контакту с сайтом в обход системы анонимного доступа. Поэтому код автоматически переписывается следующим образом:

window.location=window.top.fugunet_loc_href_fixer(
"https://www.safeweb.com/_u(http://[omitted]", "http://www.primer.ru", false);

Средства аудита сервера фиксируют обращение IP-адреса safeweb.com, отличного от реального адреса пользователя. Приведению к безопасному состоянию подвергаются и другие чувствительные элементы, связанные с объектами “document.write”, “document.cookie” тегами HTML и т.д.

Все cookies хранятся на сервере SafeWeb объединенном в “master-cookie” и ассоциированном с сайтом safeweb.com. Это полностью сохраняет преимущества псевдоанонимности без риска потери чувствительных данных пользователя.

Спектр услуг таких сервисов достаточно широк. Например, компания Anonymizer.com предоставляет следующие услуги:

• 
  IP SHIELD - предотвращает идентификацию и запись IP-адреса пользователя.
  
• 
  HTML PARSING ENGINE – переписывает web-страницы с целью удаления кода угрожающего приватности и безопасности.
  
• 
  COOKIE & SCRIPT BLOCKING - нейтрализует сookies, Java, JavaScript, ActiveX, Flash, Web Bugs и другой опасный для раскрытия анонимности код.
  
• 
  SAFE COOKIES – шифрует входящие cookies для предотвращения долговременного слежения за пользователем, с сохранением их функциональности.
  
• 
  URL ENCRYPTION - шифрует запрашиваемые URL с целью предотвращения слежения провайдерами и сетевыми администраторами.
  
• 
  AD FILTERING - удаляет баннерную рекламу стандартных размеров.
  
• 
  ANONYMOUS EMAIL – предоставляет сервис анонимной электронной почты.
  
• 
  PRIVACY BUTTON – встраиваемая в браузер кнопка включения/отключения системы анонимного серфинга.
  

В виде дополнительной услуги, для полного шифрования трафика пользователя, доступ к северу Anonymizer.com может быть предоставлен по протоколу SSH.

К сожалению, говорить о полном обеспечении приватности при использовании сервисов анонимного доступа не приходится. Это связано с несколькими причинами.

Во-первых, сами серверы анонимного доступа накапливают огромный материал о каждом пользователе в едином месте. Фактически происходит объединение множества разрозненных лог-файлов в один “супер-лог”. Нет никаких гарантий от последующего анализа полной информации по активности любого пользователя системы.

Во-вторых, поскольку система платная, при необходимости через банк можно установить реальное физическое лицо и полностью проследить его активность в сети Интернет. Тем более, если соучредителями таких сервисов выступают спецслужбы⁵.

В-третьих, как было показано в работе Д. Мартина (D. Martin), А. Шульмана (A. Shulman)⁶, существует множество атак, связанных с уязвимостью системы “санации” кода JavaScript, и возможностью “деанонимизации” пользователя, что уже используют спецслужбы США⁷.

К средствам диагностики и блокирования можно отнести все последние версии персональных межсетевых экранов. Нужно сказать, что межсетевой экран, как в своё время и web-браузер, становится стандартным средством операционной системы⁸. Практически все современные персональные межсетевые экраны помимо традиционных функций фильтрации IP-трафика оснащены встроенной функцией блокирования cookies, Java –аплетов и других потенциально опасных элементов web-страниц. Например, продукт McAfee Internet Security 4.0 совмещает в себе функции антивирусной защиты, межсетевого экрана, средства обнаружения атак, блокирования cookies и рекламных баннеров, средства защиты файлов паролей и т.тд.

К средствам анализа безопасности пользователя при посещении web-ресурсов можно отнести программу BugNosis. Она позволяет в реальном времени отслеживать Web Bug (Web Beacons), встроенные в HTML страницы, определяя сопоставленные им cookies и сайты, на которых ведётся сбор статистики. Для определения субъектов сбора персональной информации в следующих версиях программы планируется поддержка стандарта P3P.

Средства анонимного хранения информации в распределённой сети представлены проектом FreeNet. Данная система основанная на peer-to-peer технологиях⁹, но с одним существенным отличием: в любой момент времени нет точной информации, где именно хранится определённый файл, поскольку вся информация постоянно перемещается между узлами, включенными в сеть.

Freenet является распределенной сетью, работающей на уровне приложения протокола TCP/IP, объединяющей компьютеры пользователей системы Freenet со всего мира в единый огромный виртуальный накопитель информации, который открыт для любого пользователя системы для сохранения и публикации любой информации. Freenet обладает:

• 
  Высокой степенью надёжности. Все элементы системы полностью децентрализованы и анонимны, что делает практически невозможным взлом системы с целью уничтожения информации или захват управления системой.
  
• 
  Приватностью. Технология Freenet затрудняет попытки кого бы то ни было проследить за тем, какого рода информацию хранит, просматривает или публикует пользователь.
  

Безопасностью. Информация, хранимая в системе Freenet, криптогра
фически защищена от подделок и фальсификации.

Эффективностью. Freenet в зависимости от спроса на определённый ресурс, динамически реплицирует и перемещает информацию по сети, для обеспечения эффективного обслуживания и оптимизации пропускной способности информационных каналов. Важно что, Freenet обычно может найти документ за время log(n), где n является размером сети.