Kai Vilniaus senamiestyje pamačiau „Yandex. Taxi“ logotipu pažymėtą automobilį, buvo sunku patikėti, kad Nacionalinio kibernetinio saugumo centro (NKSC) atliktas tyrimas liko tik popieriuje. „Yandex. Taxi“ programėlė Lietuvoje aktyviai pradėta platinti praėjusių metų liepą. Nors įspėjimų apie duomenų saugumą ir galimas grėsmes netrūko, šiandien ES šalys baksnoja viena į kitą pirštais ir aiškinasi, kas turi pradėti tyrimą.Kai Vilniaus senamiestyje pamačiau „Yandex. Taxi“ logotipu pažymėtą automobilį, buvo sunku patikėti, kad Nacionalinio kibernetinio saugumo centro (NKSC) atliktas tyrimas liko tik popieriuje. „Yandex. Taxi“ programėlė Lietuvoje aktyviai pradėta platinti praėjusių metų liepą. Nors įspėjimų apie duomenų saugumą ir galimas grėsmes netrūko, šiandien ES šalys baksnoja viena į kitą pirštais ir aiškinasi, kas turi pradėti tyrimą.
Asociatyvi nuotr.
Pasirodo, prabėgus metams, vis dar aiškinamasi, kurios ES valstybės asmens duomenų apsaugos priežiūros institucija yra vadovaujančioji. Nors NKSC tyrimo medžiaga buvo perduota Valstybinei duomenų apsaugos tarnybai, realių veiksmų, apsaugančių programėlės vartotojų duomenis, kol kas imtasi nebuvo. Kodėl ir kiek dar užtruks, kol Temidė „Yandex. Taxi“ paskelbs vienokį ar kitokį nuosprendį?
Vieno langelio principas nepadeda?
„Norėčiau atkreipti dėmesį, kad Bendruoju duomenų apsaugos reglamentu (BDAR) siekiama vienodumo taikant asmens duomenų apsaugos taisykles visose Europos Sąjungos (ES) valstybėse narėse. Įgyvendinant BDAR vieno langelio mechanizmą tyrimui atlikti turi būti nustatyta, kurios ES valstybės narės asmens duomenų apsaugos priežiūros institucija yra vadovaujančioji, jeigu tiriama įmonė veikia tarptautiniu mastu ir turi padalinių įvairiose ES valstybėse“, – LRT.lt teigė Raminta Sinkevičiūtė-Šečkuvienė, Valstybinės duomenų inspekcijos Teisės skyriaus patarėja.
„Yandex. Taxi“ registruota vienoje valstybėje, tačiau bendrovės duomenų centras yra kitoje. Pasak specialistės, šiuo metu šį klausimą sprendžia Suomijos asmens duomenų apsaugos priežiūros institucija, ji atlieka reikiamas procedūras ir veiksmus, kad nustatytų pagrindinę duomenų valdytojo būstinę ES.
Paklausus, ar tokia programėle šiandien naudotis saugu, Valstybinė duomenų apsaugos inspekcija visais atvejais žmonėms pataria būti budriems dėl jų asmens duomenų tvarkymo ir atidžiai vertinti naudojimąsi tokiomis paslaugomis, dėl kurių gali kilti bent menkiausia rizika.
LRT.lt susisiekus su duomenų apsaugos specialistais Suomijoje, paaiškėjo, kad tyrimas dėl „Yandex. Taxi“ vykdomas, bendrovė privalėjo pateikti atsakymus ir leisti patikrinti informaciją, tačiau kada paaiškės tyrimo rezultatai, kol kas neaišku.
„Vykdome „Yandex Taxi B. V.“, „Yandex LLC“ ir „Yandex Oy“, juridinių asmenų, kurie yra registruoti skirtingose šalyse, tyrimą. Birželio dieną kompanija turėjo pateikti atsakymus į mūsų klausimus. Šiuo metu apdorojame informaciją, dalijamės ja su kolegomis per bendrą elektroninę sistemą. Tiesa, kada pavyks užbaigti šį itin sudėtingą tyrimą, priimti konkrečius sprendimus, kol kas negaliu pasakyti. Vyksta procesai ir jie užtrunka“, – LRT.lt teigė Reijo Aarnio, duomenų apsaugos ombudsmenas Suomijoje.
Didelis kiekis jautrių duomenų
NKSC ataskaitoje buvo rašoma, kad programinio kodo analizė parodė, jog ši programėlė reikalauja prieigos prie didelio kiekio jautrių duomenų ir leidimo naudotis įrenginio funkcijomis.
Minima programėlė turi galimybę aktyvuoti įrenginio kamerą ir mikrofoną (vykdyti naudotojo aplinkos įrašymą), naudoti kontaktų sąrašą (galimybė gauti telefonų knygos, naudojamų paskyrų informaciją), vykdyti skambučių valdymą, įrenginio tapatybės ir veiklos būklės nustatymą, vykdyti trumpųjų pranešimų paslaugų valdymą (galimybė perimti gaunamus pranešimus), atlikti turinio, saugomo išmaniojo įrenginio atmintyje, modifikavimą, nustatyti tikslią (GPS) įrenginio buvimo vietą, atlikti tinklo prieigos valdymą (siųsti duomenis internetu, stebėti ir valdyti tinklo sujungimus, valdyti belaidžio tinklo (angl. Wi-Fi) prieigą).
Ataskaitoje pažymima, kad vėlesnės programėlės versijos ateityje gali padidinti reikalaujamų funkcijų prieigų kiekį.
NKSC analizės metu buvo nustatyta, kad programėlė šifruotais ryšio kanalais reguliariai jungėsi ir palaikė aktyvų ryšį su 11 unikalių IP adresų (iš kurių 10 priklauso Rusijos Federacijai). Duomenų perdavimas vykdomas atsitiktinai. Nustatyta, kad minima programėlė turi galimybę įvairiu laiku ir šifruotais ryšio kanalais užmegzti ryšį su skirtinguose Rusijos Federacijos regionuose esančiais adresais (pagal geolokacijos IP duomenų bazių informaciją) nepriklausomai nuo to, ar programėlė dirba budėjimo, ar aktyviuoju režimu. Pažymima, kad „Yandex. Taxi“ palaiko nuolatinį ryšį su trimis adresais (.yandex.net ir yandex.ru Rusijoje ir .linode.com JAV).
Rusijos žvalgybai atidarome elektronines duris
Be to, kaip buvo pažymėta anksčiau, remiantis Lietuvos Respublikos Valstybės saugumo departamento ir Antrojo operatyvinių tarnybų departamento prie Krašto apsaugos ministerijos 2018 m. Grėsmių nacionaliniam saugumui vertinimu, „Rusijos žvalgybos ir saugumo tarnybos turi teisinius įgaliojimus ir techninių galimybių įgyti prieigą prie Rusijos ir užsienio valstybių piliečių, naudojančių rusiškas elektroninio komunikavimo platformas, duomenų.“ Grėsmių vertinime taip pat nurodoma: „(...) grėsmė, kad asmeniniai duomenys nutekinami Rusijos žvalgybos ir saugumo tarnyboms, kyla visiems Lietuvos piliečiams, besinaudojantiems rusiškais socialiniais tinklais ir elektroninio pašto paslaugomis, pvz., odnoklasniki, mail.ru, yandex ir pan.“
NKSC perspėja, kad kenkėjiškų programų rizika mobiliajame įrenginyje yra reali: nusikaltėliai gali pavogti pinigus ir konfidencialią informaciją, šnipinėti jūsų veiksmus, šantažuoti dėl asmeninės informacijos atskleidimo, siųsti padidinto tarifo SMS žinutes jūsų sąskaita, išnaudoti įrenginius užkratams ar brukalams platinti.
Pasak NKSC specialistų, taip pat reikia nepamiršti užšifruojančių bei išpirkos reikalaujančių virusų (angl. ransomware). Išpirkos reikalaujanti programinė įranga laiko įkaitu jūsų mobilųjį įrenginį ir duomenis dėl pinigų. Tokio tipo kenkimo programos užblokuoja jūsų įrenginių ekraną arba neleidžia pasiekti tam tikrų failų ir funkcijų. Gali tekti atkurti gamyklinius nustatymus, prarandant visus savo duomenis. Kartais ir po gamyklinių duomenų atstatymo įrenginiai lieka užvaldyti kenkėjiškų programų, rašoma tyrimo ataskaitoje.
Pavojus slepiasi ir po aukštu reitingu?
Specialistai rekomenduoja naudoti aplikacijas tik iš oficialių programėlių parduotuvių („Google Play“ („Android“) arba „App Store“ („iOS“)). Tiesa, „Yandex. Taxi“ programėlę ten galima rasti.
Taip pat, prieš atsisiunčiant programėlę, patariama pasidomėti ja ir jos leidėjais, paskaityti kitų naudotojų paliktus atsiliepimus, peržiūrėti įvertinimus. Tiesa, šiuo metu „Yandex. Taxi“ programėlės įvertinimas yra 4,8 balo iš 5 galimų, todėl šie patarimai pasiteisina ne visada.
Visgi patarimas susipažinti su programėlės leidimais – patikrinti, kokius duomenis aplikacija gali pasiekti ir ar ji gali dalytis jūsų informacija su trečiaisiais asmenimis, gali praversti.
Specialistai taip pat pataria nemodifikuoti savo operacinės sistemos, kad išgautumėte daugiau telefono galimybių (angl. rooting („Android“), jailbreaking („iOS“)). Tai panaikins esamas telefono apsaugas ir padidins kenkėjiškų programų keliamas rizikas.
