Lietuvas Nacionālais kiberdrošības centrs ieteicis pilsoņiem neizmantot “Yandex.Taxi” piedāvāto lietotni (aplikāciju). Paziņojumā teikts, ka lietotnes vajadzība saņemt informāciju no mobilās ierīces “iespējams, rada apstākļus personas datu nelikumīgai vākšanai un uzkrāšanai, bet tas rada bažas saistībā ar drošību. Šobrīd notiek visaptveroša lietotnes drošības analīze”.
Sūdzību pagaidām nav
Latvijas Datu valsts inspekcija (DVI) norāda, ka “saskaņā ar Vispārīgās datu aizsardzības regulas 3. pantu taksometru tiešsaistes pakalpojumu operatoram "Yandex.Taxi", neatkarīgi no uzņēmuma reģistrācijas valsts, ir saistošas regulas prasības, ciktāl viņu darbības notiek Eiropas Savienībā”. “Yandex.Taxi” ir Krievijas kapitāla kompānija, kuras lietotni taksometra pakalpojumu nodrošināšanai, kas pieejama arī Latvijā, administrē Nīderlandē reģistrēts uzņēmums “Yandex.Taxi BV”.
DVI norāda, ka, apmeklējot pakalpojuma sniedzēja "Yandex.Taxi" interneta vietni, tās uzturētājs ir ievietojis Privātuma politiku, kurā lietotājs var noskaidrot, kādus personas datus pakalpojuma sniedzējs ievāc, kāds ir tiesiskais pamats šādai personas datu apstrādei, kas ir personas datu saņēmēju kategorijas un citu informāciju. Izvērtējot konkrētā uzņēmuma Privātuma politikā iekļauto informāciju, DVI nav konstatējusi, ka tā neatbilstu Vispārīgās datu aizsardzības regulas 13. panta prasībām.
Datu valsts inspekcijas ieskatā lielākais risks patērētājam izpaužas apstāklī, ka tiek apstrādātas (ievākti, glabāti, iespējams nodoti) vairākas personas datu grupas – atrašanās dati (dzīvesvieta, darba vieta, biežāk apmeklētās vietas), telefona numurs, maksājuma dati (skaidrā nauda vai maksājuma karšu dati) u.c., kas ļauj apkopot informāciju par personas paradumiem, finansiālo stāvokli, statusu u.c., veikt personas profilēšanu.
Lai pasargātu sevi no pārmērīgas personas datu nodošanas un privātuma aizsardzības apdraudējuma riska, DVI aicina lietotājus rūpīgi iepazīties ar jebkuru vietņu vai aplikāciju lietošanas noteikumiem, privātuma politiku un citiem nosacījumiem, kā arī ievērot elementārus drošības pasākumus, mobilās aplikācijas lejupielādējot tikai no oficiālajiem pakalpojumu sniedzējiem “Google play” vai “App store”.
Īpaši jāuzmanās amatpersonām
Drošības policija (DP) norāda, “ka jau iepriekš ir vērsusi uzmanību uz riskiem, kas var būt saistīti ar Krievijas informācijas platformu izmantošanu, tajā skaitā personas datu vākšanu un nodošanu trešajai pusei. DP vērtējumā arī šajā gadījumā nav izslēdzama iespēja, ka personas brīvprātīgi sniegtie dati, it īpaši, ja tie daļēji vai pilnībā tiek apstrādāti un glabāti trešajās valstīs, var nonākt šo valstu subjektu, t.sk. specdienestu, kuriem nav saistošs Eiropas Savienības tiesiskais regulējums datu aizsardzībai, rīcībā. Tas savukārt rada risku, ka šie dati var tikt izmantoti, lai atlasītu personas naidīgām vervēšanas vai informācijas iegūšanas aktivitātēm”.
DP norāda, ka “ņemot vērā, ka amatpersonas ir starp prioritārajiem ārvalstu izlūkošanas dienestu naidīgas vervēšanas mērķiem, valsts un pašvaldību amatpersonām ir jāpievērš īpaša uzmanība savu datu aizsardzībai”.
Latvijas Informācijas tehnoloģiju drošības incidentu novēršanas institūcija “Cert.lv” uzsver: “Jebkura lietotne – gan “Yandex.Taxi”, gan citas – veic lietotāju datu ievākšanu. Pirms lietotnes uzstādīšanas ir jāiepazīstas ar tai nepieciešamajām atļaujām un kritiski tās jāizvērtē. Vai, piemēram, pusdienu piedāvājumu lietotnei tiešām nepieciešama atļauja sūtīt maksas SMS un gūt pilnu piekļuvi lietotāja kontaktu grāmatai? Īpaši rūpīgi to vajadzētu izvērtēt valsts sektorā strādājošajiem, īpaši tad, ja viņi plāno izmantot lietotnes, kas izstrādātas Latvijai mazāk draudzīgās valstīs.
Darbs valsts sektorā uzliek papildu pienākumu kritiski izvērtēt savas darbības tiešsaistē un atbildīgi veikt lietotņu izvēli un lietošanu. Darbiniekiem ir jāievēro iestāžu iekšējie drošības noteikumi un politika, kas ietver sevī arī informācijas drošības noteikumus. “Cert.lv” sarakstus ar nevēlamām ierīcēm un aplikācijām ir jau iepriekš apkopojis un par to informējis valsts iestādes. Šādas aktivitātes tiek veiktas gadījumos, kad ir iespējams pamatot nevēlamo ierīču/aplikāciju sarakstu ar faktos balstītiem pētījumiem, kā tas ir bijis, piemēram, ar Ķīnas kompānijas “ADUPS FOTA” produktiem”.
Jāvērtē arī no politiskā aspekta
“Cert.lv” norāda, ka bažas par “Yandex.Taxi” aplikācijas uzticamību jāvērtē gan no tehnoloģiskā, gan politiskā aspekta: “Pirmkārt, jāspēj tehniski pamatot fakts, ka aplikācija apkopo vairāk lietotāju datus, nekā tas nepieciešams, lai nodrošinātu sekmīgu tās darbību un lietotāja pieredzi. Turklāt “Yandex” jāspēj pamatot katras datu klases savākšanas nepieciešamība un Eiropas datu aizsardzības regulai atbilstoša to glabāšana un apstrāde. Uz šo vēl jāsagaida Lietuvas kolēģu pētījuma rezultāti.
Bet, pat ja no šī aspekta viss izskatās korekti – dati tiek primāri pārsūtīti uz serveriem Nīderlandē vai citā ES valstī –, neuzticību raisa faktu kopums, ka “Yandex.Taxi” projekta vadība un finansiālais segums ir cieši saistīts ar “Mail.ru”, kuram savukārt ir ciešas saiknes ar Kremlim pietuvinātiem cilvēkiem. Šādi fakti raisa bažas IT drošības aprindās un plašāk sabiedrībā, jo Krievijas Federācija jau gadiem nemitīgi veic ofensīvas kiberoperācijas, kuras pētot ir secināts, ka Kremlim draudzīgais privātais sektors bieži tiek iesaistīts operācijas mērķu sasniegšanai.”
“Piekrītu” – pārāk vieglprātīgi
Kā skaidro “ALSO Latvia” risinājumu eksperts un konsultants Artjoms Krūmiņš, katra aplikācija, ko izmantojam, ievāc šādus un līdzīgus privātus datus – vai tā būtu jebkura cita taksometru kompānija, ēdiena piegādātājs vai, piemēram, populārā spēle “Candy Crush”. “Cilvēki vēlas saņemt aizvien labākus, kvalitatīvākus pakalpojumus, kas atvieglo dzīvi. Tāpēc arī viņi izmanto aplikācijas un sniedz tām atļauju piekļūt saviem datiem. Diemžēl, drošības aspekts nereti paliek novārtā,” teic speciālists.
A. Krūmiņš: “Tiesa, ir Vispārīgā datu aizsardzības regula, kura savā ziņā mūs sargā no pārcentīgiem datu ievācējiem. Tomēr aplikācijas lietošanas noteikumi, kuros aprakstīts, kādi dati tad īsti tiek ievākti, ir paslēpti zem podziņas “piekrītu”. Cilvēki nevēlas gaidīt, kamēr varēs saņemt pakalpojumu – tāpēc piekrīt noteikumiem, neizlasot tos.”
Speciālists uzsver, ka šajā tehnoloģiski tik attīstītajā laikmetā jārēķinās: “Tiklīdz izejam publiskajā tīklā, mēs jau esam apdraudēti. Praktiski vienmēr pastāv risks, ka ir iespējama nesankcionēta piekļuve mūsu sniegtajiem datiem.”
Par to, kādi drošības pasākumi jāievēro, lejuplādējot un lietojot aplikācijas, atgādina Europol un Valsts policijas sagatavotais materiāls “Tikai spēle?”.
