Карантиндаги одамларни назорат қилувчи илова ишлаб чиқилди? Бу нима учун хавфли?

543

“COVID CONTROL” сайти тасвирга олинган видео

11-апрел куни YouTubeда Кыргызстанда IT адистер вирусту жуктургандар каякта жүргөнүн аныктоочу программаны ишке киргизди” (“Қирғизистонда IT мутахассислари вирусни юқтирганлар қаерда юрганини аниқловчи дастурни ишга киргизди”) деган номда видео пайдо бўлди. Видеода бир киши “COVID CONTROL” деган номдаги сайт қандай ишлашини кўрсатиб беради.

Сайтда Қирғизистоннинг харитаси кўрсатилиб, унда уй карантинида бўлаётганларнинг сони келтирилган. Харитада у одамларнинг аниқ манзиллари махсус белгилар билан белгиланган.

Видеода сайтнинг ишлашини тушунтириб бераётган киши Бишкек яқинида жойлашган Қант шаҳридаги уйларнинг бирини танлаб, у уйни яшовчисининг профилини очади. Бунда турғуннинг ҳаракати қизил чизиқлар билан белгилаб, уни ҳаракатининг вақти ҳам кўрсатилади. Лавҳадаги киши бу турғунни қоида бузар деб атаб, сабабини турғун уйда бўлмасдан катта масофага чиқиб-келиб турган деб изоҳлайди.

Шундан кейин у мазкур кишининг “карточкасини” очиб, унинг барча, паспортининг ПИН/ИНН ҳамда телефон рақамини қўшиб шахсий маълумотларига кириш имконига эга бўлади.

Бир оздан кейин у уй карантинида ўтирган Қантнинг бошқа яшовчисининг кўчишларини қараб чиқиб, уни бунгача бўлган турғунлиги билан солиштиради. Унинг айтишича, бу аёл ҳам шартларни бузиб рухсат берилган радиусдан 5 метр узоққа чиқиб кетган.

Шундан кейин у бу аёлнинг ҳам “карточкасига” назар солади.

Видео: Қирғизистонда IT мутахассислар вирусни юқтирганлар қаерда юрганини аниқловчи дастурини ишга киргизди

Штаб ишлаб чиққан тизим

Коронавирусга қарши курашиш бўйича республика штаби 13-апрелда уй карантинида бўлишга мажбур қилинган фуқароларнинг устидан “мониторинг ўтказиш тизимини” ишга киргизгани ҳақида хабар қилган.

Штабнинг маълумотига кўра, тизим “махсус ресурс” (веб-сайт) ҳамда мобил қўлланма бўлиб ҳисобланади. Тизим Коронавирусга қарши курашиш бўйича республика штабининг топширмаси билан Давлат технологиялари ҳамда алоқа давлат қўмитасига (ДТваАДҚ) қарашли IT-штаб тарафидан ишлаб чиқилган.

“Қўлланма карантин вақтида тегишли мажбуриятга қўл қўйган фуқаронинг кўнгилли розилиги билангина телефонга ўрнатилади”, — деб билдирган штаб.

Штабдан қўлланманинг ёрдами орқали одамлар тиббиёт ходимларига соғлиги ҳақида хабар қила олишларини ҳамда тасодифан инсон ўзини ёмон ҳис қилса SOS тезкор босқичини фойдаланиб ёрдам олиши мумкинлигини таъкидлашди. Бундан ташқари, шифокорлар беморнинг соғлигига масофадан кузатув ўтказа олишини, бу ўз вақтида “шифокорларнинг ишини енгиллатиши” айтилди.

“Бу ресурс ҳамда ундаги маълумотлар конфиденциал бўлиб, хизмат қўллови учунгина бағишланган. Мониторинг тизимига давлат органлари тарафидан ФҲ ҳамда ФВ режимларининг натижаларини бартараф қилиш ҳамда олдини олишга жавобгар деб белгиланган чекланган одамларгина кира олади”, — деб алоҳида пункт билан таъкидланди штабдан.

Шунингдек билдирувда бунгача эълон қилинган видеога бўйича “текширув ўтказиш ва ҚР қонунларига кўра конфиденциал маълумотларни тарқатишга ҳуқуқий баҳо бериш учун тегишли органларга маълумот жўнатилди” деб хабар қилинди.

ДТваАДҚ сайтининг билдирувида тизим ҳозирда “пилот” режимида ишлаётгани айтилади. Тизим охиригача ишлаб чиқилгандан кейин, у “Рақамли Қирғизистон”ни ишга оширишнинг асносида Соғлиқни сақлаш вазирлигига ўтказиб берилади.

Ҳукуматнинг штаби ҳам, ДТваАДҚ ҳам билдирувларида “Фавқулодда вазият ҳақида” қонунга, аниқроғи, ундаги 22-моддага таянишади. Унга кўра, фавқулодда ҳолат вақтида ҳукумат “айрим фуқароларга белгиланган муддатга маълум бир ерни, ўз квартирасини (уйини) ташлаб кетишга тақиқ қўя олади”.

Кузатув учун илова

Республика штабининг билдирувида айтилган илова — бу “Stop COVID-19 KG”. Ҳозирча у Google Play дўконида Android операция тизими учунгина очиқ, шунга қарамай уни ўрнатганларнинг сони 10 мингдан ортади.

Илованинг тушунтирмасида тизим “Put In Byte” компаниясининг дастурчилари, Қирғизистоннинг “Юқори технологиялар паркининг” резиденти ва Бишкек мэриясининг “Рақамли технологиялар маркази” муниципал ишхонасининг ҳамкорликдаги ҳаракати билан тузилгани айтилади.

Тушунтирмага кўра, илова штабга ва “алоҳида бир ваколатли томонларга” коронавирус юқтирган ёки юқтирганлар билан алоқада бўлган одамнинг ҳаракатини харитада назоратга имкон беради.

“Харитада назорат ва кузатув ўтказиш учун GPS технологияси фойдаланилади. Бундан ташқари, тизим кўчишларнинг тарихини сақлашга имкон беради”, — деб айтилади илованинг Play Маркетдаги тушунтирмасида.

Шунингдек “Stop COVID-19 KG” иловасининг тушунтирмасида ҳозирда мобил илованинг устида иш давом этаётгани ҳамда яқин орада қўлланувчилар учун қўшимча янги қулай функциялар киргизилиши айтилади.

Илова қандай ишлайди?

Смартфонга “Stop COVID-19 KG” иловасини ўрнатгандан кейин хавфсизлик бўйича огоҳлантирувчи дарча очилади. Иловага тиркалган йўриқномага кўра, дастурчилар фойдаланувчидан “Созламаларга” ўтиб, “Номаълум манбалар” деган жойнинг ёнидаги катакчани белгилаб қўйишни илтимос қилишади.

Фойдаланишнинг йўриқномасида илованинг ишини тўлақонли таъминлаш учун барча талабларга рухсат бериш керак.

Агар қўлланма рухсат сўрамаса, у ҳолда уларни мустақил ўрнатиш керак бўлади. Улар: камерага, жойлашган ерга, микрофонга, телефонга, хотирага, шунингдек “бошқа дарчаларнинг ва иловаларнинг устидан ишлатишга рухсат бериш” изнлари.

Шундан кейин фойдаланувчи исм-фамилиясини, туғилган кунини, мобил телефонининг рақамини ҳамда паспортнинг ПИН/ИННини тизимга ёзиб рўйхатдан ўтиши керак бўлади. Шундан кейин фойдаланувчи “Юқтириб олган” ёки“Юқтиришга гумонланган” деган мақомлардан бирини танлайди.

Маълумотлар тўлдирилгандан кейин “Рўйхатдан ўтиш” деган босқични босиш керак. Қайд этиш вақтида кўрсатилган рақамга фойдаланувчининг авторизацияси учун уникал калит қўшилган SMS-хат келади. Бу калитни киргизиб, “Кейинги” деган ерни босиш керак.

Йўриқномага кўра, илова тўғри ишлаши учун интернет ва телефоннинг GPSи доимо ёниқ бўлиши керак. Илованинг десктоп-версияси ҳам бор, у орқали аккаунтга компьютердан кирса бўлади.

Илова тўплаган маълумотларини ҳозирча очиқ бўлмай турган сайтга жўнатади.

Иловада нима муаммо бор ва у нима учун хавфли?

Смартфоннинг функцияларига кўплаб изн сўрайди

“Stop COVID-19 KG” мобил иловасини фойдаланишнинг йўл-йўриғига кўра, у смартфоннинг кўплаган, жумладан бошқа дарчаларнинг ва қўлланмаларнинг устидан ишлашга рухсат берувчи функцияларига изн талаб қилади.

“Accessibility Service” деган номдаги сервис Android иловаларида турли ногиронлиги бор одамлар учун қўлланилади. Интернет фирибгарлари бу сервисни кўп қўлланади.

Accessibility Serviceни фойдаланишга рухсат олганда илова ўз ойналари билан бошқа иловаларнинг ойналарини тўсиб қўйиб, овоз командалари билан ускунани бошқариб, контентни эшитиб кўра олади ҳам.

Мутахассислар Accessibility Serviceнинг ёрдами билан иловани ишлаб чиққанлар кликжекингни фойдалана олишини таъкидлайди. Кликжекинг — ишлаётган кнопкаларнинг устига қандайдир бир кўзга кўринмас элементларни қўйиб қўйиш.

Масалан, фойдаланувчи видеони ишлатиш кнопкасини босганда ўзи билмай туриб қандайдир бир хавфли маълумотга рухсат бериб қўйиши мумкин.

Бундан ташқари, Accessibility Service фишинг, клавишани бошқаришга, сездирмай қўшимча қўлланмаларни ўрнатишга фойдаланилади. Шунингдек, ёмон фикрлилар бу сервиснинг ёрдами орқали ускунани яширин тўсиқдан чиқариб, айни вақтда смартфоннинг экранини ўчиқлигича ушлаб истаган ҳаракатларини қила олади.

2017 йили Google Play асосли сабаб келтирмай туриб Accessibility Serviceгт фойдаланишга қарши кураша бошлаган. Google агар Accessibility Serviceгни фойдаланган иловалар ногирон одамларга бағишланмаса, бундай иловалар ўчирилади деб билдирган.

Маълумотлар шифрланмаган

“Stop COVID-19 KG” мобил иловаси HTTP протоколини фойдаланади.

HTTP — бу илова билан сервернинг ўртасида маълумот алмашишнинг усули ҳамда протоколи. У браузерга веб-саҳифаларни юклашга, серверга эса қўлланувчи сайтда киргизган маълумотни олишга ёрдам беради. Айни вақтда маълумот шифрланмасдан, матн турида берилади.

HTTPS — бу ҳам айни протокол, бироқ бир оз хавфсиз, чунки у маълумотларни шифрланган турда ўтказади. Асосан, уларни очиш ва ўқиш учун сервердагина сақланган махсус калит керак бўлади.

Демак, бу маълумотлар “Stop COVID-19 KG” иловаси орқали шифрланмасдан, оддий турда берилади деганни англатади. Бу эса учинчи томонларга маълумотларнинг шифрини очмай, тизимга осонгина имтиёз олиши мумкин деганни билдиради.

Айниқса бу масала мобил телефоннинг рақами, паспортнинг ПИН/ИННи,тиббий ташхис ҳамда бошқа шахсий маълумотларга тегишли бўлиб турганда жуда хавфли.

Персонал маълумотлар ҳимоя қилинмаган

“Интернет сиёсатнинг фуқаровий ташаббуси” жамоат фонди (ИСФТ ЖФ) “Stop COVID-19 KG” мобил иловасига нисбатан мустақил таҳлилини ўтказган.

Ташкилот таҳлил натижасида шундай хулосага келган: ҳукумат ва дастурчилар “персонал маълумотларни ҳамда киберхавфсизликни ҳимоя қилиш тармоғидаги қонунларни жиддий бузишга” йўл қўйишган.

Ташкилотнинг таҳлилида “Stop COVID-19 KG” фойдаланувчи ҳақида жуда кўп маълумот сўрайди деб айтилади. Ҳуқуқ ҳимоячилари илованинг ишини таъминлаш учун дастурчиларга бу маълумотлар керак эмас, айни вақтда уларни тўплаш шахсий ҳаётнинг дахлсизлигини таъминлаш принципларига қарши келади деб ҳисоблашади.

Илова узатиши мумкин бўлган маълумотлар рўйхати

“Асосан соғлиқни сақлаш хизматларига COVID-19га гумонланаётганларнинг қаерларга боргани ҳақида эмас, фақатгина улар кимлар билан алоқада бўлгани ҳақида маълумотларгина етарли. Бунинг учун керак бўлувчи ягона шахсий маълумот — бу шифокорлар билан алоқада бўлишга шарт тузган телефон рақамигина”, — деб таъкидлайди ИСФТ.

ИСФТ иловани тушинтирмасидан бундай натижа чиқарган: илованинг ёрдами билан фуқароларнинг юрган ерини кузатувчи “махсус ваколатли одамларнинг” рўйхатини аниқлаш мумкин эмас.

“Персонал маълумотлар қайда сақланиши, уларни ким ишлатиши, одамлар ҳаракатини “назорат қилиш” иловасидаги маълумотлар натижасида кимга берилиши, “махсус ваколатли ҳуқуқли томонлар” кимлар экани тушунарсиз”, — деб ёзади ИСФТ ташкилоти.

“Шахсий маълумотлар тўғрисида” қонунга биноан, агар маълумотлар учинчи томонга берилса, ишлаб чиқувчилар бир ҳафта ичида фойдаланувчини бу ҳақда хабардор қилишлари шарт.

Бироқ, илованинг тавсифида шахсий маълумотларни ўтказиш мумкинлиги тўғрисида ёки фуқароларга бундай ўтказиш фактлари тўғрисида хабар бериш усули тўғрисида ҳеч нарса кўрсатилмаган.

Ҳуқуқ ҳимоячиларига кўра, мобил илова хавфсизлик талабларига жавоб бермайди. Улар шундай муҳим саволларни сўрашади: маълумотлар ошкор бўлиб кетишидан қандай ҳимояланган, маълумотлар қандай қилиб узатилади: очиқми ёки шифрланган турдами ва бошқача.

“Иловани ишлаши бўйича интернетда тарқалаётган видео бизнинг хавотирларимизни тасдиқламоқда, айниқса хусусий (тиббий) маълумотларни амалда ошкор қилиш билан киберхавфсизлик унинг турли талаблари бузилган — шахсий маълумотларга кимда ва қандай мақсадда бўлмасин кириш имкони бор”, — деб ҳисоблайди ташкилотнинг аъзолари.

Таҳлилда технологиялар пандемияга қарши курашишда муҳим ролни ўйнаши, аммо бу “ҳукуматларга электрон кузатувни кенгайтириш учун карт-бланш бермаслиги” таъкидланади.

Штабдан нима деб жавоб беришди?

Шунга қарамай штабдан илова шахсий маълумотларни ҳимоя қилиш тармоғидаги қонунларга, масалан “Шахсий турдаги маълумот ҳақида” ҳамда “Электрон бошқарув ҳақида”ги қонунларига ҳамда талабларига тўлиғи билан жавоб беради деб айтишмоқда.

“Автоматлаштирилган тизим ва ундаги маълумотлар махфий бўлиб саналади ва хизмат фойдаланишигагина бағишланган”, — деб ёзилади билдирувда.

Штабдан маълумотларга кириш имтиёзини олишнинг турли даражалари бор эканини айтиб, улар мутахассисларнинг вазифаларига кўра аниқланади деб ишонтиришди. Маълумотларга эришиш имтиёзи бор одамлар, иш вақтида олган маълумотларни ошкор қилмаслик учун қонун доирасида жавобгарликни олишади.

Штабнинг айтишича, маълумотлар санитар-эпидемик тадбирларни уюштиришга ёки COVID-19 пандемиясининг натижасини бартараф қилиш учунгина масъул одамларга очиқ.

“Тизимнинг барча маълумотлари ДТваАДҚнинг инфраструктурасида сақланади. У ерда ахборот хавфсизлиги бўйича чоралар кўзда тутилган ва таъминланган. Инфраструктура уюштирувчилик ва техник чоралар бўйича барча талабларга жавоб беради. Давлат органларининг барча тегишли таҳлиллари бор”, — деб билдиришди штабдан.