Հայկ Հովհաննիսյան, #CivilNetCheck
2022-ի մայիսին համացանցում լուրեր տարածվեցին, որ Հայաստանի քաղաքացիների անձնական տվյալներն արտահոսել են համացանց։ Նշվում էր, որ արտահոսքը տեղի է ունեցել արտերկրից ապրանքների բեռնափոխադրմամբ զբաղվող հայկական բեռնափոխադրումներով զբաղվող Globbing ընկերության վրա հաքերային հարձակման հետևանքով։
Արտահոսած տվյալների ուսումնասիրությունից պարզ էր դառնում, որ խոսքը մոտ 250 000 օգտատերերի, այդ թվում Հայաստանի, Ռուսաստանի և Ղազախստանի քաղաքացիների անձնական տվյալների մասին է՝ անուններ, անձնագրային տվյալներ, հեռախոսահամարներ և հասցեներ։
Globbing-ը հանդես եկավ հայտարարությամբ՝ հերքելով արտահոսքի մասին լուրերը և վստահեցնելով, թե «անհանգստանալու կարիք չկա»։
Շուտով ընկերությունը նաև հայտարարեց, որ «ի ապացույց ընկերության կիբերանվտանգության և ապահովության»՝ գործարկելու է Bug Bounty ծրագիրը, որով 1,5 մլն դրամ կառաջարկի մասնագետներին, որոնք Globbing-ում կիբերանվտանգության խնդիրներ կհայտնաբերեն։
Ընկերությունն այդպես էլ պատասխանատվության չենթարկվեց
#CivilNetCheck-ի թիմը ուսումնասիրել էր արտահոսած տվյալների բազան և պարզել, որ հակառակ Globbing-ի հավաստիացումներին՝ արտահոսած տվյալները պատկանում են հենց ընկերության հաճախորդներին: Դրանում համոզվել էինք ՍիվիլՆեթի՝ Globbing-ի հաճախորդ հանդիսացող աշխատակիցների տվյալների և բազայում առկա տեղեկությունների համադրմամբ։ Fip.am-ի ուսումնասիրությունը ևս փաստել էր, որ արտահոսած տվյալները Globbing-ից էին։
Համաձայն Անձնական տվյալների պաշտպանության մասին օրենքի՝ քաղաքացիների անձնական տվյալներ մշակողը պարտավոր է օգտագործել գաղտնագրման միջոցներ և կանխել տվյալների արտահոսքը։
Անձնական տվյալների պաշտպանության մասին օրենքը նաև սահմանում է, որ արտահոսքի դեպքում մշակողը պարտավոր է այդ մասին անհապաղ հրապարակել հայտարարություն։ Փաստացի՝ Globbing-ը երբևէ և որևէ կերպ չի հայտնել իր հաճախորդների տվյալների արտահոսքի մասին։
Օրենքով սահմանված այս պարտավորության խախտման դեպքերում Վարչական իրավախախտումների վերաբերյալ օրենսգրքի 189.17 հոդվածը նախատեսում է տուգանք տեղեկատվությունը մշակողի նկատմամբ։
Մինչդեռ, պարզվում է, քաղաքացիների անձնական տվյալների անվտանգությունը չապահովելու համար Globbing-ը մեկ տարի անց այդպես էլ չի տուգանվել, իսկ անվտանգության խոստացված Bug Bounty մրցույթն էլ չի ձեռնարկել։
Անձնական տվյալների պաշտպանության գործակալությունը՝ փաստաբանի դերում
#CivilNetCheck-ի հարցմանն ի պատասխան՝ Արդարադատության նախարարության անձնական տվյալների պաշտպանության գործակալությունը (ԱՏՊԳ) հայտնում է, որ ուսումնասիրության արդյունքում հաստատվել է` արտահոսած տվյալները Globbing ընկերությունից են։
Գործակալության պետ Գևորգ Հայրապետյանի ստորագրությամբ ստացված պատասխանում, սակայն, փաստական սխալներ կան։ Այսպես, գործակալությունը պնդում է, թե ընկերությունը պատշաճ տեղեկացրել է անձնական տվյալների հնարավոր արտահոսքի մասին, ինչը չի համապատասխանում իրականությանը։
Ինչպես նշեցինք, ընկերությունն իր հաճախորդներին ոչ միայն չէր տեղեկացրել արտահոսքի մասին, այլև փաստացի հերքել էր իրենց համակարգից տվյալների արտահոսքը։
Թեև Անձնական տվյալների պաշտպանության գործակալությունը հաստատում է, որ Globbing-ը թույլ է տվել տվյալների արտահոսք, սակայն քաղաքացիների անձնական տվյալների անվտանգությունը չապահովելու մասով վարչական վարույթ չի հարուցել։
Գործակալությունը տեղեկացնում է, որ արտահոսքը տեղի էր ունեցել տևական ժամանակ Globbing-ի բազայից տվյալների որսման (scraping-ի) միջոցով։ Ընկերությունը, ըստ գործակալության, միջադեպի հետևանքով իբր նախաձեռնել է Bug Bounty ծրագիր։
Իրականում «կիբերանվտանգության ապահովմանն ուղղված» Bug Bounty ծրագիրը, որի մասին ընկերությունը հայտարարել էր, այդպես էլ չի իրականացվել։ Հատուկ այդ մրցույթի համար ստեղծված կայքը ներկայում անհասանելի է [արխ.]։
Կիբերանվտանգության մասնագետ Արթուր Պապյանը, որն ընտրված էր մրցույթի փորձագիտական կազմում, #CivilNetCheck-ին հայտնեց, որ տեղյակ չէ մրցույթի անցկացման վերաբերյալ։
Հատկանշական է, որ գործակալությունն իր պաշտոնական գրությունում արտահոսք թույլ տված ընկերություններին դիտարկում է որպես «տուժող» և պնդում, որ ընկերությունների պատասխանատվության գոտում միայն արտահոսքից հետո թերությունների վերացումն է։ Այս վերջին պնդումը ևս խնդրահարույց է, քանի որ օրենքը հստակ պարտավորեցնում է նաև կանխելուն ուղղված քայլերի մասին։
Դատախազությունից #CivilNetCheck-ին հայտնեցին, որ արտահոսքի առիթով քրեական գործ է հարուցվել, որը դեռ նախաքննության փուլում է, և որևէ անձի մեղադրանք առաջադրված չէ։ Ըստ էության՝ խոսքը տվյալներ կորզած հաքերի մասին է։
Ինչ վերաբերում է Globbing ընկերությանը, ապա այն ինչպես մեկ ամիս առաջ ուղարկված մեր հարցմանը, այնպես էլ հեռախոսազանգերին չի պատասխանել։
