Mokslas ir IT

2020.07.03 05:30

Nauja programėle seks koronavirusu užsikrėtusius asmenis: ar reikia nerimauti dėl duomenų saugumo?

Patricija Kilminavičienė, LRT.lt2020.07.03 05:30

Sveikatos apsaugos ministerija planuoja pirkti mobiliąją programėlę, fiksuojančią ilgesnį kontaktą su koronavirusu užsikrėtusiu žmogumi. Programėlė bus savanoriška, todėl jos efektyvumas priklausys nuo to, kiek žmonių ja naudosis. Ekspertai LRT.lt aiškina, kokį vaidmenį valdant pandemiją atliks ši programėlė, kaip turėtų būti užtikrinamas asmens duomenų saugumas, ir dalijasi savo įžvalgomis, ar tokia priemonė šiuo metu apskritai turi prasmės.

Kokias funkcijas turės atlikti programėlė?

Pasak Nacionalinio visuomenės sveikatos centro (NVSC) kokybės vadybos ir komunikacijos skyriaus vedėjos Dianos Brunevičienės, tikimasi, kad perkama programėlė atitiks lūkesčius ir pavyks gauti optimaliausią sprendimą už mažiausią kainą.

„Mums svarbu, kad programėlė būtų patogi naudoti ir būtų užtikrinta asmens duomenų sauga. Siekiant atsakingai panaudoti mums skirtas lėšas, buvo nuspręsta pratęsti optimaliausio varianto paieškas. Šiuo metu rengiama mobiliosios programėlės, kurią planuojama įsigyti, techninė specifikacija. Artimiausiu metu, kai tik ji bus užbaigta, skelbsime viešąjį pirkimą“, – LRT.lt rašė D. Brunevičienė.

Pagal NVSC viziją, programėlė turės padėti kuo anksčiau nutraukti užsikrėtimo grandinę, išaiškinti ir informuoti sąlytį turėjusius mobiliosios programėlės naudotojus apie tai, kad jie buvo labai arti kito programėlės naudotojo, kuriam buvo nustatytas COVID-19 susirgimas. Programėlė taip pat turėtų padėti NVSC vykdyti COVID-19 liga susirgusių asmenų epidemiologinę priežiūrą ir stebėseną.

Kaip teigė NVSC atstovė, numatoma, kad mobilioji programėlė turės:

- kaupti informaciją apie mobiliosios programėlės naudotojo buvimą netoliese kitų mobiliosios programėlės naudotojų ar kitų suderinamų programėlių naudotojų;
- leisti mobiliosios programėlės naudotojui paskelbti, kad jam buvo nustatytas COVID-19 susirgimas;
- pranešti mobiliosios programėlės naudotojui apie turėtą sąlytį su asmeniu, kuriam buvo nustatytas COVID-19 susirgimas;
- pranešti mobiliosios programėlės naudotojui apie veiksmus, kurių jam rekomenduojama imtis turėjus sąlytį su viruso nešiotoju;
- užtikrinti saugius duomenų mainus su kitoms suderinamomis sąlyčio išaiškinimo ir informavimo programėlėmis;
- užtikrinti statistinės informacijos rinkimą (pvz., apskaičiuoti, koks programėlės naudotojų skaičius per dieną gavo pranešimus apie turėtą sąlytį su asmenimis, susirgusiais COVID-19).

Anot D. Brunevičienės, tikimasi, kad, įsigijus mobiliąją programėlę, kuri garantuos tinkamą asmens duomenų apsaugą, ji bus naudinga tiek visuomenei, tiek NVSC.

Paklausta, kodėl nepavyko dirbti su programėlės „Karantinas“ kūrėjais, NVSC atstovė atsakė, kad dar nėra dėl to nuspręsta.

„Siekdami tinkamai panaudoti mums skirtas lėšas, turime įsigyti optimaliausią variantą, t. y. rasti techninėje specifikacijoje iškeltus reikalavimus atitinkančias paslaugas ar produktus siūlantį tiekėją, kuris pasiūlys mažiausią kainą. Todėl ir yra skelbiamas viešasis pirkimas“, – tvirtino ji.

Klausimų kilo ne dėl asmens duomenų saugumo

Gegužės pabaigoje Valstybinė duomenų apsaugos inspekcija (VDAI) pranešė, kad programėlės „Karantinas“ veikla stabdoma dėl asmens duomenų saugos pažeidimų. Tai sukėlė programėle besinaudojusiųjų susirūpinimą ir iškėlė klausimą, kaip turi būti tvarkomi asmens duomenys, kai kalbama apie koronavirusu užsikrėtusius asmenis ir jautrią informaciją apie žmogaus sveikatos būklę.

Programėlę „Karantinas“ kūrusio startuolio „Lympo“ vadovė Ada Jonušė portalui LRT.lt teigė, kad programėlės veikla buvo sustabdyta dėl to, kad nebuvo nustatyta, kas yra duomenų valdytojas, o ne dėl kitų pažeidimų.

„Ne dėl to, kad mes, kaip duomenų tvarkytojai, nesilaikome kokios nors tvarkos ar taisyklių, į visus klausimus atsakėme ir tolimesnių kol kas dar negavome. Balandžio 7 d. oficialiame programėlės „Karantinas“ pristatyme, Vyriausybės spaudos konferencijoje, buvo pasakyti pono Algirdo Stonio žodžiai, kad mūsų kompanija yra duomenų tvarkytoja, o duomenų valdytojas yra NVSC. Vėliau pats A. Stonys taip pat rašė VDAI, kad duomenų valdytojas yra NVSC ir gali atsakyti į susijusius klausimus.

Tačiau po to, kai NVSC nusprendė nutraukti su mumis viešąjį pirkimą, aš tai interpretuoju kaip bandymą neturėti jokios sąsajos su programėle. Dėl to VDAI paklausė, ar jie (NVSC – LRT.lt) yra duomenų valdytojas, jie pasakė, kad nieko nežino ir nėra susiję su programėle. Mūsų paprašė panaikinti jų vardą programėlėje. Dabar VDAI atlieka tyrimą, jie ieško požymių, kad ši programėlė iš tikrųjų buvo užsakyta NVSC. Kaip tik birželio 15 d. buvo terminas, nusiuntėme VDAI virš 100 dokumentų, įrodančių tą užsakymą“, – aiškino A. Jonušė. Šiuo metu laukiama tyrimo išvadų.

Paklausta, ar planuoja dalyvauti naujame NVSC rengiamame viešojo pirkimo konkurse, A. Jonušė atsakė, kad dabartinė programėlė „Karantinas“ atlieka šiek tiek kitokią funkciją – padėti NVSC stebėti žmones, esančius priverstinėje saviizoliacijoje. Dabar perkama programėlė turėtų susekti koronavirusu užsikrėtusių asmenų kontaktus.

„Kai išleidome pirmą programėlės versiją, mūsų buvo paprašyta toliau vystyti ir kontaktų atsekimo funkciją, mes jos dalį esame padarę ir pateikę. Dabar žiūrėsime, koks bus tas viešasis pirkimas, kokių specifikacijų reikės, kaip atrodys, ir tada spręsime, ar dalyvauti. Dabar negalėčiau nei patvirtinti, nei paneigti“, – tikino A. Jonušė.

Nemato tokios programėlės prasmės

Pasak IT eksperto Vaido Damoševičiaus, asmens duomenų saugumas priklauso nuo aplikacijos architektūros.

„Iš principo galima surinkti labai daug duomenų iš mobiliojo telefono, tik klausimas, kaip aplikacijos gamintojai tais duomenimis manipuliuos. Reikėtų pasižiūrėti į patį programėlės kodą ir tada galima spręsti“, – LRT.lt teigė V. Damoševičius.

Jis atkreipė dėmesį, kad valstybė neatskleidžia beveik jokių duomenų apie koronavirusu sergančius asmenis. Vienintelis dalykas, kurį atskleidžia, yra tai, ar žmogus patenka į rizikos grupę, ar ne.

„Tam, kad atskleistų tokį dalyką, jau reikia žinoti žmogaus amžių. Kaip jie tą amžių nustato, ar pagal asmens kodą, ar tiesiog pagal datą? Jeigu pagal asmens kodą, tai įmanoma sužinoti, kur tas žmogus gyvena, kur lankėsi. Reikėtų pasianalizuoti, kokiu būdu yra identifikuojamas tas žmogus“, – kalbėjo V. Damoševičius.

Vis dėlto ekspertas teigė, kad jis pats nemato tokios programėlės prasmės.

„Įsivaizduokite, jūs atvykstate iš užsienio užsikrėtęs, jūs tikrai kirtęs Lietuvos sieną nepulsite diegtis programėlės ir atsakinėti į penkiasdešimt klausimų, kad būtumėte priskirtas vienai arba kitai grupei. Aš esu matęs šalių, kur truputį kitaip į tai žiūrima, bet tokioje šalyje kaip Lietuva nelabai įsivaizduoju, ką mes galime su tokia aplikacija padaryti. Vilniuje gal ją įsidiegs 10 tūkstančių moksleivių, bet Vilnius nėra rodiklis.

Dabar pažiūrėkite, kas darosi mieste: nei kas su kaukėmis vaikšto, nei saugosi. Tą dieną, kai pasakė, kad karantinas baigiasi, visi daro, ką nori. Dabar tikėtis, kad žmonės diegsis aplikaciją ir kažkaip ja naudosis kokioje Vilniaus gatvėje penktadienį vakare, tikimybė greičiausiai yra lygi nuliui“, – savo įžvalgomis pasidalijo V. Damoševičius ir pridūrė, kad tokią programėlę reikėjo kurti dar vasario mėnesį.

Atsekti kontaktus būtų paprasčiau

Kaip LRT.lt aiškino kibernetinio saugumo specialistas Rimtautas Černiauskas, teisingai suprogramavus aplikaciją, atlikus tam tikrus saugumo ir patikimumo testus, tokio pobūdžio programėlė susirūpinimo kelti neturėtų. Jis taip pat teigė manantis, kad dabartiniame technologijų amžiuje tokio pobūdžio programėlė labai pagerintų galimybes greičiau ir patikimiau atsekti, ar žmogus neturėjo kontakto su koronavirusu užsikrėtusiu asmeniu.

„Senuoju būdu epidemiologai skambina ir ieško kontaktų, tada spaudoje paskelbia, kad kažkas kažkur buvo. Aš ir pats bandžiau žiūrėti, bet supratau, kad labai sunku susekti tuos asmenis, žmogui reikia kiekvieną kartą studijuoti tuos atvejus. Tai labai sudėtinga. O programėlė, jeigu tokias funkcijas turėtų, manau, palengvintų gyvenimą“, – aiškino R. Černiauskas.

Programėlė gyventojams sekti?

Pasak kibernetinio saugumo eksperto, jeigu žmonėms kyla baimių dėl savo privatumo, asmens duomenų saugumo, sprendimas labai paprastas – paprasčiausia nesisiųsti tokios programėlės.

„Niekas neliepia tos programėlės diegti savo telefone, čia gal labiau yra jaunimui, kuris tas naujoves lengviau priima. Tam tikras ratas žmonių, manau, įsidiegs, atsargesni galbūt pirma norės pamatyti, koks efektas. O tie, kurie labai įtariai žiūri ir savo privatumą stipriai saugo, gali tiesiog nediegti tos programėlės“, – LRT.lt kalbėjo R. Černiauskas.

Savo ruožtu V. Domaševičius atkreipė dėmesį, kad jeigu kam nors kyla minčių apie visuotinį gyventojų sekimą, reikia nepamiršti, kad kone visos programėlės, naudojamos tiek norint išsikviesti taksi, tiek užsisakant maistą į namus, gali sekti žmonių buvimo vietą ir rinkti apie tai duomenis. Todėl sureikšminti šią programėlę dėl to nėra tikslinga.

„Visada galima iš geros idėjos padaryti velnią. Šiuo atveju tikėtis, kad ši aplikacija bus kuriama tam, kad sektų žmones, prasmės yra, aš manyčiau, nulis“, – tvirtino V. Damoševičius.

Kokius reikalavimus turėtų atitikti programėlė?

Kaip LRT.lt pakomentavo VDAI, asmens duomenų rinkimas ir tvarkymas priklauso nuo tikslų. Jei programėlė skirta tik informuoti, tada galiniuose įrenginiuose gali būti tvarkoma tik ta informacija, kurios reikia šiam tikslui.

„Tokiu atveju vartotojas jokių papildomų asmens duomenų neturėtų papildomai teikti. Tuo atveju, jei aplikacija būtų skirta simptomų pasitikrinimo ir nuotolinės medicinos funkcijos užtikrinimui, tuomet dalį asmens duomenų, tikėtina, turėtų suvesti ir pats vartotojas, pavyzdžiui, aplikacijoje atsakydamas į tam tikrus klausimus. Bet kuriuo atveju duomenų valdytojas privalėtų užtikrinti, kad per tokią aplikaciją nebūtų surinkta daugiau asmens duomenų, negu būtina, priklausomai nuo aplikacijos paskirties ir funkcionalumų. Pavyzdžiui, jei aplikacijos tikslas yra užtikrinti informavimo funkciją, vartotojo sveikatos duomenų rinkimas galėtų būti laikomas pertekliniu“, – rašoma VDAI atsiųstame komentare.

Pasak VDAI, duomenų valdytojas, prieš pradėdamas asmens duomenų tvarkymo veiksmus, ypač naudodamas naujas informacines technologijas, įskaitant ir programėles, privalo parinkti tinkamo lygio saugumo priemones. Minimų aplikacijų kontekste viena iš techninių saugumo priemonių yra duomenų perdavimo iš asmeninio įrenginio vykdymas užšifruotu formatu, taikant aukštesnio lygio šifravimo algoritmus. Taip pat turėtų būti užtikrinama, kad duomenų perdavimas nebūtų vykdomas, jei tai nėra būtina ar neatitinka asmens duomenų tvarkymo tikslų.

Vien aplikacijos naudojimas savaime nereiškia, kad turi būti renkami ir saugomi ar kitaip tvarkomi asmens duomenys. Bet jei jie tvarkomi, duomenų valdytojas turi užtikrinti, kad jie nebūtų saugomi ilgiau, negu būtina konkrečiam tikslui pasiekti.

„Pavyzdžiui, kai aplikacija skirta simptomų nuotolinei medicinai, manytume, kad asmens duomenų saugojimo terminas neturėtų viršyti vieno mėnesio, tačiau, priklausomai nuo konkrečios aplikacijos, jos paskirties ir pan., tinkamas laikotarpis gali būti ir trumpesnis. Tai visais atvejais reikia vertinti konkrečios aplikacijos kontekste. Dėl saugojimo vietos paminėtina, kad, jei asmens duomenys tvarkomi, tai aplikacijos duomenų bazė turi būti atskirta nuo duomenų valdytojo kitais tikslais tvarkomų asmens duomenų ir tinkamai apsaugota“, – aiškina VDAI.