Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC prie KAM) rekomenduoja nesinaudoti išmaniesiems įrenginiams skirta programėle „Yandex. Taxi“, kuri Lietuvoje aktyviai platinama jau beveik savaitę (nuo liepos 26 dienos).
Reikalauja prieigos prie jautrių duomenų
Pagal nutylėjimą, ši programėlė reikalauja prieigos prie didelio kiekio jautrių duomenų ir leidimo naudotis įrenginio funkcijomis:
- galimybe aktyvuoti įrenginio kamerą ir mikrofoną (vykdyti naudotojo aplinkos įrašymą),
- naudoti kontaktų sąrašą (galimybė gauti telefonų knygos, naudojamų paskyrų informaciją),
- vykdyti skambučių valdymą, įrenginio tapatybės ir veiklos būklės nustatymą,
- vykdyti trumpųjų pranešimų paslaugų valdymą (galimybė perimti gaunamus pranešimus),
- atlikti turinio, saugomo išmaniojo įrenginio atmintyje, modifikavimą,
- nustatyti tikslią (GPS) įrenginio buvimo vietą,
- atlikti tinklo prieigos valdymą (siųsti duomenis internetu, stebėti ir valdyti tinklo sujungimus, valdyti belaidžio tinklo (angl. Wi-Fi) prieigą).
- Pažymėtina ir tai, kad vėlesnės programėlės versijos gali padidinti reikalaujamų funkcijų prieigų kiekį.
Šie „Yandex. Taxi“ programėlės poreikiai galimai sudaro sąlygas neteisėtam asmens duomenų rinkimui ir kaupimui, o tai kelia susirūpinimą dėl jų saugumo.
Remiantis programėlės naudojimo sąlygomis, iš naudotojo įrenginio surinkti duomenys saugomi serveriuose organizacijos, kurios būstinė yra Rusijos Federacijoje (Maskvoje). Naudojimo sąlygose taip pat aptariama galimybė duomenis pateikti valstybinėms organizacijoms, reguliavimo institucijoms, teismams ir kitoms trečiosioms šalims.
Remiantis Lietuvos Respublikos Valstybės saugumo departamento ir Antrojo operatyvinių tarnybų departamento prie Krašto apsaugos ministerijos 2018 m. Grėsmių nacionaliniam saugumui vertinimu – „Rusijos žvalgybos ir saugumo tarnybos turi teisinius įgaliojimus ir techninių galimybių įgyti prieigą prie Rusijos ir užsienio valstybių piliečių, naudojančių rusiškas elektroninio komunikavimo platformas, duomenų“.
Grėsmių vertinime taip pat nurodoma: „<…> grėsmė, kad asmeniniai duomenys nutekinami Rusijos žvalgybos ir saugumo tarnyboms, kyla visiems Lietuvos piliečiams, besinaudojantiems rusiškais socialiniais tinklais ir elektroninio pašto paslaugomis, pvz., odnoklasniki, mail.ru, yandex ir pan.“.
Šiuo metu NKSC prie KAM atlieka išsamią „Yandex. Taxi“ programėlės saugumo analizę. Kol nebus nustatyti konkretūs faktai dėl mobiliosios programėlės saugumo, NKSC prie KAM rekomenduoja nediegti jos į turimus įrenginius. Ypač svarbu, kad ši priemonė nebūtų naudojama Lietuvos valstybės tarnautojų ir pareigūnų, krašto apsaugos sistemos darbuotojų įrenginiuose.
Atsakymus pateiks po dviejų savaičių
Nacionalinio kibernetinio saugumo centro (NKSC) direktorius Rytis Rainys teigia, kad susirūpinimą kelia „Yandex. Taxi“ programėlės siunčiamų šifruotų duomenų apimtys. Išsamesnis tyrimas dėl programėlės, anot jo, bus atliktas per savaitę ar dvi – iki tol nerekomenduojama jos naudoti valstybės tarnautojams ir pareigūnams.
„Mes neteigiame, kad tai kelia pavojų nacionaliniam saugumui, neturime tokių atvejų, kad būtų tai padaryta, t.y. kad ji šnipinėtų vartotojus, kad ji tikrai tą daro – mes to neteigiame. Mes tik susirūpinę dėl didelės prieigos prie duomenų vartotojo įrenginiuose, dėl to nuogąstaujame“, – teigė R.Rainys.
Jis akcentavo, kad programėlė nėra draudžiama ir kiekvienas vartotojas gali apsispręsti, ar ją diegti, tačiau to daryti nerekomenduojama.
„Tie duomenys tikrai keliauja į serverius trečiosiose valstybės, ne Lietuvoje, todėl valstybinio sektoriaus tarnautojams, pareigūnams, kritinių infrastruktūrų valdytojams įrenginiuose rekomenduojame nenaudoti“, – pabrėžė jis.
R.Rainys taip pat sako, kad galimybės uždrausti naudotis programėle valstybiniame sektoriuje yra: Vyriausybė yra įvedusi draudimą naudoti Rusijoje įsikūrusios kompanijos „Kaspersky Lab“ programinę įrangą Lietuvos kritinių informacinių technologijų sistemų valdytojams, kai Jungtinės Valstijos pernai paskelbė, kad bendrovė gali bendradarbiauti su Rusijos žvalgyba.
Vilniaus meras Remigijus Šimašius ir Seimo narys Audronius Ažubalis kreipėsi į Valstybės saugumo departamentą prašydami informacijos, ar „Yandex. Taxi“ veikla Lietuvoje nekelia grėsmės nacionaliniam saugumui.
„Yandex.Taxi“: patikrinimams pasiruošę
Programėlę sukūrusios ir taksi paslaugas teikiančios bendrovės atstovai nurodė, kad vartotojų duomenis tvarko pagal visus ES reikalavimus: „Mūsų vartotojų duomenų saugumas yra mūsų didžiausias prioritetas. „Yandex.Taxi“ programėlė priklauso „Yandex.Taxi BV“, ES įmonei, registruotai Olandijoje. „Yandex.Taxi BV“ apdoroja ir laiko ES vartotojų duomenis laikydamiesi griežtų ES įstatymų, ypač BDAR (angl. GDPR). Esame atviri ir pasiruošę bet kokiems reikalingiems patikrinimams. Jokiems kaltinimams pagrindo nėra.“