Անձնական տվյալները, ադրբեջանական հաքերները և կառավարելի քաոսը. Սամվել Մարտիրոսյանը մանրամասներ է ներկայացնում
Տեղեկատվական անվտանգության փորձագետ Սամվել Մարտիրոսյանը գրում է.
«Կորոնավիրուսը շատ բան փոխեց, շատ խնդիրներ ստեղծեց, ավելի շատ արդեն եղած խնդիրներ վերհանեց։ Ամենահետաքրքիր թեմաներից մեկն անձնական տվյալների պաշտպանությունն է ու դրանց արտահոսքերը, հնարավոր հետևանքները։
Մի քիչ պատմություն
Հայաստանում անձնական տվյալների պաշտպանության հարցը միշտ խնդրահարույց է եղել, քանի որ չի եղել ո՛չ պետական մոտեցում, ո՛չ հանրային պահանջ։ Երկուհազարականների սկբում գրվեց անհատական տվյալների պաշտպանության օրենքը, որը իր մահով չորացավ, քանի որ ընդունելու օրվանից մոռացվեց։ Տասը տարի անց՝ 2015 թվականին, ընդունվեց Անձնական տվյալների պաշտպանության մասին օրենքը, ինչպես նաև ստեղծվեց Անձնական տվյալների պաշտպանության գործակալությունը, որը գործում է արդարադատության նախարարության անձրևանոցի տակ։
Տվյալների արտահոսքեր մինչև վերջերս, անկասկած, եղել են։ Այն էլ բավականին մեծ արտահոսքեր: 2012-2013 թվականներին, օրինակ, եղել էր մեծ արտահոսք հեռախոսահամրների բազաների։ Սակայն այն ժամանակ շատ բանի արտահոսք չէր էլ կարող լինել․ դեռ շատ բան թղթով էր պահվում։
Ներկա իրավիճակը
Ինչպես նշեցի, մենք արդեն ունենք Անձնական տվյալների պաշտպանության մասին օրենք, համապատասխան գործակալություն։ Բայց այսքանից շատ բան չունենք։ Տուգանքը խախտման, արտահոսքի, անբարեխիղճ վերաբերմունքի դեպքում հավասար է 200-500 հազար դրամի։ Եվ դեռ երբեք չի կիրառվել ՀՀ նորագույն պատմության ժամանակ։
Մյուս կողմից մենք ունենք արագ թվայնացում։ Պետական փաստաթղթաշրջանառությունն արդեն տարիներ շարունակ թվայնացված է։ Իսկ հիմա թափով թղթից դուրս է գալիս քաղաքացի - պետություն հարաբերությունը, քանի որ նոր ու նոր ոլորտներ մտնում են էլեկտրոնային կառավարման տակ։ Մեկ այլ կողմից օրենքն ու գործակալությունը գործի կեսի կեսն են։ Եթե չկան հստակ կարգավորումներ, թե ինչպես է պետք օգտվել անձնական տվյալների շտեմարաններից, ով ու երբ իրավունք ունի դրանք օգտագործել, որ պաշտպանվածության մակարդակներն են հարկավոր այս կամ այն տիպի տվյալների հետ աշխատանքի դեպքում, մենք ստանում ենք այն իրավիճակը, որն ունենք այսօր։
Ի՞նչ ունենք այսօր
Հունիս-հուլիս սեզոնում մենք արդեն ունենք ահռելի քանակի արտահոսքեր։ Եկեք նայենք հերթով, թե ինչ դեպքեր են արձանագրվել․
Հունիսի 2. «Զնդան» ֆեյսբուքյան էջը հրապարակում է կորոնավիրուսից մահացածների ցուցակները
Հունիսի 11. Ադրբեջանական հաքերային խումբը, որը արդեն տարիներ շարունակ հարձակումներ է իրակականցնում հայկական էլեկտրոնային փոստերի և սոցցանցերի հաշիվների վրա, հրապարակում է երեք հազարից ավելի տվյալ․ կորոնավիրուսով վարակվածների և իրենց հետ կոնտակտ ունեցածների։ Հրապարակվում են անունները, ծննդյան թվերը, հասցեները, հեռախոսահամրները և անձնագրի սերիաները։ Հիմնական «զոհերն» Արմավիրից են։
Հունիսի 24-26. Նույն հաքերային խումբը հարապարակում է ևս մոտ երկու հազար հայաստանցու տվյալ։ Այս անգամ՝ առանց անձնագրային տվյալների։
Հուլիսի 5. Նույն խումբը սկսում է հրապարակել հայաստանցիների անձնագրերի լուսանկարներ։ Ընդ որում, մեջը կան Արցախի ԱԱԾ աշխատակցի տվյալներ։
Հուլիսի 6. Ադրբեջանական հաքերային ֆորումում հրապարակվում են մի քանի հարյուր հայաստանցու անձնագրային տվյալներ։ Ընդ որում, դա անձնագրերի լուսանկարներ են, մի մասում մարդիկ նկարահանվել են անձնագրերի հետ։ Նման նկարահանում պահանջում են, օրինակ, վարկային կամ նմանատիպ կազմաերպություններ, որոնց պետք է նույնականացնել մարդուն և համոզվել, որ նա չի օգտագործում մեկ այլ քաղաքացու անձնագիրը։ Ասեմ, որ առկա են նաև Արցախի ԱԱԾ աշխատակցի տվյալներ։
Սա արտահոսքի օրինակներից մեկն է։ Բլուրը իմ կողմից է արվել:
Հուլիսի 7. Ադրբեջանական հաքերները Ֆեյսբուքում հրապարակաում են Արցախի Պաշտպանության բանակի զորամասի գույքագրմանը վերաբերող թերթիկներ, որոնք ներառում են նաև ավտոմոբիլային պարկի վերաբերյալ տեղեկություններ:
Թերթիկներն ինչ-որ մեկը նկարահանել է և, ամենայն հավանականությամբ, իր անձնական «մայլով» ուղարկել մեկ ուրիշ հանճարի։ Սա արդեն մի դեպք է, որ պետք է երկրում բարձրացներ մեծ աղմուկ։ Լսո՞ւմ եք աղմուկը։ Ես էլ չեմ լսում։
Սա արտահոսքի օրինակներից մեկն է։ Տվյալների մի մասը ես ջնջել եմ:
Համաձայնեք, որ մեկ ամսում նման քանակի տվյալների արտահոսքն իսկապես կատաստրոֆա է։ Առավել մտահոգիչն այն է, որ արտահոսքերը տարբեր են։ Հստակ երևում է, որ աղբյուրը մեկը չէ, երկուսը չէ։ Ինչ կարելի է ենթադրել հարձակումներից․
ա․ «Զնդանի» դեպքն ակընհայտ ներքաղաքական պայքարին է ուղղված։ Ինչը նշանակում է, որ ամեն պահի մի ներքին աղբյուր կարող է լուրջ արտահոսք իրականացնել՝ ինչ-որ մի քաղաքական ուժի պատվերով։
բ․ Կորոնավիրուսային արտահոսված տվյալներն իրենք իրենց մեջ տարբեր են։ Ֆայլերի և տվյալների ձևավորումը իրարից տարբերվում են։ Ինչն, ամենայն հավանականությամբ, նշանակում է, որ մի քանի աղբյուրց են եղել արտահոսքերը։
գ․ Իմանալով կոնկրետ ադրբեջանական հաքերային թիմի՝ տարիների ընթացքում իրականացված հարձակումների ոճը, «modus operandi», կարելի է գրեթե հարյուր տոկոսանոց հավանականությամբ ենթադրել, որ իրենք տվյալները ստացել են ոչ թե ինչ-որ համակարգերի վրա հարձակումներից, այլ անձնական էլեկտրոնային փոստեր կոտրելուց։ Ընդ որում, հիմնականում դա իրենք անում են ընդհանուր շաբլոններով, mail.ru համակարգի վրա ֆիշինգային հարձակումների միջոցով։
դ․ Ինչը նշանակում է, որ մեծ քանակի պետական պաշտոնյաներ, բուժաշխատողներ, ՏԻՄ ներկայացուցիչներ իրար հետ փախանակվում են նման ինֆորմացիայով անձնական էլեկտրոնային փոստերով։ Կամ ընդհանրապես, որպես գործական՝ օգտագործում են անձնական փոստերը։
Ամենազարհուրելին այն է, որ բանակային տվյալները նույն կերպով են տնօրինվում։
ե․ Ընդհանուր առմամբ, չկան հստակ կարգվորումներ, թե ով և ինչպես կարող է օգտագործել այս կամ այն տեղեկատվությունը։ Չկան պահանջներ և կանոններ տեղեկատվության հետ աշխատանքի։ Ոչ մի պաշտոնյա հստակ չի տեղեկացվում, թե ինչպես ինքը կարող է և պարտավոր է պաշտպանել թվային հաշիվները։ Կարճ ասած․ չկա հստակ ֆիքսված, գրված քաղաքականություն այս հարցում։
զ․ Չկան հստակ և խիստ պատիժներ խախտումների դեպքում։ Եղած տուգանքները գրեթե ոչինչ են՝ համեմատած հասցրած վնասների հետ։
է․ Մասնավոր հատվածում ընդհանրապես կարգավորումների ծայրը չի երևում։ Եղած տուգանքները հստակ հուշում են, որ ավելի հեշտ է վճարել 200 հազար դրամ մեկ անգամ, քան ամեն ամիս վճարել մասնագետի, որը պետք է հետևի թվային անվտանգությանը և տեղեկատվության հետ աշխատանքին։
ը․ Եթե ոչինչ չարվի, մենք ունենալու ենք ավելի ու ավելի մեծ արտահոսքեր։ Մեր քաղաքացիները դառնալու են ավելի ու ավելի անպաշտպան։
Ի՞նչ անել
ա․ Վերջապես ստեղծել կիբեր անվտանգությունով զբաղվող կենտրոն:
բ․ Անձնական տվյալների պաշտպանության գործակալությունը մեծացնել։ Կտրուկ մեծացնել տուգանքները և հետևողական կիրառել։ Կասեցնել մարդկանց և կազմակերպությունների գործունեությունը, որոնք չեն կարողանում աշխատել անձնական տվյալների հետ:
գ․ Ունենալ հստակ պետական քաղաքականություն, որը կընդգրկի տեղեկատվական անվտանգությունը, անձնական տվյալների պաշտպանությունը։ Հստակեցենել պատասխանատու մարմինները։ Այսօր պարզ չէ, թե հանրությունն ումից պետք է պատասխան պահանջի:
դ․ Բոլոր անձնական տվյալներով աշխատող պետական պաշտոնյաների համար անցկացնել համապատասխան թրեյնինգներ:
ե․ Բարձրացնել հանրային իրազեկումը թեմայի շուրջ: