Pavežėjimo paslaugų programėlė „Yandex. Taxi“, programinė įranga „Kaspersky“ ir veidų sendinimo bei vaizdo manipuliacijų programėlė „FaceApp“ pastaraisiais metais žiniasklaidoje sulaukė didelio dėmesio – nuo griežtų rekomendacijų nenaudoti šių produktų iki bandymų teisinti, esą naudojimasis jais jokios žalos nedaro. Aišku tik tai, kad visų šių produktų atėjimas į Lietuvos ir kitų valstybių rinkas vienaip ar kitaip susijęs su Rusija.
Rusijos žvalgybai teikė ne tik programinę įrangą, bet ir personalą
Pirmasis iš šių projektų, patekęs į Lietuvos Nacionalinio kibernetinio saugumo centro (NKSC) akiratį – programinė įranga „Kaspersky Lab“. 2017 metų gruodį išplatintame pranešime skelbiama, kad ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių valdytojai privalo ją pakeisti kita, saugesne, programine įranga dėl „Kaspersky Lab“ keliamos potencialios grėsmės šalies saugumui.
Pusmečiu anksčiau nei Lietuva „Kaspersky Lab“ naudoti valstybinės reikšmės agentūrose uždraudė Jungtinės Amerikos Valstijos. Įtarimų dėl „Kaspersky Lab“ veiklos kilo ir anksčiau, tačiau galutinį tašką šioje istorijoje padėjo 2017 metų liepą paviešintas „Bloomberg“ tyrimas. Jame rašoma apie glaudžius „Kaspersky Lab“ ryšius su Rusijos žvalgyba ir bendrus projektus, apie kuriuos kompanijos įkūrėjas Jevgenijus Kasperskis viešai kalbėti nepanoro, matyt, baimindamasis visuomenės reakcijos.
Netrukus po straipsnio pasirodymo, Trumpo administracija paskelbė laikinai uždraudžianti naudoti „Kaspersky Lab“ įrangą daugumoje JAV vyriausybės agentūrų. Daugiausia nerimo JAV, o vėliau ir Lietuvai, sukėlė faktas, kad „Kaspersky Lab“ kūrė programinę įrangą Rusijos žvalgybos tarnyboms, be to, parūpino personalą Rusijos žvalgybai policijos reidų ir areštų metu. Šiemet JAV vyriausybė panaikino laikiną draudimą naudoti programinę įrangą ir pakeitė jį nuolatiniu draudimu.
2018 metų veiklos ataskaitoje NKSC pabrėžė, kad, nors „technologiniu požiūriu produktai ar paslaugos gali būti saugios, tačiau įrangos ar paslaugų teikėjai – ne. Turėdami perteklines prieigos galimybes, taip pat disponuodami konfidencialia informacija, subjektai informaciją apie pažeidžiamumus ar potencialius piktavališkos veiklos vektorius gali perduoti tretiesiems asmenims arba patys gali būti kenkėjiškos veiklos vykdymo tarpininkai.“
Į rinką atėjo per ypač agresyvią reklamos kampaniją
Toks pat perspėjimas ataskaitoje taikomas ir dar vienam su Rusija siejamam projektui – „Yandex. Taxi“. Atėjusi į Lietuvos rinką, su Rusija siejama pavežėjimo paslauga sulaukė didelio institucijų dėmesio. Ja netrukdo susidomėti ir taksi paslaugomis besinaudojantys lietuviai – programėlė gundė gerokai mažesnėmis kainomis, nei taiko kiti vežėjai.
Kalbėdamas apie Rusijos mėginimus įtraukti kaimyninių šalių gyventojus į savo informacinę erdvę, Lietuvos kariuomenės Strateginės komunikacijos departamento analitikas Tomas Čeponis pabrėžė, kad „Yandex. Taxi“ reklaminė kampanija buvo vienas agresyviausių Rusijos komunikacijos pavyzdžių.
„Vienas žinomesnių pavyzdžių, kai mūsų mobilieji įrenginiai buvo užtvindyti tokios reklamos, tai raginimas prisijungti prie „Yandex. Taxi“. Labai dažnai kai prisijungiame prie vienos programėlės, mums ateina pasiūlymas naudoti ir kitas, pavyzdžiui, kodėl tau nepradėjus naudoti ir „Yandex“ paieškos sistemos. Po to seka dar 10 įskiepių, kuriuos gali naudoti kartu. Šie bandymai žmones pritraukti į „Yandex. Taxi“ buvo vieni iš agresyviausių.
Manau, „Yandex. Taxi“ suprato, kad taip galima susirinkti labai daug informacijos. Be to, įtarimą kelia ir kainų politika, nes patys taksistai kartais susirašinėja, kad kainos yra nelabai logiškos organizuoti tokias paslaugas už tokius įkainius mūsų vietovėse, bet jie vis viena bando tai įgyvendinti“, – kalbėjo analitikas.
2018 metais paskelbtas NKSC tyrimas atskleidė dar daugiau programėlės spragų. Programinio kodo analizė parodė, kad „Yandex. Taxi“ programėlė reikalauja prieigos prie didelio kiekio jautrių duomenų ir leidimo naudotis įrenginio funkcijomis. Be to, „turi galimybę aktyvuoti įrenginio kamerą ir mikrofoną (vykdyti naudotojo aplinkos įrašymą), naudoti kontaktų sąrašą (galimybė gauti telefonų knygos, naudojamų paskyrų informaciją), vykdyti skambučių valdymą, įrenginio tapatybės ir veiklos būklės nustatymą, vykdyti trumpųjų pranešimų paslaugų valdymą (galimybė perimti gaunamus pranešimus), atlikti turinio, saugomo išmaniojo įrenginio atmintyje, modifikavimą, nustatyti tikslią (GPS) įrenginio buvimo vietą, atlikti tinklo prieigos valdymą (siųsti duomenis internetu, stebėti ir valdyti tinklo sujungimus, valdyti belaidžio tinklo (angl. Wi-Fi) prieigą).“
Vertinime taip pas skelbiama, kad programėlė gali „įvairiu laiku ir šifruotais ryšio kanalais užmegzti ryšį su skirtinguose Rusijos Federacijos regionuose esančiais adresais (pagal geolokacijos IP duomenų bazių informaciją) nepriklausomai nuo to, ar programėlė dirba budėjimo, ar aktyviuoju režimu.“
Pagal Rusijoje nuo 2015 metų galiojantį duomenų saugos įstatymą, visos Rusijos teritorijoje registruotos įmonės pareikalavus privalo teikti duomenis apie savo klientus Rusijos žvalgybos institucijoms, todėl „Yandex. Taxi“ besinaudojančių Lietuvos gyventojų duomenys nėra saugūs.
Ataskaitoje taip pat pažymėta, kad tos pačios duomenų saugumo grėsmės galioja ir tiems Lietuvos gyventojams, kurie naudojasi rusiškomis elektroninio pašto paskyromis (mail.ru), rusiškais socialiniais tinklais (Odnoklasniki, Vkontakte) ar paieškos sistemomis (Yandex).
Pažeidimų nerado, bet nerimą sukėlė
Dėl perteklinio duomenų rinkimo į NKSC akiratį pakliuvo ir dar viena programėlė, sukurta Rusijos programinės įrangos gamintojo „OOO Wireless Lab“ – „FaceApp“. Prie didžiulio programėlės populiarumo iš dalies prisidėjo nuomonės formuotojai ir žymūs žmonės, socialiniuose tinkluose visame pasaulyje demonstravę programėlės pagalba pasendintus savo veidus.
Kilus įtarimų, kur nukeliauja programėlei pateikti vartotojų duomenys ir kokie ryšiai ją sieja su Rusija, NKSC atliko programėlės analizę. Išanalizavus „FaceApp“ prieita išvados, kad programėlė žalos vartotojui iš esmės nedaro, tačiau „didžiausią susirūpinimą kelia programėlės naudojimo taisyklės, kuriomis remiantis vartotojas turi sutikti neatlygintinai suteikti „FaceApp“ prieigą prie aplikacijos aplinkoje pasiekiamų duomenų – leisti „FaceApp“ juos naudoti, dauginti, modifikuoti, pritaikyti, skelbti, versti, kurti išvestinius kūrinius, platinti, viešai naudoti visais žinomais (ar ateityje sukurtais) formatais ir kanalais.“
NKSC teigimu, atsižvelgiant į tai, kad programėlė registruota Rusijoje, toks platus prašomų vartotojų duomenų ir jų panaudojimo spektras yra neproporcingas gaunamai paslaugai – pasendinto veido paveikslėliui.