Վտանգավոր է․ անձնական տվյալների արտահոսքը կարող է հանգեցնել վարկային պարտավորություններից մինչև ահաբեկման

Անձնական տվյալների արտահոսքերը Հայաստանում հաճախակի են դարձել, ինչը մեծ վտանգ է յուրաքանչյուրի համար, սակայն, ըստ փորձագետների, հասարակության զգալի մասը չի գիտակցում, թե որքան կարևոր է անձնական տվյալների պաշտպանությունը։

Ըստ ՀՀ Արդարադատության նախարարության Անձնական տվյալների պաշտպանության գործակալության ուսումնասիրության՝ անձնական տվյալների պաշտպանության ոլորտում հիմնական խնդիրներից մեկը շարունակում է մնալ անձնական տվյալների պաշտպանության վերաբերյալ ոչ բավարար իրազեկվածությունը կամ չիմացությունը: Անձնական տվյալների մեծածավալ արտահոսքեր եղան նաև 44-օրյա պատերազմի ժամանակ։

CyberHUB (Տեղեկատվական տեխնոլոգիաների (ՏՏ) հետ կապված արտակարգ պատահարների աջակցության հարթակ) կազմակերպությունը հաստատված տեղեկություններ ունի, որ 2020 թվականի 44-օրյա պատերազմի ընթացքում գրեթե 2.5 միլիոն միավոր տեղեկատվության արտահոսք է եղել։

«2020-ին ադրբեջանցիները հրապարակում էին մեծ ծավալի անձնական տվյալներ՝ ընտրողների ցուցակներ, անձնագրային տվյալներ, հեռախոսահամարներ, որոնք, ադրբեջանական կողմի պնդմամբ, ՀՀ պետական տարբեր կառույցներից էին վերցրել»,- ասում է  CyberHUB-ի համահիմնադիր, «Բազմակողմանի տեղեկատվության ինստիտուտ» ՀԿ փորձագետ Արթուր Պապյանը։

Նրա տեղեկացմամբ՝ 2020 թվականին ֆիշինգի միջոցով նաև տարբեր անձանց էլփոստի հասցեներից են տվյալներ դուրս բերվել։ Վերլուծելով արտահոսքերի դեպքերը՝ փորձագետն արձանագրում է․ պետական համակարգում կա խնդիր, որի լուծմանը նպաստելուն էլ ձեռնամուխ է CyberHUB-ը՝ անձնական տվյալների արտահոսքերի մշտադիտարկման հայաստանյան հարթակը։ Այն ներկայում կատարելագործման փուլում է։ Հարթակը թույլ կտա Հայաստանում բնակվող ցանկացած մարդու ստուգել՝ արդյո՞ք իր անձնական տվյալների արտահոսք եղել է, նաև ճշտել, թե կոնկրետ ի՞նչ տվյալներ են դրանք։

Պապյանի ներկայացմամբ՝ հարթակի լիարժեք գործարկումն օգտակար քայլ կլինի այն մարդկանց համար, ովքեր մտահոգված են իրենց անձնական տվյալների պաշտպանության խնդրով։ Ըստ փորձագետի, սակայն, խնդրի լուծումը համապարփակ կլինի, երբ հասարակության մեջ անձնական տվյալների պաշտպանության կարևորության մասին ընկալում ձևավորվի։

«Հայաստանում, առհասարակ, քիչ է զարգացած մարդու անձնական կյանքի, անձնական տվյալների գաղտնիության ընկալումը։ Գուցե դա գալիս է մեր հասարակության բնույթից։ Մենք փոքր ժողովուրդ ենք, բոլորը բոլորի մասին ամեն ինչ գիտեն։ Հաճախ, երբ մարդուն պատմում ես անձնական տվյալների գաղտնիության կարևորության մասին, զարմանում է, թե ի՞նչ իմաստ ունի այդ ամենը։ Դա խնդիր է դառնում ժամանակակից՝ ինտերնետային, փոխկապակցված աշխարհում, քանի որ նման անհոգ վերաբերմունքը սեփական անձնական տվյալների նկատմամբ հայաստանցիներին դարձնում է կիբերհանցագործների թիրախ»,- Factor.am-ի հետ զրույցում նշում է մասնագետը։

Մեդիա հետազոտող, ԱՄՆ Ուեյնի համալսարանի պրոֆեսոր Հարություն Ծատրյանի դիտարկմամբ՝ հանրությանը պետք է մատչելի ձևով իրազեկել, որ անձնական տվյալների գաղտնիությունը յուրաքանչյուր քաղաքացու իրավունքն է։

«Քաղաքացին պիտի փորձի հնարավորինս զգույշ լինել, երբ տվյալներ է տրամադրում ինչ-ինչ ծառայությունների դիմաց կամ դրանք հանրայնացնում է սոցիալական ցանցերում։ Օրինակ՝ օրերս նկատել եմ, որ բավական մոդայիկ է դարձել սոցցանցերում, հատկապես՝ Ֆեյսբուք, Տիկտոկ ու Ինստագրամ հարթակներում, հրապարակել արտերկիր մեկնելու վիզայի էջը, որ քաղաքացիները ստացել են այս կամ այն դեսպանատնից։ Ասեմ, որ վիզան պարունակում է շատ կարևոր անձնական տվյալներ, դեսպանատները չեն խրախուսում այդպիսի վարքը, և այն հրապարակելով՝ քաղաքացին հետագայում կարող է խնդիրների առնչվել արտերկիր մեկնելիս»,- Factor.am-ի հետ զրույցում նշում է Ծատրյանը։

Ըստ հետազոտողի՝ վտանգավոր է նաև սեփական ֆինանսական եկամուտների մասին այլ մարդկանց հայտնելը։

«Երբեմն դա արվում է ակամայից։ Օրերս նկատեցի, որ շատ քաղաքացիներ սոցցանցերում տեղադրեցին կուտակային կենսաթոշակային ֆոնդերից ստացվող եռամսյակային քաղվածքները, նրանք բողոքում էին, որ բացասական մնացորդ է ստացվել, բայց այդտեղ տեսանելի են ոչ միայն դրամական միջոցների մասին տվյալները, այլև քաղաքացու Հանրային ծառայության համարանիշը։ Այդ տվյալը խիստ գաղտնի է, քանի որ հնարավորություն է տալիս տեսնելու, թե քաղաքացու մոտավոր եկամուտն ինչքան է կազմում։ Ընդամենը կարելի է օգտագործել 1000plus.am հարթակը»,- մանրամասնում է նա։

Ըստ Ծատրյանի՝ ներկայում անձնական տվյալների պաշտպանության խնդիրն ավելի հրատապ է, քանի որ ավելի շատ տվյալներ են գեներացվում, քան մեկ տասնամյակ առաջ։

«Մարդիկ հանգիստ իրար են ուղարկում բանկային քարտի տվյալները, այդ թվում՝ նաև CVV/CVC կոդը։ Չնայած այն հանգամանքին, որ բանկերը զգուշացնում են քարտ տրամադրելիս, որ չի կարելի այդպես վարվել, բայց մարդիկ «փոխվստահության մթնոլորտում» են ապրում, մինչդեռ լավ կլիներ՝ դրան փոխարինելու գար զգուշավորության մթնոլորտը։ Անձնագրային տվյալները ևս կարևոր են։ Դրանք օգնում են նույնականացնել մարդկանց։ Եթե կհիշեք՝ վերջին տարիներին բազմաթիվ են եղել դեպքերը, երբ տեղի է ունեցել անձնական տվյալների (բանկային տվյալներ, անձնագրեր, ID քարտեր, բժշկական տեղեկատվություն) արտահոսք նաև պետության անփույթ գործունեության արդյունքում։ Օրինակ, ՔՈՎԻԴ անձնագրերի QR կոդերը թույլ էին տալիս տեսնելու նաև անձնագրի համարը։ Լավ է՝ դա արագ ուղղվեց, մարդիկ կարողացան այդ տվյալը փակել։ Բայց պետությունն իր հերթին պետք է անչափ կարևորի անձնական տվյալների պաշտպանությունը»,- նշում է մեդիա հետազոտողը։

Անձնական տվյալների պաշտպանության գործակալության պետ Գևորգ Հայրապետյանը նշում է՝ հաջողված կիբերհարձակումների, տարբեր քաղաքացիների՝ առցանց հարթակների էջերին տիրանալու և անձնական տվյալների արտահոսքերի դեպքերի ուսումնասիրությունը ցույց է տվել, որ հաքերներն անձնական տվյալների անօրինական հասանելիություն կարողացել են ստանալ ոչ թե անձնական տվյալներ պարունակող տեղեկատվական համակարգերի անվտանգության արգելքները (տվյալների անվտանգության տեխնիկական միջոցառումները) հաղթահարելով, այլ տեղեկատվական համակարգերի կամ առցանց հարթակների օգտագտերերի հաշիվները որևէ կերպ կոտրելու միջոցով:

Հաքերային հարձակումներ իրականացնելիս տեղեկատվական համակարգերի օգտատերերի հաշիվներին տիրանալու ամենատարածված գործիքներից մեկը ֆիշինգն է, երբ կեղծ էլեկտրոնային նամակներ և կայքեր օգտագործելու միջոցով հաքերները հափշտակում են մարդկանց անձնական տվյալները, էլեկտրոնային հաշիվները, գաղտնաբառերը։

«Մի քանի դեպքում էլ խնդիրն առերևույթ եղել է առցանց համակարգերի գաղտնաբառերի ոչ բավարար պաշտպանվածությունը, օրինակ, երբ օգտագործվել են հեշտ վերհանելի գաղտնաբառեր: Ոլորտում խնդիրներից մեկը անձնական տվյալների պաշտպանության վերաբերյալ իրազեկվածության պակասն է։ Նախատեսվում է էականորեն ակտիվացնել հասարակության տարբեր խմբերի ուսուցումներն անձնական տվյալների պաշտպանության ոլորտում»,- նշում է Հայրապետյանը:

2021 թվականին գործակալությունն անձնական տվյալների պաշտպանության իրավունքի վերաբերյալ մարդկանց և տվյալներ մշակողների գիտելիքների բարձրացման նպատակով իրականացրել է 52 ուսուցում և տրամադրել 247 խորհրդատվություն։

Անձնական տվյալների արտահոսքերի մասին տեղեկություններ են շրջանառում նաև ֆեյսբուքյան օգտատերերը։ Hasy Grigorian անուն-ազգանունով օգտատերը մեկնաբանություն է գրել «Իդրամ» ինտերնետային վճարային համակարգի անվտանգության խնդրի վերաբերյալ՝ նշելով, որ համակարգին կցած քարտերից պարբերաբար գումարներ են կորչում, ինչից հետո ընկերությունը դատարան է դիմել՝ օգտատիրոջից պահանջելով 2 միլիոն դրամ փոխհատուցում այն բանի համար, որ «գրառումը պարունակում է գործարար համբավն արատավորող, իրականությանը չհամապատասխանող, բացահայտ սուտ տեղեկություններ, տվյալներ, վիրավորանքներ»։

Hasy Grigorian-ի գրառման մեկնաբանություններում Mariam Dabaghyan անուն-ազգանունով օգտատերն էլ նշել է, որ 2017 թվականին «Իդրամ»-ով, առանց իր իմացության, վարկ են ձևակերպել, «լավ է՝ գոնե 10.000 դրամ է եղել»։ Օգտատերը 2 տարի հետո է իմացել, երբ կալանք է դրվել նրա հաշիվներիս վրա։

Ի տարբերություն Դաբաղյանի՝ այլ քաղաքացիների դեպքում վարկերը 10.000 դրամով չեն սահմանափակվել․ հաճախ մարդիկ պարզել են, որ անօրինական ճանապարհով իրենց հարյուր հազարավոր դրամի վարկառու են դարձրել։ Մեդիա հետազոտող Հարություն Ծատրյանը հենց նման դեպքերից խուսափելու համար է նաև կարևորում անձնական տվյալների պաշտպանությունը։

«Եթե հանրայնացնում եք ձեր անձնական տվյալները, ապա պատրաստ եղեք չարագործների զոհ դառնալ։ Նրանք կարող են օգտագործել դրանք սեփական նպատակներից ելնելով, այդ թվում, կարելի է ձեր տվյալներն օգտագործելով՝ վարկեր վերցնել։ Շատերի համար գուցե լուսանկար հրապարկելը ինչ-որ վայրից հաճելի զբաղմունք է, բայց անգամ թվային լուսանկարը կարող է շատ ավելի կարևոր ինֆորմացիա պարունակել, քանի կարելի է ենթադրել»,- նշում է նա։

Հուլիսի 6-ին Հասմիկ Գրիգորյանը լուսանկար է հրապարակել, որտեղ «Утечки информации» տելեգրամյան ալիքի գրառումն է Elasticsearch բաց սերվերում առկա գործարքների տեղեկամատյանների վերաբերյալ, հավանաբար՝ Ռուսաստանից դեպի Հայաստան դրամական փոխանցումների համակարգեր «IDpay» (id-pay.ru)։ Մասնավորապես, Graylog.id-pay.ru սերվերը պարունակում է տեղեկամատյաններ, որոնցում առկա էին վճարումներ ստացողների տվյալները՝ անուն-ազգանուն, հեռախոսահամար, էլփոստի հասցեներ, բանկային քարտի ամբողջական համար, անձնագրի սերիա/համար, ծննդյան ամսաթիվ, փոխանցման գումար և այլն: Տվյալները, բարեբախտաբար, արագ փակվել էին։

Նմանատիպ դեպքի մասին ամիսներ առաջ հայտնել էր նաև Արթուր Պապյանը՝ նշելով, որ Globbing առևտրային ցանցի կայքը հաքերային հարձակման է ենթարկվել, ինչի հետևանքով տեղի է ունեցել հաճախորդների անձնական տվյալների արտահոսք:

«Protonmail-ով ստեղծված՝ պրակտիկորեն անանուն մեյլի հասցեից հայաստանյան լրատվամիջոցներին նամակ է ուղարկվել, որի հեղինակը պնդում է, թե այն խումբը, որն ինքը ներկայացնում է, մեկ տարի առաջ խոցելիություն է հայտնաբերել Globbing-ի կայքում, այդ մասին մի քանի անգամ նամակով տեղեկացրել են ընկերությանը, սակայն Globbing-ն իրենց բանի տեղ չի դրել։ Հաքերների խոսքով, ի վերջո, մեկ տարի անց, տեսնելով, որ խոցելիությունը դեռևս չի շտկվում, իսկ իրենց շարունակում են անտեսել, որոշել են հրապարակել Globbing-ի հաճախորդների բազան՝ այն ուղարկելով հայաստանյան լրատվամիջոցներին։ Ասեմ, որ ավելի քան 256,000 հաճախորդի անձնական տվյալներ պարունակող այս բազան ուսումնասիրել եմ, այն իսկական է, ավելին՝ դրանում նաև առկա են կոնկրետ իմ տվյալները՝ անուն, ազգանուն, հասցե, հեռախոսահամար, անձնագրի սերիա․․․», – ֆեյսբուքյան իր էջում գրել էր տեղեկատվական անվտանգության մասնագետը։

Ըստ Անձնական տվյալների պաշտպանության գործակալության՝ 2015 թվականին ընդունված «Անձնական տվյալների պաշտպանության մասին» ՀՀ օրենքի կիրառման պրակտիկայի՝ անձնական տվյալների պաշտպանությանը վերաբերող խնդիր կա գրեթե բոլոր ոլորտներում:

Անձնական տվյալների պաշտպանության լիազոր մարմինն ունի մարդկային, ֆինանսական, տեխնիկական սահմանափակ ռեսուրսներ:

Հայաստանի Կառավարությունը 2023 թվականին պետական բյուջեի վարկային կամ դրամաշնորհային միջոցներից 50 միլիոն դրամ կհատկացվի  Անձնական տվյալների պաշտպանության գործակալության կարողությունների հզորացման համար, որպեսզի պատշաճ արձագանք լինի անձնական տվյալների մշակման ոլորտում առաջացող մարտահրավերներին և խնդիրներին:

Հասմիկ Անդրեասյան

This publication was produced with the financial support of the European Union. Its contents are the sole responsibility of Factor TV and do not necessarily reflect the views of the European Union.

Այս հրապարակումը պատրաստվել է Եվրոպական միության ֆինանսական աջակցությամբ: Բովանդակության համար պատասխանատվություն է կրում Factor TV-ին, և պարտադիր չէ, որ այն արտահայտի Եվրոպական միության տեսակետները:

@Factor TV 2022. All rights reserved. Licensed to the European Union under conditions.

Պատրաստվել է «Եվրոպական մեդիահարթակ Հայաստանում. հուսալի և պրոֆեսիոնալ լրատվամիջոցների կառուցումը» ծրագրի շրջանակում: