NKSC rekomenduoja nenaudoti „Yandex. Taxi“

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC prie KAM), ištyręs programėlę „Yandex. Taxi“, rekomenduoja jos nenaudoti. Ypatingai svarbu, kad ši priemonė nebūtų naudojama Lietuvos valstybės tarnautojų ir pareigūnų, krašto apsaugos sistemos darbuotojų įrenginiuose. „Yandex“ kratosi kaltinimų.

„Nuo 2018 m. liepos 26 d. Lietuvoje pradėta aktyviai platinti išmaniesiems įrenginiams skirta programėlė „Yandex. Taxi“. Pagal nutylėjimą, ši programėlė reikalauja prieigos prie didelio kiekio jautrių duomenų ir leidimo naudotis įrenginio funkcijomis“, – pranešime skelbia NKSC.

Tarp jautrių duomenų ir programėlės prašomų leidimų NKSC mini galimybę aktyvuoti įrenginio kamerą ir mikrofoną (vykdyti naudotojo aplinkos įrašymą), naudoti kontaktų sąrašą (galimybė gauti telefonų knygos, naudojamų paskyrų informaciją), vykdyti skambučių valdymą, įrenginio tapatybės ir veiklos būklės nustatymą, vykdyti trumpųjų pranešimų paslaugų valdymą (galimybė perimti gaunamus pranešimus), atlikti turinio, saugomo išmaniojo įrenginio atmintyje, modifikavimą, nustatyti tikslią (GPS) įrenginio buvimo vietą, atlikti tinklo prieigos valdymą (siųsti duomenis internetu, stebėti ir valdyti tinklo sujungimus, valdyti belaidžio tinklo (angl. Wi-Fi) prieigą).

„Yandex“: kaltinimams pagrindo nėra

„Yandex“ nuo platesnių komentarų kol kas susilaiko. Tiesa, bendrovė visgi išplatino trumpą komentarą.

„Mūsų vartotojų duomenų saugumas yra mūsų didžiausias prioritetas. „Yandex.Taxi“ programėlė priklauso „Yandex.Taxi“ BV, ES įmonei, registruotai Olandijoje. „Yandex.Taxi“ BV apdoroja ir laiko ES vartotojų duomenis laikydamiesi griežtų ES įstatymų, ypač BDAR (angl. GDPR). Esame atviri ir pasiruošę bet kokiems reikalingiems patikrinimams. Jokiems kaltinimams pagrindo nėra“, – teigia Natalija Žuravliova, „Yandex. Taxi“ spaudos tarnybos vadovė.

Įspėja dėl privatumo politikos

NKSC priduria, kad vėlesnės programėlės versijos gali padidinti reikalaujamų funkcijų prieigų kiekį.

Be to, kibernetinio saugumo sargai atliko tai, ko daugelis vartotojų nedarys – jie atidžiai perskaitė privatumo politiką bei programėlės naudojimo sąlygas. Ten jie taip pat rado neraminančių dalykų.

„Yandex. Taxi“ programėlės prašomi leidimai galimai sudaro sąlygas neteisėtam asmens duomenų rinkimui ir kaupimui, o tai kelia susirūpinimą dėl jų saugumo. Remiantis programėlės naudojimo sąlygomis, iš naudotojo įrenginio surinkti duomenys saugomi organizacijos serveriuose, kurios būstinė yra Rusijos Federacijoje (Maskvoje). Naudojimo sąlygose taip pat aptariama galimybė duomenis pateikti valstybinėms organizacijoms, reguliavimo institucijoms, teismams ir kitoms trečiosioms šalims“, – pranešime įspėja kibernetinio saugumo centro specialistai.

„NKSC visą savaitgalį dirbo, narstė tą programėlę po kaulelį ir priėjo išvadų, kad geriau jos nediegti ir nenaudoti. Sunku pasitikėti kompanija, kuri sako viena, o daro ką kita. „Yandex“ teigia, kad neturi sąsajų su Maskva ir yra europietiška įmonė – veikia Lietuvoje, jos serveriai yra Europos Sąjungoje, o pati įmonė yra registruota Nyderlanduose. Bet yra užfiksuota programėlės kreipinių į ne ES šalis. Be to, programėlė renka perteklinius – jos veikimui nebūtinus – duomenis. Ji yra šifruota, tas detalus tyrimas dar kurį laiką užtruks. Bet preliminari išvada – geriau nenaudokit“, – komentuoja Edvinas Kerza, Krašto apsaugos viceministras.

Meras kreipėsi į VSD

VŽ rašė, kad „Yandex“ atėjimas į Vilnių šiokį tokį nerimą sukėlė ir miesto valdžiai. Remigijus Šimašius, sostinės meras, net kreipėsi į Konkurencijos tarnybą ir Valstybės saugumo departamentą (VSD), prašydamas patikrinti Rusijos kapitalo pavėžėjimo paslaugų bendrovę. VSD komentarų kol kas nepateikė, bet anksčiau šiemet parengtame VSD ir Antrojo operatyvinių tarnybų departamento prie KAM 2018 m. Grėsmių nacionaliniam saugumui vertinime teigiama, kad Rusijos žvalgybos ir saugumo tarnybos turi teisinius įgaliojimus ir techninių galimybių įgyti prieigą prie Rusijos ir užsienio valstybių piliečių, naudojančių rusiškas elektroninio komunikavimo platformas, duomenų.

„(...) Grėsmė, kad asmeniniai duomenys nutekinami Rusijos žvalgybos ir saugumo tarnyboms, kyla visiems Lietuvos piliečiams, besinaudojantiems rusiškais socialiniais tinklais ir elektroninio pašto paslaugomis, pvz., odnoklasniki, mail.ru, yandex ir pan.“, – rašoma Grėsmių nacionaliniam saugumui vertinime.

Subruzdo ir vietos taksi bei pavėžėjimo paslaugų įmonės. Tiesa, jas veikiausiai labiau neramina stipraus konkurento su maždaug 300 naujų automobilių atėjimas, o ne šalis iš kurios tas konkurentas atėjo.

„Yandex“ programėlė oficialiai renka daug (nebūtinos – VŽ) informacijos. Pavyzdžiui, operacinės sistemos ir Wi-Fi nustatymus, įdiegtų programėlių sąrašą, įrenginio technines charakteristikas (įskaitant IMEI kodą ir atminties kiekį). Programėlė taip pat prašo prieigos prie mikrofono, kad galėtų įrašyti balso komandas ir kt. O tai, mūsų manymu, yra perteklinė informacija, kurios nerinkti reikalauja ES Bendrasis duomenų apsaugos reglamentas (BDAR). “, – sako Raivara Šemetulskytė, UAB „Oryo“, valdančios platformą „eTaksi“, rinkodaros vadovė.

Kad ir kaip būtų, panašu, kad žmonės ima suvokti duomenų vertę. Tad įmonės ima konkuruoti ne tik kainomis bet ir renkamų duomenų kiekiu.

Verta pabrėžti, kad ne visų rusiškų verslų reikia šalintis. Štai, pavyzdžiui, Lietuvoje, kaip ir daugelyje kitų šalių, gana populiari yra susirašinėjimo programėlė „Telegram“. Bet jos kūrėją Pavelą Durovą ir jo brolį vargu ar galima pavadinti Kremliui artimais žmonėmis.

O štai Arkadijus Voložas, „Yandex“ grupės steigėjas visgi pateko į Vašingtono sudarytą Kremliaus rato asmenų „juodąjį sąrašą“, nors lig šiol jis neturėjo akivaizdžių ir viešai aprašytų ryšių su Kremliumi.

Komentarai