Комендатура не раскрывает имена создателей программы

С целью предупреждения распространения коронавирусной инфекции правительство Армении в лице комендатуры с согласия Национального Собрания взяло под контроль телефонные звонки инфицированных лиц. Сведения об этих звонках комендатура получает от операторов сотовой связи. Задействована специальная автоматизированная система, позволяющая установить круг контактировавших с вирусоносителем лиц посредством определения их местонахождения.

13 апреля 2020 г. вице-премьер и комендант Тигран Авинян, выступая в Национальном Собрании, сообщил, что после внесения изменения в закон РА “О правовом режиме чрезвычайного положения”, которым были ограничены права на защиту личных данных, неприкосновенность частной и семейной жизни, свободу и тайну коммуникаций и было дано разрешение на установление контроля за телефонными звонками, система проанализировала данные 3029 лиц, в результате чего 7000 человек были самоизолированы. Однако вице-премьер затруднился ответить на вопрос, способствовало ли это профилактике распространения коронавирусной инфекции, поскольку тестирование самоизолированных проводилось только при наличии у них симптомов заболевания.

В этом контексте вновь возник вопрос: а была ли необходимость в ограничении свободы и тайны коммуникаций, тем более, что сомнения в безопасности  надзора за телефонными звонками не рассеялись?

17 апреля этого года комендатура распространила видеоматериал, рассказывающий о том, как с помощью полученной от операторов сотовой связи информации о звонках пациента устанавливается круг его контактов. На основании данных о местоположении вирусоносителя определяется, находились ли он и звонившее ему лицо в одном месте. Затем представители комендатуры звонят лицам, которые контактировали с больным, и дают им указание самоизолироваться, после чего посредством скачанной в их телефоны программы контролируют передвижение самоизолированных граждан.

Советник вице-премьера Авиняна Баграт Бадалян заверяет, что их не интересуют содержание и продолжительность звонков и что эти данные не собираются.  

Hetq.am попытался выяснить, кто обрабатывает эти данные и насколько они защищены. На наш запрос от имени коменданта Тиграна Авиняна ответил руководитель офиса вице-премьера Серж Вараг Сисерян. Последний сообщил, что компьютерная программа слежения за передвижением людей посредством телефонных звонков создана армянскими программистами-добровольцами и используется органами, предусмотренными решением правительства 298 Н, в соответствии с целями, которые установлены законом РА “О правовом режиме чрезвычайного положения”. 

Данные, получаемые с целью установления круга контактов вирусоносителя, собираются и хранятся на сервере Офиса инфраструктур электронного управления – ОИЭУ (об этом говорится и в вышеупомянутом видеоматериале).

По словам г-на Сисеряна, сервер ОИЭУ представляет собой многослойную изолированную сеть (Isolated DMZ), защищенную от внешнего воздействия, а обслуживание специальной компьютерной программы и контроль за безопасностью осуществляет Служба национальной безопасности.

Некоторые специалисты по информационной безопасности высказывают опасения как по поводу гарантий безопасности созданной программистами компьютерной программы и сервера ОИЭУ, так и по поводу того, что контроль за безопасностью программы осуществляет СНБ.

Компьютерная программа, как правило, должна проходить проверку тестом на безопасность.

Мы поинтересовались у коменданта Тиграна Авиняна, кто проводил тесты на безопасность задействованной программы, какие инструменты проверки безопасности использовались и в соответствии с какими стандартами – например, ISO 27034 или какими-либо другими.

Мы также просили предоставить результаты тестов на безопасность программы и свидетельства ее соответствия, если таковые имеются. Однако эти наши вопросы остались без ответа. 

Для надежного хранения данных на своем сервере ЗАО “ОИЭУ” должно было пройти аудит безопасности. В ответ на наш запрос директор ЗАО Л.Аветисян сообщил, что ОИЭУ строго следует рекомендациям стандарта (ISMS) ISO-27001 системы управления информационной безопасностью, а аудит находится в процессе проведения.

По мнению юриста, специалиста по информационному праву и безопасности Давида Сандухчяна, разъяснения офиса вице-премьера о том, что обработка данных производится внутри “многослойной изолированной сети (Isolated Demilitarized Zone)”, не соответствуют тому представлению работы программы, в которой показано, как программа дает возможность выявлять в режиме реального времени нарушителей режима самоизоляции. “Но даже если предположить, что посредством DMZ можно организовать обработку данных в режиме реального, либо не реального времени, то все равно без ответа остается вопрос о том, в какой степени сеть компании “ОИЭУ” защищена от угрозы внешнего проникновения, поскольку отсутствует какое-либо заключение аудиторской организации о соответствии информационной системы ОИЭУ стандартам информационной безопасности.

Такой гарантией не может считаться и контроль со стороны СНБ, тем более, что ранее в этой структуре возникали многочисленные проблемы, связанные с информационной безопасностью”,- отметил Давид Сандухчян.

Правда, закон не обязывает ОИЭУ иметь свидетельство сответствия стандартам ISO, но он обязывает применять средства и правила безопасности. “Как выяснить, применялись они или нет? Только путем проведения независимого аудита. Другого способа не существует. А надежной аудиторской проверкой может служить система соответствия ISO, разработанная международной системой”,- пояснил наш собеседник.

Касаясь того, что программа была создана за короткий срок группой программистов-добровольцев, эксперт отметил, что если безопасность программы не была протестирована надлежащим образом, то это тоже может вызывать опасение.

“Подобное предположение можно высказывать до тех пор, пока правительство не предоставит заключение какого-либо независимого эксперта о результатах проведенной им экспертизы по безопасности программы”,- сказал Д.Сандухчян.

Кроме того, если программа была разработана группой программистов-добровольцев на некоммерческой основе, то она должна была передать исходный код (source code) правительству, и этот код должен быть открыт для независимых экспертов. По словам г-на Сандухчяна обнародование этого кода вытекает из интересов правительства, поскольку исключит наличие в программе других, не объявленных инструментов, что всегда вызывает глубокое опасение у различных институтов гражданского общества.  

В заключениях политических и экспертных органов Совета Европы и Евросоюза относительно применения технических средств по отслеживанию перемещения лиц в условиях пандемии специально указано, что в случае применения подобных инструментов правительства должны проявлять максимальную прозрачность и отчетность.

14 мая, после отмены чрезвычайного режима, должны быть сняты ограничения свободы и тайны коммуникаций граждан, а следовательно прекращен осуществляемый посредством специальной программы контроль за их телефонными звонками. При этом все собранные персонифицированные и деперсонифицированные данные должны быть уничтожены в месячный срок после отмены чрезвычайного положения.

По решению правительства для уничтожения этих данных предусмотрено создать комиссию, в состав которой могут войти также представители парламентских сил и эксперты.

С учетом того, что государственные органы не предоставили затребованные нами сведения, доказывающие безопасность хранения вышеуказанных данных, остается надеяться, что они не попадут когда-нибудь в руки третьих лиц.