07 05 2020

Վարակակիրներին հսկող համակարգչային ծրագրի սպասարկումն իրականացնում է ԱԱԾ-ն. Հետք

Վարակակիրներին հսկող համակարգչային ծրագրի սպասարկումն իրականացնում է ԱԱԾ-ն. Հետք

«Հետք»-ը գրում է․ «Կորոնավիրուսի վարակի տարածումը կանխարգելելու նպատակով Ազգային ժողովի համաձայնությամբ Հայաստանի կառավարությունը՝ ի դեմս Պարետատան, վերահսկում է վարակակիր մարդկանց հեռախոսային զանգերը։ Այդ զանգերի մասին տեղեկությունները Պարետատունը ստանում է բջջային օպերատորներից։ Գործարկվել է հատուկ ավտոմատացված համակարգ՝ մարդկանց տեղորոշման միջոցով նրանց հետ շփվածների շրջանակը պարզելու համար։  

2020թ. ապրիլի 13-ին Աժ-ում պարետ Տիգրան Ավինյանը հայտնեց, որ «Արտակարգ դրության իրավական ռեժիմի մասին» օրենքում կատարված փոփոխությունից հետո, որով անձնական տվյալների պաշտպանության, մասնավոր եւ ընտանեկան կյանքի անձեռնմխելիության, հաղորդակցության ազատության եւ գաղտնիության իրավունքի սահմանափակումներ նախատեսվեցին եւ թույլատրվեց հեռախոսազանգերի նկատմամբ հսկողությունը, համակարգը վերլուծել է 3029 անձի տվյալ, որի արդյունքում ինքնամեկուսացվել է 7000 մարդ: Սակայն, արդյոք դա նպաստե՞լ է, որպեսզի վարակը չտարածվի, փոխվարչապետը դժվարացել է ասել, քանի որ ինքնամեկուսացվածները թեստավորվել են միայն ախտանիշի առկայության դեպքում։

Այս համատեքստում կրկին ծագում է հարցը՝ որքանով էր անհրաժեշտ հաղորդակցության ազատության եւ գաղտնիության սահմանափակումը, հատկապես, որ չեն փարատվել մտահոգությունները հեռախոսային զանգերի վերահսկողության գործընթացի անվտանգության վերաբերյալ։

Այս տարվա ապրիլի 17-ին Պարետատունը տեսանյութ տարածեց, որտեղ ներկայացվում է, թե բջջային օպերատորներից պացիենտի զանգերի մասին ստացված տեղեկատվության միջոցով ինչպես են պարզում վարակակրի շփման շրջանակը։ Նրա տեղադիրքի հիման վրա որոշվում է՝ արդյոք նույն վայրում են գտնվել հիվանդը եւ նրան զանգած անձը։ Ապա պարետատան աշխատակիցները զանգահարում են հիվանդի հետ շփված անձանց, ինքնամեկուսացման հրահանգ տալիս, որից հետո վերջինների հեռախոսում ներբեռնված ծրագրի միջոցով վերահսկում ինքնամեկուսացված անձանց ելումուտը։ Փոխվարչապետ Ավինյանի խորհրդական Բագրատ Բադալյանը հավաստիացնում է, որ զանգերի բովանդակությունը եւ տեւողությունն իրենց չի հետաքրքրում, այդ տվյալները չեն հավաքագրվում։

«Հետքը» փորձել է պարզել, թե ովքեր են մշակում այդ տվյալները եւ որքանով են դրանք պաշտպանված։ Պարետ Տիգրան Ավինյանի անունից մեր հարցմանը պատասխանել է փոխվարչապետի գրասենյակի ղեկավար Սերժ Վարագ Սիսեռյանը՝ նշելով, որ զանգերի միջոցով մարդկանց վերահսկելու «համակարգչային ծրագիրը ստեղծվել է հայ կամավոր ծրագրավորողների կողմից եւ օգտագործվում է Կառավարության 298 Ն որոշմամբ նախատեսված մարմինների կողմից՝ «Արտակարգ դրության իրավական ռեժիմի մասին» օրենքով եւ որոշմամբ սահմանված նպատակներով»։

Վարակակրի շփման շրջանակը պարզելու համար ստացված տվյալները հավաքագրվում եւ պահպանվում են Էլեկտրոնային կառավարման ենթակառուցվածքների ներդրման գրասենյակի՝ ԷԿԵՆԳ-ի սերվերում (այդ մասին ասվում է նաեւ վերոնշյալ տեսանյությում)։ Պրն Սիսեռյանի խոսքով՝ ԷԿԵՆԳ-ի սերվերը բազմաշերտ մեկուսացված ցանց է (Isolated DMZ)՝ զերծ արտաքին ներգործությունից, իսկ հատուկ համակարգչային ծրագրի սպասարկումը իրականացվում է եւ անվտանգությունը վերահսկվում է Ազգային անվտանգության ծառայության կողմից։ 

Տեղեկատվական անվտանգության որոշ մասնագետներ մտահոգություններ ունեն ինչպես ծրագրավորողների ստեղծած համակարգչային ծրագրի, ԷԿԵՆԳ-ի սերվերի անվտանգության երաշխիքների առնչությամբ, այնպես էլ այն փաստի, որ ծրագրի անվտանգությունը վերահսկում է ԱԱԾ-ն։

Համակարգչային ծրագիրը, որպես կանոն, պետք է անվտանգության թեստով ստուգվի։ Պարետ Տիգրան Ավինյանին մենք հարցրել էինք, թե ով է անցկացրել գործարկված ծրագրի անվտանգության թեստերը, անվտանգությունը ստուգելու ինչ գործիքներ են օգտագործվել և որ ստանդարտների համապատասխան՝ օրինակ ISO 27034 կամ որևէ այլ ստանդարտ։ Խնդրել էինք տրամադրել ծրագրի անվտանգության թեստերի արդյունքները և առկայության դեպքում ծրագրի համապատասխանության վկայականները։ Սակայն մեր այս հարցերը մնացել են անպատասխան։

Տվյալներն իր սերվերի վրա ապահով պահելու համար անվտանգության աուդիտ պետք է անցած լիներ նաեւ «ԷԿԵՆԳ» ՓԲԸ-ն։ Մեր հարցմանն ի պատասխան՝ ՓԲԸ-ի տնօրեն Լ. Ավետիսյանը հայտնել է, որ ԷԿԵՆԳ-ը խստորեն հետևում է տեղեկատվության անվտանգության կառավարման համակարգի (ISMS) ISO-27001 ստանդարտի խորհուրդներին, իսկ աուդիտ անցնելու գործընթացներն ընթացքի մեջ են։

Իրավաբան, տեղեկատվական իրավունքի և անվտանգության մասնագետ Դավիթ Սանդուխչյանը կարծում է, որ փոխվարչապետի գրասենյակի պարզաբանումը, թե տվյալները մշակվում են «բազմաշերտ մեկուսացված ցանցի ներքո (Isolated Demilitarized Zone)», չի համապատասխանում ծրագրի աշխատանքի այն ներկայացմանը, որտեղ ցուցադրվում է, թե ինչպես է ծրագիրը հնարավորություն տալիս իրական ժամանակում բացահայտել ինքնամեկուսացման ռեժիմը խախտող անձանց։ «Այնուամենայնիվ, նույնիսկ եթե ենթադրենք, որ DMZ-ի միջոցով հնարավոր է կազմակերպել իրական ժամանակում տվյալները մշակելու ինչ-որ մի եղանակ, կամ այն մշակվում է ոչ իրական ժամանակում, ապա, միևնույն է, չի պարզաբանում այն հարցը, թե որքանով ԷԿԵՆԳ ընկերության ցանցը պաշտպանված արտաքին ներթափանցման վտանգներից, քանի դեռ բացակայում է ԷԿԵՆԳ-ի տեղեկատվական համակարգի՝ տեղեկատվական անվտանգության ստանդարտներին համապատասխանության մասին աուդիտորական կազմակերպության որևէ եզրակացություն։ ԱԱԾ-ի վերահսկողությունը նույնպես նման երաշխիք չի կարող համարվել, մանավանդ, որ ԱԱԾ-ն նախկինում տեղեկատվական անվտանգության բազմաթիվ խնդիրներ է ունեցել»,- ասում է Դավիթ Սանդուխչյանը։

Ճիշտ է, օրենքը ԷԿԵՆԳ-ին չի պարտադրում ISO ստանդարտներին համապատասխանության վկայական ունենալ, բայց պարտադրում է անվտանգության միջոցներ ու կանոններ կիրառել: «Ինչպե՞ս պարզել՝ կիրառե՞լ են, թե ո՞չ: Անկախ աուդիտի միջոցով: Այլ եղանակ չկա։ Իսկ որպես վստահելի աուդիտորական ստուգում կարող է լինել միջազգային համակարգի ներքո մշակված ISO համապատասխանության համակարգը»,- պարզաբանում է պրն Սանդուխչյանը:

Ինչ վերաբերում է այն հանգամանքին, որ ծրագրիը ստեղծվել է կարճ ժամկետում մի խումբ կամավոր ծրագրավորողների կողմից, ապա դա ևս, ըստ Սանդուխչյանի, կարող է մտավախություններ առաջացնել, եթե ծրագրի անվտանգությունը պատշաճ չի թեստավորվել։ «Նման ենթադրություն կարելի է անել, քանի դեռ կառավարությունը չի ներկայացրել որևէ անկախ փորձագետի եզրակացություն ծրագրի անվտանգության փորձաքննության անցկացման արդյունքների մասին»,- նշում է տեղեկատվական իրավունքի և անվտանգության մասնագետը։

Բացի այդ, եթե ծրագիրը մշակվել է մի խումբ կամավոր ծրագրավորողների կողմից՝ ոչ առևտրային հիմունքներով, ծրագրի սկզբնաղբյուրային կոդը (source code) պետք է հանձնված լիներ կառավարությանը և բաց լիներ անկախ փորձագետների համար։ Պրն Սանդուխչյանն ասում է՝ կառավարության շահերից է բխում այդ կոդի հրապարակումը, ինչը կբացառի ծրագրում այլ՝ չհայտարարված գործիքների առկայությունը, որը քաղաքացիական հասարակության տարբեր ինստիտուտների մոտ միշտ խոր մտավախություն է առաջացնում։

Համավարակի պայմաններում անձանց շարժին հետևող տեխնիկական միջոցների կիրառման վերաբերյալ ԵԽ ու ԵՄ քաղաքական և փորձագիտական մարմինների ընդունած եզրակացություններում եւ ուղեցույցներում հատուկ նշված է, որ նման գործիքներ օգտագործելու դեպքում կառավարությունները պետք է ցուցաբերեն առավելագույն թափանցիկություն ու հաշվետվողականություն։

Մայիսի 14-ին, արտակարգ դրության ռեժիմի վերացմամբ, պետք է հանվեն նաեւ մարդկանց հաղորդակցության ազատության եւ գաղտնիության վրա դրված սահմանափակումները, հետեւաբար նաեւ՝ դադարեցվի հատուկ ծրագրով նրանց հեռախոսային զանգերի հսկողությունը։ Իսկ հավաքագրված բոլոր՝ անձնավորված եւ ապաանձնավորված տվյալները պետք է ոչնչացվեն արտակարգ դրության ավարտից հետո մեկամսյա ժամկետում: Տվյալների ոչնչացման համար կառավարության որոշմամբ նախատեսվում է ստեղծել հանձնաժողով, որի կազմում կարող են լինել նաև խորհրդարանական ուժերի ներկայացուցիչներ և փորձագետներ:

Նկատի ունենալով, որ պետական մարմինները չեն տրամադրել տվյալների պահպանման անվտանգությունն ապացուցող՝ մեր հայցած տեղեկությունները, մնում է հուսալ, որ դրանք մի օր չեն հայտնվի երրորդ անձանց ձեռքում»։

 



* Հարգելի ընթերցող, մեր տեքստերում վրիպակ գտնելու դեպքում, խնդրում ենք սեղմել «Ctrl+Enter» կոճակները, և բացվող պատուհանում նշել այդ մասին. այնուհետև հաստատել` սեղմելով «Ուղարկել» կոճակը

Դիտել նաև
Orphus համակարգ