Dar praėjusią vasarą Nacionalinis kibernetinio saugumo centras operatyviai atliko ir paskelbė pirminę programėlės analizę, kuri parodė, kad programėlė siunčia įtartinai didelius duomenų paketus, ir už Lietuvos ribų – tai tapo viena iš priežasčių, kodėl programėle tapo nerekomenduotina valstybinio sektoriaus darbuotojams – o kovo 8 d. pristatytoje metinėje kibernetinio saugumo ataskaitoje krašto apsaugos viceministras Edvinas Kerza atskleidė daugiau tyrimo detalių.
„Pasaulyje veikia ir nauji vektoriai, naujos grėsmės – ir jos nėra tipinės. Tai – didžiulis iššūkis ne tik Lietuvai, bet ir kitoms valstybėms. Ir vienas tinkamiausių to pavyzdžių – „Yandex.Taxi“. Vasarą vykdytas tyrimas parodė, kad Rusijos bendrovė įsisteigė Olandijoje, išsinuomojo duomenų centrą Suomijoje – kas, atrodytų, viskas yra tvarkoje: europinė kompanija, duomenys išlieka Europoje.“
Pasak viceministro, kai kompanija pradėjo veiklą Estijoje – niekas nieko nepastebėjo. Taip pat nieko nenutiko kompanijai įžengus ir į Latviją. „Ir galiausiai „Yandex.Taxi“ atkeliavo į Lietuvą. Bet lietuviai tokie truputį labiau paranojiški, dukart pasitikrino – ir mūsų specialistai, ištyrę pačią aplikaciją, nustatė, kad aplikacija prieina prie absoliučiai visos informacijos, kuri yra telefone – įskaitant slaptažodžius, socialines paskyras, saugią duomenų talpyklą, SMS, GPS, mikrofoną, skambinimo galimybę. GPS, mikrofonas ir skambinimas dar normalu – čia juk taksi aplikacija – tačiau nuotraukos ir visa kita?“, – retoriškai klausė viceministras.
Pasak E.Kerzos, taip pat buvo nustatyta, kad aplikacija veikia net tada, kada ja nesinaudojama.
„Taigi, keliaujate autobusu ar lėktuvu, o „Yandex“ operatoriai žino, kur jūs lankotės. Kadangi turi prieigą prie mikrofono, tai matyt dar ir pasiklausyti galėtų, – pasakojo viceministras. – Galiausiai tyrėjai kreipėsi į pačius „Yandex“ ir uždavė klausimą: brangieji, kur gi yra mūsų duomenys? Ar jūs atitinkate bendrąjį duomenų apsaugos reglamentą, kuris buvo patvirtintas pavasarį?“
E.Kerza teigia, kad buvo gautas patikinimas, kad duomenys keliauja į Suomiją.
„Viskas būtų tvarkoje – bet mūsų specialistai nustatė, kad iš tiesų duomenys siunčiami į Jekaterinburgą, Maskvą ir Niu Džersį. Tai paklausėme dar kartą – nuo kada Jekaterinburgas yra Europos Sąjunga? Nuo kada Maskva yra Suomijos dalis? „Yandex negalėjo atsakyti į tuos klausimus“, – tyrimo eigą nupasakojo viceministras.
Jo teigimu, šiuo metu vyksta detalesnis tyrimas, kurį atlieka Olandijos ir Suomijos duomenų apsaugos inspekcijos, čia yra įsitraukusi ir Lietuvos duomenų apsaugos inspekcija.
„Svarbu gerai pagalvoti, ką leidžiame aplikacijoms savo telefone veikti. Tai yra bendro pobūdžio rekomendacija, kuri skirta įvertinti, ar nėra perteklinių priėjimų. O jei tokių yra – rankiniu būdu juos išjungti, kad aplikacija negalėtų prieiti prie tam tikrų duomenų“, – apibendrino Lietuvos krašto apsaugos viceministras Edvinas Kerza.
