Šis žurnalistinis tyrimas, prie kurio prisidėjo ir lrytas.lt, tapo „Media4Change“ skelbto žurnalistinių tyrimų konkurso laureatu.
Tyrimo autoriai – žurnalistikos studentai Lukrecijus Tubys, Juta Liutkevičiūtė ir lrytas.lt žurnalistas Marius Jokūbaitis.
Pirmojoje dalyje – J.Liutkevičiūtės tyrimas apie mobiliąją bankininkystę ir jos pažeidžiamumą.
***
Visa tai, už ką anksčiau garbinome ant specialaus stalo kambaryje stovintį kompiuterį, šiandien nešiojamės savo kišenėje – šalia piniginės, virtusios kortelių dėklu, nes juk ir grynieji tampa vis mažiau patogūs. Savo pinigus valdome keliais telefono ekrano brūkštelėjimais, namie palikę šventus popiergalius su slaptažodžiais, slapyvardžiais ir kitokia konfidencialia informacija. Mobiliosios banko programėlės kasdienių finansinių operacijų valdymą pavertė lengvu ir greitu procesu. Tik ar šventieji puodus lipdo?
Aišku viena – mobilioji bankininkystė yra saugesnė už įprastą elektroninę vien dėl to, kad išmaniųjų telefonų operacinės sistemos kur kas atsparesnės įvairiems virusams nei kompiuteriai. Nors programos mobilumas ir galimybė naudotis jos paslaugomis čia ir dabar yra didžiulis privalumas, kalbant apie asmeninių finansų tvarkymą, prioritetas išlieka privačių duomenų apsauga. Štai čia ir susiduriame su komercinių bankų mobiliųjų programėlių trūkumais.
Populiariausios mobiliųjų telefonų operacinės sistemos yra trys – „Android“ (priklausanti kompanijai „Google“), „iOS“ (sukurta „Apple“) ir „Windows Phone“ („Microsoft“ siūloma operacinė sistema). Visos jos vartotojui gali siūlyti labai panašias paslaugas. Nesvarbu, kuria operacine sistema naudojatės, mobiliosios programėlės principas kiekvienoje jų yra labai panašus. Mobiliosios programos kuriamos pagal tuos pačius griaučius ir jų tikslas yra toks pat – pateikti vartotojui patogų produktą. Bankų siūlomos programėlės – ne išimtis.
Naudodamiesi mobiliuoju banku savo išmaniaisiais telefonais valdome ypač svarbią ir jautrią, su asmeninių finansų tvarkymu susijusią informaciją, įeinančią į termino „sensitive data“ apibrėžimą (šiai informacijos slaptumo kategorijai taip pat priklauso asmens kontaktinė informacija, socialinio draudimo numeris, sveikatos būklė ir kt.)
Populiariausiomis bankų aplikacijomis gali naudotis visų anksčiau išvardytų operacinių sistemų vartotojai. Mobiliųjų programų parametrus bei vartotojų vertinimą pateiksime remdamiesi informacija, skelbiama „Android“ operacinės sistemos virtualioje parduotuvėje „Google Play“. Tačiau nesvarbu, kuria operacine telefono sistema naudojamės, – visur susiduriame su ta pačia privatumo pažeidimo problema.
Finansinių žaidimų taisyklės
„Android“ operacinės sistemos mobiliųjų aplikacijų parduotuvėje „Google Play" trys populiariausios lietuviškų komercinių bankų programėlės priklauso bankams „Swedbank“, DNB ir SEB.
Norėdami įsidiegti banko siūlomą programėlę (kaip ir bet kurią kitą) susiduriame su „permission on demand“ – klausimu, ar sutinkame suteikti prieigą prie tam tikrų mūsų telefonuose esančių asmeninių duomenų. Paprastai su siūlomomis sąlygomis didžioji dalis vartotojų sutinka per daug nesigilindami.
Tą patį darome diegdami naują programą į kompiuterį ar kurdami profilį socialiniame tinkle, nors pasidomėti vertėtų.
Vilniaus universiteto Matematikos ir informatikos fakulteto prodekanas, informacinių technologijų (IT) specialistas Linas Bukauskas tokį bankų prašymą prisijungti prie asmeninių duomenų vertina dvejopai.
„Banku reikia ir galima pasitikėti, tačiau kyla savaime suprantamas klausimas, kodėl reikalaujamos prieigos teisės prie asmeninių nuotraukų, kalendoriaus, kontaktinių duomenų ir geografinės pozicijos?“ – svarstė informatikas.
Jeigu su tokiomis sąlygomis vartotojas nesutinka ir nenori suteikti prieigos prie savo asmeninių duomenų, programėlės atsisiųsti neįmanoma. O jei prieiga prie duomenų suteikiama, bet jau atsisiuntęs programą mėginsite keisti nustatymus (apriboti prieigą prie buvimo vietos, telefonų knygos ir kt.), ji deramai neveiks. Tai gali sukelti dar daugiau nepatogumų.
Kas atsakingas už prašymą suteikti prieigą prie tokių privačių duomenų kaip SMS žinutės, telefono žinynas ar nuotraukų galerija? IT specialisto L.Bukausko teigimu, už tai turi atsakyti programėlės tiekėjai ir gamintojai.
„Programėlės kūrėjai (įmonė, kūrusi ją kartu su banku), įgyvendindami funkcionalumą ir siekdami užtikrinti saugumą, renkasi, prie kokių duomenų nori prieiti. Tačiau man, kaip vartotojui, tikrai kiltų klausimas, kam reikia prieigos prie SMS žinučių, kontaktinių duomenų, kalendoriaus ir kitokių funkcijų. Regis, kad iš didelio noro garantuoti funkcionalumą ir suteikti kitokias paslaugas persistengta“, – sakė jis.
Duomenų nekaupia, bet nepamiršta
Populiariausia mobiliosios bankininkystės programėlė Lietuvoje – „Swedbank Lietuva“, ja naudojasi per 50 tūkst. vartotojų. Banko atstovas Saulius Abraškevičius programėlės reikalavimus prisijungti prie asmens duomenų teisino „iš aukščiau“ diktuojama „Google“ ir „Android“ privatumo politika. Jo teigimu, be vartotojo sutikimo jokie duomenys nėra kaupiami.
„Gavus sutikimą saugomi tokie duomenys kaip vartotojo sąskaitos ir telefono numeris, ID ir kiti nustatymai“, – teigė „Swedbank“ atstovas.
Ar tokių duomenų apie programėlės vartotojus kaupimas gali palengvinti neteisėtą įsibrovimą į svetimą sąskaitą? „Saugumo sumetimais negalime pateikti detalios informacijos. Tačiau konkretus vartotojo ID siejamas su konkrečiu telefonu aparatu stengiantis garantuoti, kad programėlė nėra naudojama kitame, ne vartotojo įrenginyje“, – sakė S.Abraškevičius.
Ne visai tiesa. Jeigu pabandytumėte prie savo banko sąskaitos prisijungti iš dviejų skirtingų mobiliųjų telefonų (net ir tuo pat metu), su jokiomis kliūtimis ir įspėjimais dėl galimo įsibrovimo nesusidurtumėte.
Banko programėlė paprasčiausiai automatiškai išjungtų jūsų paskyrą tame įrenginyje, kuriame tuo metu aktyviai nenaršote. Tad jeigu vartotojo ID ir yra siejamas su konkrečiu aparatu, tai neužtikrina, kad prisijungti prie banko sąskaitos nebus galima iš kito įrenginio.
Banko SEB Kontaktų centro specialistė Jurgita Monkevičiūtė prieigos prie asmeninių duomenų priežastis aiškino paprastai. „Galimybės pasiekti vartotojo kontaktinius duomenis reikia, kad veiktų funkcija išsaugoti banko SEB kontaktinius duomenis kliento telefono adresų knygelėje. O kliento buvimo vietos nustatymas padeda nurodyti, kur yra artimiausias banko skyrius ar bankomatas“, – aiškino. J.Monkevičiūtė.
Banko specialistė pridūrė, kad prieiga prie telefono skambinimo funkcijos yra naudinga, nes suteikia galimybę vartotojui paskambinti į banką neišjungus programėlės. Rodos, visa tai tik užtikrina efektyvų mobiliosios programos darbą. Kaip žinome, unikalių programėlės vartotojo duomenų saugojimas ir jo identifikavimas – pagrindinis būdas užkirsti kelią galimam neteisėtam sąskaitos ištuštinimui. SEB atstovė J.Monkevičiūtė patikino, kad jokie duomenys, pasiekiami per mobiliąją banko programėlę, nesaugomi ir nekaupiami. O gaila.
Pseudospeciali funkcija
Banke DNB situacija dar įdomesnė. Lapkričio viduryje (kaip tik šio tyrimo metu) bankas atnaujino savo mobiliosios bankininkystės programėlę. Spalio pradžioje norint įsidiegti banko siūlomą programą reikėjo suteikti prieigą prie šių duomenų.
Pagrindinis skirtumas – atnaujinta programėlės versija nebereikalauja prieigos prie fotoaparato ir mikrofono. Gal ir gerai, turint omenyje, kad banko atstovei Raimondai Žukauskaitei sunkiai sekėsi paaiškinti, kam šios prieigos reikėjo.
„Bankas teikia čekių saugojimo funkciją. Pasitelkus programėlę galima nufotografuoti (kameros funkcija) ir saugoti telefone (nuotraukų galerijos funkcija) čekius, juos priskirti prie tam tikrų grupių, sumuoti ar persiųsti norimiems asmenims“, – tuomet teigė R.Žukauskaitė.
Tačiau įjungus DNB programėlę, nieko panašaus į skiltį „Nufotografuok savo čekį ir persiųsk jį draugui“ nėra. Jeigu norime tai padaryti, ko gero, naudosimės įprastu fotografavimo būdu ir nuotrauka bus išsaugoma toje pačioje galerijoje, kurioje saugote ir su banko operacijomis niekaip nesusijusias fotografijas.
O mikrofonas? „Mikrofono funkcijos programėlė nenaudoja“, – toks buvo paskutinis R.Žukauskaitės atsakymas. Vėliau, raštu pateikus klausimą, kiek unikalių vartotojų naudojasi šia mobiliąją paslauga, sulaukėme atsakymo, jog bankas šia tema toliau nieko nebekomentuos.
IT specialisto L.Bukausko nuomone, toks pasiteisinimas – neetiškas ir nerimtas. „Iš esmės bankai tikrai turi žinoti, kodėl ir kokiais atvejais naudojami vieni ar kiti duomenys, ir vartotojo prašymu turėtų informaciją pateikti“, – mano jis.
Informatiko nuomone, tokiu atveju duomenų apsaugos pažeidimų rizika didelė. „Pasinaudojus programėle, visi telefono duomenų kanalai sudarys galimybę programai prieiti prie privačių duomenų. Kitas reikalas, ar jie bus naudojami gerais, ar piktavališkais tikslais. Manyčiau, jog vartotojas šiuo atveju yra silpnoji grandis, nes negali nei patikrinti, nei sužinoti, kaip duomenys buvo ar bus naudojami“, – sakė L.Bukauskas.
Viskas gerai, bet nelabai
Įdomu dar ir tai, kad SEB ir DNB mobiliosios programėlės yra sujungtos su kitomis interneto paslaugas teikiančiomis bendrovėmis. Banko DNB programėlė sujungta su „Google Maps“, o SEB – su „YouTube“ paslauga.
Kaip žinoma, šios dvi platformos turi atskirus privatumo nuostatus, kurie nebūtinai sutampa su bankų programėlių deklaruojamais. DNB mobiliosios programos privatumo nuostatuose rašoma: „You acknowledge and agree that DNB has no control over the content of Google Maps.“ („Jūs pripažįstate ir sutinkate, kad DNB negali kontroliuoti „Google Maps" turinio.“)
Bankams SEB ir DNB mobiliąsias programėles kūrusios informacinių technologijų bendrovės „Baltic Amadeus“ atstovas Robertas Ramanauskas šiuo klausimu kalbus nebuvo – konkrečių bankų pavyzdžių aptarti nenorėjo.
„Tačiau galiu patvirtinti, kad per mobiliąsias programas jokie asmens duomenys nėra renkami. Šiuo atveju galima stebėti tik buvimo vietą. Kitais kanalais surenkami duomenys panaudojami bankų veiklai gerinti, asmeniui identifikuoti“, – teigė R.Ramanauskas.
L.Bukauskas tokį pasiteisinimą vertina kaip nebrandų. „Net ir geografinės vietos duomenis rinkti nekorektiška – tai nesusiję nei su banko paslauga, nei su jos kokybe. Vartotojo apytiksles geografines koordinates galima gauti ir kitokiais būdais, nenaudojant programėlės infrastruktūros. Geografinės koordinatės nustatymu galima pasinaudoti tik kritiniu atveju ir tam mobiliosios programos nereikia“, – sakė jis.
Draugiškos dalybos
Didžiąją dalį šalyje veikiančių bankų (įskaitant ir tuos, kurių mobiliąsias programėles aptarėme šiame tyrime) vienija Lietuvos bankų asociacija (LBA). Svarbiausias šios organizacijos tikslas – siekti efektyvios reguliacinės aplinkos ir priežiūros, sudaryti palankias sąlygas bankams prisidėti kuriant klientų ir visuomenės ekonominę gerovę.
Ši asociacija, atsižvelgdama į egzistuojančius teisės aktus ir pati nustačiusi pakankamą teisinį pagrindą, informaciją apie savo klientus privalo teikti valstybinėms institucijoms. Tam teismo leidimo nereikia.
LBA juristės J.Sakalauskaitės teigimu, asociacija informacijos apie teikiamų asmens duomenų turinį ir apimtį nerenka, todėl sunku nurodyti, kokius konkrečius duomenis bankai gali perduoti kitoms institucijoms. Tikėtina, kad dalis jų gali būti surinkti pasitelkiant mobiliąsias programėles.
Asociacija duomenimis apie bankų vartotojus dalijasi su šiomis institucijomis: Lietuvos banku, Valstybine mokesčių inspekcija (VMI), antstoliais, notarais, banko administratoriais, policija, Finansinių nusikaltimų tyrimo tarnyba (FNTT), Specialiųjų tyrimų tarnyba (STT), prokuratūra ir teismais.
„Media4change" tiriamųjų darbų konkursas rengiamas įgyvendinant Europos ekonominės erdvės finansinio mechanizmo 2009–2014 m. periodo NVO programos Lietuvoje remiamą projektą „Visi skirtingi – visi lygūs: aktyvus dalyvavimas, įvairovė, žmogaus teisės“. Kūrinys atspindi tik autoriaus požiūrį, todėl NVO programa Lietuvoje negali būti laikoma atsakinga už bet kokį jame pateikiamos informacijos naudojimą
