Ryšių reguliavimo tarnyba (RRT) iš interneto paslaugų teikėjų pareikalavo ne vėliau kaip šių metų gruodį pradėti teikti duomenis apie vartotojų elgseną tinkle. Informacinių technologijų specialistai teigia, kad toks prašymas reiškia visuotinį interneto vartotojų sekimą. Pasak jų, valstybė rinktų ir saugotų duomenis apie tai, kokiose svetainėse jūs lankotės ir kokius duomenis siunčiatės.
Tokį RRT prašymą Lietuvos kabelinės televizijos asociacija apskundė Valstybinei duomenų apsaugos inspekcijai. Inspekcijos nuomone, fizinio asmens IP adresas daugeliu atveju yra laikomas asmens duomenimis, todėl RRT užmojai prasilenkia su Lietuvos ir ES įstatymais.
Reikalauja teikti informaciją
2014 m. rugsėjo 16 d. RRT vadovo Felikso Dobrovolskio pasirašytame rašte, kuris buvo išplatintas visiems interneto paslaugų tiekėjams Lietuvoje, buvo reikalaujama ne vėliau kaip per tris mėnesius pradėti tarnybai teikti interneto vartotojų duomenis: siuntėjo ir gavėjo IP adresus, IP protokolus ir tipą, loginio prievado numerį ir kitus.
„Duomenys reikalingi siekiant efektyviai, iš pirminių šaltinių nustatyti saugumo incidentų faktus, aplinkybes ir vertinant viešųjų tinklų saugumo ir vientisumo būseną. Esant paskirstytoms elektroninės paslaugos trikdymo atakoms, duomenys leistų operatyviai nustatyti atakos faktą bei imtis prevencinių priemonių atakai stabdyti“, – teigiama rašte.
RRT, prašydama šių duomenų, remiasi 2013 m. sausio 25 d. tarnybos direktoriaus patvirtintomis Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo taisyklėmis.
Informacinių technologijų specialistų ir interneto teikėjų nuomone, šis RRT prašymas tarnybai leistų gauti ir kaupti duomenis apie visų Lietuvos interneto vartotojų elgseną tinkle. Paprasčiau kalbant, šie duomenys leistų matyti, kokiuose tinklalapiuose lankosi vartotojai, kiek laiko juose praleidžia ir kokius duomenis siunčiasi.
Peržengė kompetencijos ribas
Informacinių technologijų ekspertas Marius Pareščius, 15min.lt paklaustas, ar toks RRT prašymas nekelia pavojaus Lietuvos gyventojų privatumui, teigė, kad tarnyba užsimojo per plačiai.
Pasak jo, Operatyvinės veiklos įstatymas numato galimybę rinkti tokius duomenis, tačiau tai leista daryti tik teisėsaugos institucijoms.
„RRT nėra teisėsaugos institucija. Tai yra reguliuojanti organizacija. Jai nereikia operatyvinės informacijos apie interneto vartotojus. Jai nepriskirtos nei tokios funkcijos, nei ji turi pakankamai žmonių tokiai informacijai apdoroti. Dabar prisidengiama brukalais, virusiais, DDos atakomis ir panašiais pavojais, tačiau toks detalus duomenų rinkimas nėra ta priemonė, kuri naudojama visame pasaulyje, nes ji itin kertasi su gyventojų privatumu“, – kalbėjo M. Pareščius.
Jis paaiškino, kad iš prašomų duomenų bus matoma visa interneto vartotojų veikla: „Paprastai sakant, bus aišku, kada žmogus prisijungė prie savo elektroninio pašto dėžutės ir kiek duomenų išsiuntė.
Bus sekami ne konkretūs asmenys, o interneto mazgai. Pavyzdžiui, vienas butas su penkiais interneto vartotojais yra prijungtas prie vieno telekomunikacijų tiekėjo per vieną mazgą. RRT vertins maršrutizatoriaus elgseną tinkle.
Jei namuose kas nors siunčiasi „torrentus“ su filmais – tai bus matoma. Jei kažkas klausosi muzikos iš serverio, kuris stovi kažkur kitur, – tai irgi bus matoma. Bus matyti IP adresai, srauto apimtys, kas yra siuntėjas, kas yra gavėjas ir kita informacija.“
Problemos interneto tiekėjams
Pasak M. Pareščiaus, šiuo metu interneto paslaugų tiekėjai tokios informacijos nekaupia, nes ji nėra reikalinga jų pagrindinei veiklai. Tokios informacijos kaupimui turi būti daromi pakeitimai sistemose, instaliuojama papildoma techninė ir programinė įranga, kuri reikalauja investicijų ir tai nėra numatyta standartinėje įmonės veikloje.
„Maži interneto tiekėjai nėra numatę savo investiciniuose planuose, kad reikės tokius reikalavimus vykdyti, o RRT jau nurodė trijų mėnesių terminą. Kita vertus, interneto vartotojas namuose net nenumano, kad valstybės institucija ims sekti jo veiklą internete.
Tai yra vienos iš reguliuojančių institucijų noras savo įsakymais priversti interneto tiekėjus pateikti tokią informaciją. Tai yra papildomas pageidavimas iš privataus verslo gauti papildomą ir labai jautrią informaciją. Tai gal geriau pradėti nuo valstybės institucijų?“ – nurodė pašnekovas.
M. Pareščius teigė, kad panaši tvarka galioja autoritarinėje Rusijoje, tačiau ten yra kitokia licencijavimo tvarka.
„Kol nepastatysi tokios įrangos, tol negalėsi licencijuoti savo įmonės veiklos ir užsiimti interneto paslaugų teikimu. Lietuvoje to iki šiol nebuvo. Net ir naujajame Kibernetinio saugumo įstatymo projekte, kuris dabar svarstomas, tokių reikalavimų nėra“, – dėstė ekspertas.
Saugumo kaina
Kibernetinio saugumo specialistas Olekas Suchodolskis 15min.lt teigė, kad šių laikų pasaulyje žmonės turi susitaikyti su dalies privatumo praradimu tam, kad būtų apsaugoti: „Žinant dabartinę Lietuvos situaciją, jeigu nori būti apsaugotas nuo elektroninių nusikaltimų, informaciją turi teikti. Dažniausiai tokią informaciją renka ir ja disponuoja CERT (Computer emergency responce team). Incidentų valdymo tarnybos. RRT tai pajėgi padaryti.“
Jis siūlė pažvelgti į kitų šalių pavyzdžius: „JAV yra 14 žvalgybos institucijų, kurios renka ir analizuoja interneto vartotojų duomenis. Specialiosios tarnybos turi savo atskirą paieškos sistemą, kur suvedus duomenis apie žmogų matoma detali informacija – kur internete jis lankosi, ką veikia socialiniuose tinkluose. Jei elgiesi pagal įstatymus, informacijos viešumas problemų nesukelia. Mes gyvename laikais, kai žmonės socialiniuose tinkluose dalijasi savo vaikų nuotraukomis ir nemato problemos.“
Pasak specialisto, duomenų kiekis bus toks, kad jame identifikuoti konkretaus vartotojo elgesį bus sudėtinga: „Duomenis reikės sisteminti ir analizuoti. Taip detaliai, manau, to niekas daryti neplanuoja. Norima gauti logus. Turėdamas log bylas tu negali matyti duomenų turinio, bet gali matyti, kokiame tinklalapyje žmogus lankėsi. Žinoma, tokiai informacijai turi būti taikoma tam tikra slaptumo žymė ir reikia diskutuoti, kas prie tokios informacijos prieis ir kas ja galės pasinaudoti.“
O. Suchodolskis teigė, kad ne visi interneto paslaugų tiekėjai Lietuvoje turi srauto duomenų surinkimo įrankius. Jis atkreipė dėmesį, kad kai kuriose užsienio šalyse valstybė pati imasi iniciatyvos, o ne tokią pareigą užkrauna privatiems verslininkams.
„Kitose šalyse tinkluose įdiegiama speciali įranga ir ji automatiniu būdu surenka mechaninius logus – duomenis, kurie eina per TCP/IP protokolą“, – aiškino pašnekovas.
Duomenimis lengva ranka dalintis neketina
Bendrovės „Teo LT“ Korporatyvinės komunikacijos skyriaus direktorius Antanas Bubnelis 15min.lt nurodė, kad įmonės specialistai analizuoja RRT prašymą ir jo įgyvendinimo galimybes.
Pasak jo, pirmas įspūdis toks, kad į kibernetinį karą eisime apsiginklavę excelinėmis lentelėmis.
„Mums yra itin svarbus mūsų klientų privatumas ir jų asmens duomenys, todėl itin atidžiai vertinsime visus prašymus teikti bet kokius su jais susijusius duomenis“, – teigė A. Bubnelis.
Problemos nemato
15min.lt dar rugsėjo 29 d. kreipėsi į RRT prašydama pakomentuoti F. Dobrovolskio pasirašytą raštą. Tuo metu RRT Tinklų ir informacijos saugumo departamento direktorius Rytis Rainys tikino, kad jaudintis nėra priežasčių.
„Visa šiuolaikinė įranga, kuria teikiama prieiga prie interneto, yra pritaikyta techninės informacijos rinkimui. Prašomų Tarnybai pateikti perduodamų duomenų kiekis gali sudaryti apie 0,2 proc. nuo bendro srauto tinkle. Taigi tokios techninės informacijos rinkimas vykdomas automatiniu būdu, o jos rinkimas neturės įtakos interneto paslaugos teikėjo dydžiui ar bendrai turimai ryšio operatorių kanalų apkrovai“, – minėjo jis.
Anot R. Rainio, viešųjų ryšių tinklų srauto sujungimus aprašantys techniniai duomenys yra techninė informacija, kuri apibūdina srauto kokybinius parametrus, pavyzdžiui, tinklo apkrovas, perduotų duomenų kiekį ir kryptis.
Tarnyba paprašė interneto paslaugų teikėjų pateikti duomenis, kurie yra susiję tik su technine tinklų sujungimų statistika, joje nėra vartotojų asmens duomenų, ar kitos jautrios informacijos apie vartotojus, jų srautų ar turinio naudojimą.
RRT atstovas taip pat nurodė, kad tarnybai bus teikiama tik apibendrinta informacija apie interneto tinklo būklę.
Asmens duomenų inspekcija mano kitaip
Į informacinių technologijų ekspertų, interneto paslaugų teikėjų ir RRT atstovų ginčą įsijungė ir Valstybinė asmens duomenų inspekcija. Į ją kreipėsi Lietuvos kabelinės televizijos asociacija.
„Į inspekciją kreipėmės mes, nes, mūsų nuomone, IP adresas priskirtinas asmens duomenų kategorijai. Mes rėmėmės 2011 m. inspekcijos išaiškinimu. Pagal RRT taisykles, kurias jie patys pasitvirtino, numatyta pateikti tik techninius duomenis, todėl mums kilo abejonių dėl šito reikalavimo pagrįstumo. Pagal šiuo metu galiojančią teisinę bazę tokių duomenų kaip IP adresas rinkimas yra perteklinis“, – 15min.lt teigė asociacijos vadovė Vaiva Radikaitė-Žukienė.
Pasak jos, totalus asmens duomenų rinkimas neišspręstų saugumo klausimo, o žmogaus privatumo ribas tikrai susiaurintų. Asociacijos nariai yra informuoti apie inspekcijos išaiškinimą ir sprendimą, ar teikti RRT prašomus duomenis, priims patys.
Inspekcijos vadovo Algirdo Kunčino pasirašytame rašte konstatuota, kad RRT vadovo pasirašytos taisyklės negali prieštarauti Asmens duomenų teisinės apsaugos įstatymui. Jame numatyta, kad asmens duomenys yra bet kuri informacija, susijusi su fiziniu asmeniu, kurio tapatybė gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis. Tarp šių duomenų pakliūna ir asmens IP adresas.
Inspekcija konstatavo, kad RRT negali gauti interneto vartotojų asmens duomenų vadovaudamasi tarnybos direktoriaus patvirtintomis taisyklėmis ir duomenys jai šiuo pagrindu negali būti teikiami.