Многие страны сейчас решают задачу выхода из режима ограничений на фоне пандемии COVID-19. Помощниками в этом становятся мобильные приложения, которые позволяют оценить вероятность распространения коронавирусной инфекции. Большая часть правительств предпочитает программы, использующие для сбора информации о местонахождении человека сигналы Bluetooth его мобильного устройства. Это — путь, который обеспечивает конфиденциальность данных. Однако есть государства, поставившие на мобильные сотовые сети. Такие решения таят в себе высокие риски.

В Израиле задачу отслеживания контактов пациентов с коронавирусом попыталась решить частная охранная фирма NSO Group, которая известна своими мобильными хакерскими инструментами. Недавно независимый эксперт по компьютерной безопасности Боб Дьяченко обнаружил в интернете одну из таких систем, принадлежавших NSO. Она оказалась доступна любому пользователю.

Дьяченко связался с компанией, и та отключила незащищенную базу данных. Как заявили разработчики, система предназначалась только для демонстрации технологии. Представители израильской фирмы отрицают какую-либо ошибку безопасности. Сейчас NSO ожидает одобрения израильского правительства для ввода в систему данных.

Эксперты подчеркивают, что такая система не должна быть открытой с самого начала работы. Подобные централизованные базы данных о местонахождении граждан представляют угрозу безопасности и конфиденциальности.

Как пишет TechCrunch, упомянутая система носит название Fleming. NSO ведет разработку с марта 2020 года. Приложение предназначено для отслеживания контактов больных COVID-19. Оно начнет функционировать, как только в ячейки будут «влиты» подтвержденные данные тестирования на коронавирус от органов здравоохранения и информация о местонахождении телефона из сотовых сетей для идентификации. Дальше любой, кто приблизился к инфицированному человеку, получит предупредительное уведомление.

Сама скомпрометированная база данных размещалась на сервере Amazon Web Services в немецком Франкфурте. Там режим защиты информации является одним из самых строгих в мире.

Как выяснилось, база содержала данные о местонахождении людей в период с 10 марта по 23 апреля. Для каждой «цели» (этот термин NSO использовала для описания человека) было указано конкретное расположение в конкретное время и продолжительность встречи, чтобы оценить вероятность передачи инфекции.

Страница входа в систему Fleming от NSO была защищена паролем. Однако внутренняя база данных оставалась открытой.

«Система Fleming была разработана для лиц, принимающих решения в правительстве, без ущерба для личной жизни. Ее демонстрировали во всем мире с большой прозрачностью для прессы примерно 100 различных стран», — заявил директор NSO Group Орен Ганц.

По его словам, демонстрационный вариант системы разместили на открытом случайном сервере. Все домыслы о раскрытии какой-либо конфиденциальной информации не верны и не соответствуют фактам. Приложение видели сотни представителей СМИ и правительств многих государств.

«Отсутствие защиты сервера не было бы удивительным для школьного проекта. Но в случае компании стоимостью в миллиард долларов, которая не защищает паролем секретный проект для обработки данных о местонахождении и состоянии здоровья людей, можно говорить о поспешном и небрежном развертывании», — считает сотрудник компании Citizen Lab из Торонто Джон Скотт-Рейлтон.

Эксперт подчеркнул, что «дело NSO» стало прецедентом, явно указывающим на серьезную проблему. Поспешные попытки отслеживания COVID-19 поставят под угрозу конфиденциальность и безопасность в интернете", уверен Скотт-Рейлтон.

После глобальной вспышки коронавирусной инфекции правительство Израиля приняло закон, предоставляющий службе безопасности «Шин Бет» «беспрецедентный доступ» для сбора огромных объемов данных телефонных компаний сотовой связи для выявления возможного распространения инфекции. В конце марта министр обороны страны Нафтали Бенет заявил, что правительство работает над новой системой отслеживания контактов — отдельной от той, которую использует «Шин Бет». Позже выяснилось, что ее разрабатывает именно NSO.

У NSO не было никаких полномочий для получения информации от сотовых операторов. Компания брала сведения о местоположении с рекламных платформ — у так называемых брокеров данных. Израильские СМИ также сообщили, что фирма использовала их для «обучения» системы.

Брокеры данных собирают и продают огромные массивы сведений о местонахождении, собранных приложениями в миллионах телефонов. Эти программы отслеживают наши перемещения и направляют информацию разработчикам. Те, в свою очередь, перепродают данные рекламодателям для показа целенаправленной рекламы.

NSO при этом отрицает использование данных о местоположении от брокеров для демонстрации возможностей Fleming.

Интересно, что, по мнению экспертов, подобный метод не позволяет отслеживать местоположение с достаточной точностью. Данные сотовых операторов могут ошибочно записать в носители коронавируса людей, которые не вступали в близкий контакт с зараженными.

«Эти данные о местонахождении не могут дать надежную оценку того, вступили ли два человека в тесный контакт», — подчеркнул Скотт-Рейлтон.

Израиль — не единственная страна, заинтересовавшаяся программой Fleming. В марте Bloomberg сообщил, что технологию отслеживания контактов от NSO оценивала еще дюжина стран. Об этом свидетельствует и скомпрометированная «демонстрационная» база данных. В ней содержится большое количество точек в Руанде, Саудовской Аравии и Объединенных Арабских Эмиратах.

Эксперты выразили обеспокоенность по поводу использования централизованных данных. Они могут стать целью для хакеров. Большинство стран предпочитают анонимные сигналы Bluetooth, полученные с телефонов, находящихся в непосредственной близости, вместо сбора информации о местонахождении сот в единую базу. Функция отслеживания контактов через Bluetooth уже завоевала поддержку ученых и специалистов в области безопасности. Этого вполне достаточно для широкомасштабного наблюдения за населением.

Накануне «Ридус» опубликовал материал про сбор данных о местоположении россиян во время пандемии. Как утверждают эксперты, Минкомсвязь РФ также следит за нами при помощи сотовых операторов.

• Телеграм
• Дзен
• Подписывайтесь на наши каналы и первыми узнавайте о главных новостях и важнейших событиях дня.