Kas atsakingas už kraujuojančias širdis?

kraujuojanti širdisAš ne apie Ukrainą, o apie elektroninių duomenų saugumo situaciją Lietuvoje. Viso pasaulio elektroninių paslaugų tiekėjai per pastarąją savaitę proaktyviai komunikuoja su vartotojais, atnaujina savo serverių programinę įrangą ir primygtinai inicijuoja skubų slaptažodžių keitimą. Tuo tarpu Lietuvoje – ramu, nei iš vieno paslaugų tiekėjo per savaitę po Heartbleed klaidos atradimo negavau jokios komunikacijos susijusios su šia ypač pavojinga programine klaida.

Įvairiais vertinimais apie 2/3 visų elektroninių paslaugų tiekėjų internete naudoja OpenSSL TLS kriptografinį protokolą, kuris užtikrina perduodamų duomenų tarp kliento ir serverio saugumą. Būtent šis protokolas dėl Heartbleed tapo visiškai nesaugus. Jeigu manote, kad Lietuvos elektroninių paslaugų tiekėjai nepatenka į tuos 2/3, klystate. Kalba ne apie kažkokias egzotines paslaugas, duomenis ir protokolus, o apie paslaugas, kurias dauguma mūsų naudojame kasdien – pvz., apie Jūsų narystę interneto portaluose, Jūsų elektroninės bankininkystės ar mokesčių deklaravimo prisijungimus, arba tiesiog Jūsų elektroninio pašto paskyrą, Jūsų asmeninio ar įmonės tinklapio saugumą, Jūsų įmonės duomenų bazių, prieinamų internetu, saugumą, etc.

Kanadoje pasinaudojant Heartbleed klaida programišiai jau pagrobė mokesčių mokėtojų duomenis. Tas pat ištiko supermamų analogo JAV – Mumsnet.com – vartotojų duomenis. Taip pat pripažinta, kad Heartbleed klaida paliečia visus mobilius įrenginius naudojančius Android 4.1.1 versiją.

Ar turi kas nors nukentėti ir Lietuvoje, kad būtų rimčiau susirūpinta tokiomis problemomis, kad elektroninių paslaugų tiekėjai bent jau jaustų moralinę pareigą perspėti vartotojus apie grėsmes?

Skirtingai nei Kanadoje (kur esu praleidęs nemažai laiko ir su sistema esu susipažinęs) Lietuvoje paslaugų tiekėjai (ypač bankai) linkę neigti bet kokias saugumo problemas, o visas neigiamas pasekmes dėl jų – pvz., pavogtas lėšas dėl prarastų elektroninių mokėjimo priemonių – kortelių, perkelti vartotojams. Vartotojai būdami silpnesne šalimi, taip pat dažnai ir dėl teisinio neišprusimo, priversti su šia situacija taikstytis.

Elektroninės informacijos saugumas ir jo rizikos civiliniuose santykiuose Lietuvoje iš esmės nereglamentuotas. Tik dėl ES teisės perkėlimo yra keletas ribotų specialių normų susijusių su elektroninių sistemų saugumu ir atsakomybe už jų saugumo pažeidimus (LR Mokėjimų įstatymo 29-30 str.).

Nesant teisinio reglamentavimo, turi būti vadovaujamasi teisės principais. Civilinėje teisėje egzistuoja pora esminių principų, kuriuos verta prisiminti šioje situacijoje. Saugumo problemos internete toli gražu nėra pirmosios technologijos sukėlusios skausmingas teisines pasekmes. Atsakomybės už žalą sukeltą didesnio pavojaus šaltinio principas reguliuoja (ar bent jau turėtų reguliuoti) šalių santykius tokiose situacijose. Elektroninės paslaugos, tokios kaip elektroninė bankininkystė, elektroninės mokėjimo kortelės, etc. yra technologijos, kurios paslaugų tiekėjams (pvz., bankams) sutaupo milijonus litų kasdien (nors bankai mėgsta apversti viską aukštyn kojom – neva, sutaupo tik vartotojai, o ne bankai). Svarbu atkreipti dėmesį, kad ne vartotojas nustato ir pasirenka technologijas, ir ne vartotojas kontroliuoja jų saugumą (pradedant nuo mažmožių kaip programinės įrangos atnaujinimas). Priešingai, bankas net ir galėdamas kontroliuoti saugumą sąmoningai gali to nedaryti – kiek žmonių banko sąskaitos pratuštėjo palikus kortelę bankomate, kol bankai pakeitė bankomatų nustatymus prašydami įvesti PIN kodą prieš kiekvieną pinigų išgryninimą?

Paslaugos tiekėjas suteikiantis vartotojui technologinį sprendimą turi prisiimti ne tik atsakomybę už technologijos, kaip didesnio pavojaus šaltinio sąlygotas rizikas, tačiau taip pat ir proaktyvią teisinę pareigą nedelsiant imtis visų priemonių užtikrinančių maksimalų saugumą – tarp jų, atvirai ir proaktyviai informuoti vartotoją apie problemą ir jos sukeltas rizikas, atnaujinti programinę įrangą ir informuoti apie tai vartotojus (įskaitant konkretų laiką kada įsigaliojo atnaujinimas), inicijuoti vartotojų slaptažodžių keitimą, etc. Galiausiai, vadovaujantis silpnesnės teisinio santykio šalies gynimo principu – žalos atveju būtent paslaugos tiekėjui turi tekti pareiga įrodyti, kad žala atsirado ne dėl nuo jo priklausančių priežasčių. Vartotojui atsakomybė perkeltina tik tuo atveju, jei yra vartotojo tyčia arba didelis neatsargumas, ir paslaugos tiekėjas tą įrodo – šiuo atveju turėtų būti taikoma vartotojo nekaltumo prezumpcija, net jeigu vartotojas yra verslo klientas.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *