სატელეკომუნიკაციო კომპანია სილქნეტიდან დიდი მოცულობის მონაცემებმა გაჟონა – რადიო თავისუფლების ინფორმაციით, საუბარია 33 000 ადამიანის პირადობის მოწმობის ასლზე, რომლებიც არალეგალური გზით გავრცელდა ინტერნეტში.
სილქნეტში ადასტურებენ, რომ მომხმარებლების ინფორმაცია გაიჟონა, თუმცა არ პასუხობენ რადიო თავისუფლების კითხვებს გაჟონვის მოცულობასა და სხვა დეტალებზე და ამბობენ, რომ მომხდარზე განცხადების გავრცელებას გეგმავენ.
19 მარტს, სილქნეტიდან გაჟონილი მონაცემები უკვე წაშლილია იმ პლატფორმაზე, სადაც თავდაპირველად აიტვირთა. უცნობია, არსებობს თუ არა მონაცემთა ასლები, რომლებიც შეიძლება მომავალში გახდეს არალეგალურად ხელმისაწვდომი.
18 მარტს მომხდარი ფაქტის შესწავლა დაიწყო პერსონალურ მონაცემთა დაცვის სამსახურმა – ამ უწყებას ფიზიკურმა პირმა მიმართა გამოძიების მოთხოვნით.
პერსონალურ მონაცემთა დაცვის სამსახური საკითხს სწავლობს ორი მიმართულებით: რამდენად დაცული იყო პერსონალური მონაცემების დაცვის უსაფრთხოების ზომები სილქნეტში და შეასრულა თუ არა კომპანიამ პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების ვალდებულება.
სატელეკომუნიკაციო კომპანია სილქნეტი მილიონზე მეტ მომხმარებელს ემსახურება. 2023 წლის დეკემბრის მონაცემებით, რომელიც კომპანიას საკუთარ ვებსაიტზე აქვს გამოქვეყნებული, სილქნეტს ჰყავს:
- 1 859 784 მობილური ქსელის აბონენტი;
- 154 555 ფიქსირებული ქსელის აბონენტი;
- 339 452 ფიქსირებული ბროუდბენდის აბონენტი;
- 259 673 ფასიანი ტელევიზიის მომხმარებელი.
სილქნეტიდან მონაცემების გაჟონვის შესახებ რადიო თავისუფლებამ შინაგან საქმეთა სამინისტროს და სახელმწიფო უსაფრთხოების სამსახურსაც ჰკითხა, ხომ არ მიუმართავთ მათთვის გამოძიების მოთხოვნით. ორივე უწყებამ კითხვა უპასუხოდ დატოვა.
„კანონით ინფორმაციული უსაფრთხოების შესახებ, სადაც საქართველომ 2021 წელს შეიტანა ცვლილებები, კატეგორიებად დაიყო კომპანიები და ორგანიზაციები. სილქნეტი სხვა სატელეკომუნიკაციო კომპანიებთან ერთად გადის მეორე კატეგორიაში, რაც იმას ნიშნავს, რომ მათზე ზედამხედველობას ინფორმაციის დაცულობის თვალსაზრისით პერსონალური მონაცემების დაცვის ინსპექტორის გარდა სახელმწიფო უსაფრთხოების სამსახურიც ახორციელებს, შესაბამისად, თუკი გამოძიება დაიწყება, სუსიც უნდა იყოს ჩართული ამ გამოძიებაში“, – ეუბნება რადიო თავისუფლებას „ინტერნეტის განვითარების ინიციატივის“ დამფუძნებელი, ლადო სვანაძე.
Data Breach – რა არის მონაცემების გაჟონვა
მონაცემების გაჟონვა ის შემთხვევაა, როცა კომპანიის შიგნით დაცული ინფორმაცია მესამე პირს გააქვს კომპანიის გვერდის ავლით, ავტორიზაციის გარეშე.
თავდამსხმელი სისტემაში, სადაც ინფორმაციაა დაცული, როგორც წესი, ამავე სისტემის სისუსტეების გამოყენებით აღწევს და არალეგალურად ეუფლება მონაცემებს.
მოპარული მონაცემები შეიძლება შეიცავდეს პერსონალურ, საკრედიტო-საფინანსო ან სხვა, ზოგ შემთხვევაში ეროვნული უსაფრთხოების საკითხებთან დაკავშირებულ ინფორმაციასაც.
Როგორ აგროვებს თქვენს პირად მონაცემებს სილქნეტი?
სილქნეტი პირადობის მოწმობის ასლებს ითხოვს როგორც ხელშეკრულების გაფორმებისას, ისე ელექტრონული სიმბარათის ონლაინ შეძენისა და აქტივაციისას. ამ სერვისით სარგებლობისთვის საჭიროა ასევე საბანკო ბარათის გამოყენება მომსახურების ღირებულების გადასახდელად. არის თუ არა საბანკო ბარათების მონაცემები ისეთივე დაუცველი სილქნეტის სისტემაში, როგორც პირადობის მოწმობები აღმოჩნდა, ღია კითხვად რჩება.
იმ ინფორმაციის ჩამონათვალი, რასაც შეიძლება სილქნეტი ფლობდეს თქვენ შესახებ, ვრცელია. გარდა სახელის, გვარის, პირადი ნომრის, მისამართისა და ტელეფონის ნომრისა, სილქნეტმა ასევე იცის ელექტრონული ფოსტის მისამართი, ასაკი, დაბადების თარიღი და სქესი, აქვს ინფორმაცია სამუშაო ადგილისა და დაკავებული პოზიციის შესახებ, შეუძლია გადაამოწმოს კლიენტის გადამხდელუნარიანობა/კრედიტუნარიანობა და გაიგოს ინფორმაცია საკრედიტო/სადებეტო ბარათისა ან/და საბანკო ანგარიშის შესახებ.
Რა ხდება მონაცემთა გაჟონვის შემდეგ?
მონაცემების გაჟონვის შემდეგ შესაძლებელია მისი განადგურება, შეცვლა, უკონტროლო გავრცელება ან სულაც გაყიდვა.
მოპოვებული ინფორმაცია შეიძლება გამოიყენებოდეს როგორც კონკრეტული პირების, ისე კომპანიის წინააღმდეგ – კიბერშანტაჟისთვის, უფრო მავნე თავდასხმის მოსამზადებლად ან კომერციულ საიდუმლოებაზე წვდომისთვის.
მონაცემების გაჟონვის ფაქტები რეპუტაციულ ზიანსაც აყენებს იმ კომპანიებს, რომლებიც ვერ ახერხებენ კლიენტების პერსონალური ინფორმაციის სათანადო დაცვას.
„პირადი მონაცემების გაჟონვა ყოველთვის საფრთხეა. რისკები, რაც ინფორმაციის გაჟონვას ახლავს თან, არის იდენტობის მოპარვა, სხვადასხვა სერვისებში სხვისი პირადი ინფორმაციის გამოყენება, ჰარასმენთი, მარკეტინგში გამოყენება, ანგარიშის გასატეხად ამ მონაცემების გამოყენება, ონლაინკრედიტის აღება სხვისი სახელით“, – ეუბნება რადიო თავისუფლებას კიბერუსაფრთხოების სპეციალისტი, ნინო გამისონია. მას საქართველოში ამ მასშტაბის ინფორმაციის გაჟონვა კერძო კომპანიიდან არ ახსენდება.
რამდენად ხშირი და მასშტაბურია მონაცემების გაჟონვის შემთხვევები
საქართველოდან მონაცემების ფართომასშტაბიანი გაჟონვის შესახებ ინფორმაცია გავრცელდა 2020 წელსაც. ამ დროს საუბარი იყო ცენტრალური საარჩევნო კომისიიდან ამომრჩეველთა სიის გაჟონვაზე, რომელიც თითქმის 5 მილიონამდე [4 934 863 ] ადამიანის პირად მონაცემებს აერთიანებდა. ეს სია მოიცავდა ინფორმაციას გარდაცვლილების შესახებაც, რაც აჩენდა ეჭვს, რომ სია კომპილაციური იყო. ეს მონაცემები, რომლის მოცულობაც 1,04 GB-ს შეადგენდა, მოიცავდა ინფორმაციას ცალკეული ადამიანების სრული სახელის, მისამართის, დაბადების თარიღის, პირადი და ტელეფონის ნომრის შესახებ.
მონაცემების გაჟონვის ისტორიულად ყველაზე მასშტაბური შემთხვევები ეხება ისეთ ავტორიტეტულ და მასობრივი გავრცელების კომპანიებს, როგორებიცაა Yahoo, Facebook-ი და Marriott International-ი. Yahoo-დან 2013 წელს სამი მილიარდი მომხმარებლის მონაცემებმა გაჟონა, თუმცა ეს ფაქტი მხოლოდ 2016 წელს გახმაურდა, მაშინ, როცა კომპანია Verizon-ი აწარმოებდა მოლაპარაკებებს Yahoo-ს შესაძენად. მონაცემების გაჟონვის ფაქტი მას დაეხმარა, 350 მილიონი დოლარით უფრო იაფად შეეძინა კომპანია, ვიდრე მისი თავდაპირველი ფასი იყო.
ფეისბუკი 2019 წელს გახდა კიბერთაღლითების სამიზნე – ამ დროს კომპანიიდან 540 მილიონი მომხმარებლის მონაცემებმა გაჟონა. ფეისბუკის შემთხვევამდე ერთი წლით ადრე, 2018 წელს, 500 მილიონი მომხმარებლის მონაცემმა გაჟონა „მერიოტიდან“. მაშინ The New York Times-ი წერდა, რომ ამ შეტევის უკან ჩინეთის დაზვერვა იდგა, რომელიც დაინტერესებული იყო ამერიკის მოქალაქეების პერსონალური ინფორმაციის შეგროვებით. საბოლოოდ „მერიოტი“ საკუთარი მომხმარებლების მონაცემების დაუცველობის გამო 23 მილიონი დოლარით დაჯარიმდა.
მონაცემების გაჟონვის ერთ-ერთი ბოლო და გახმაურებული შემთხვევა სტრიმინგ პლატფორმა Roku-ს უკავშირდება. 2024 წლის მარტში ჰაკერებმა მოიპოვეს, ყველაზე მცირე, 15 363 მომხმარებლის შესახებ ინფორმაცია, რაც შეიცავდა ჩანაწერებს გარდა მათი იდენტობისა, მათი მისამართების, საკრედიტო ბარათებისა და პაროლების შესახებაც.
როგორ გავიგო, ვარ თუ არა მათ შორის, ვისი მონაცემებიც დაუცველი აღმოჩნდა?
კომპანიის პერსონალური მონაცემების დაცვის განაცხადის მიხედვით, ნებისმიერ მომხმარებელს აქვს უფლება, ერთი მხრივ, სილქნეტისგან მიიღოს ინფორმაცია მის შესახებ მათთან დაცული მონაცემების შესახებ, მეორე მხრივ, ინფორმაცია მონაცემთა უსაფრთხოების დარღვევის იმგვარი ინციდენტის შესახებ, რომელიც მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.
მოთხოვნის შემთხვევაში, სილქნეტის მომხმარებლებს აქვთ უფლება მიიღონ მოთხოვნილი ინფორმაცია მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა. ეს ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც დაუყოვნებლივ უნდა ეცნობოთ.
რადიო თავისუფლება