2024-08-20

ქალაქ თბილისის მუნიციპალიტეტის მერიის და ა(ა)იპ „მუნიციპალური სერვისების განვითარების სააგენტოს“ ელექტრონული სისტემის მეშვეობით მონაცემთა ბაზაზე არასანქცირებული წვდომა და მონაცემების მოპოვება

---

სამსახურმა, ანონიმური შეტყობინების საფუძველზე, ინციდენტთან დაკავშირებული ვალდებულებების შეუსრულებლობის ფაქტი გამოავლინა. შეტყობინება შეიცავდა ბმულს, რომელშიც ასახული იყო ინგლისურენოვანი ტერმინები, რაც ა(ა)იპ  „მუნიციპალური სერვისების განვითარების სააგენტოდან“ მოპოვებული მონაცემების გაყიდვის შეთავაზებაზე მიუთითებდა. დაწესებულებიდან მონაცემების გამჟღავნების თაობაზე გარკვეული სახის ინფორმაციას ქართულენოვანი წყაროებიც შეიცავდა.

შემოწმების ფარგლებში გამოვლინდა, რომ სააგენტო ერთ-ერთი ელექტრონული სისტემის მართვასა და ადმინისტრირებას ახორციელებდა, რომელშიც, სხვადასხვა მუნიციპალური სერვისის მიღების მიზნით, დაინტერესებული ფიზიკური და იურიდიული პირები რეგისტრირდებოდნენ. აღნიშნული სისტემის მეშვეობით, სსიპ  „სახელმწიფო სერვისების განვითარების სააგენტოს“ მონაცემთა ელექტრონულ ბაზაზე რეალურ დროში დაშვებისა და ფიზიკურ პირებზე ინფორმაციის მიღების შესაძლებლობა ჰქონდა. საქმეში არსებული მტკიცებულებებით დადგინდა, რომ ზემოაღნიშნული ელექტრონული სისტემის მეშვეობით მონაცემთა დამუშავების პროცესში ა(ა)იპ „მუნიციპალური სერვისების განვითარების სააგენტო“ დამუშავებაზე უფლებამოსილი პირის სტატუსით მონაწილეობდა, ხოლო ქალაქ თბილისის მუნიციპალიტეტის მერია  დამუშავებისთვის პასუხისმგებელი პირის სტატუსით.

სააგენტო და მერია განმარტავდნენ, რომ ელექტრონულ სისტემაში ფიქსირდებოდა „ანომალიური“, არასტანდარტული ქცევა, რის თაობაზეც საგამოძიებო ორგანოს მიმართეს, თუმცა თავად არ შეუფასებიათ დასახელებული 23 ქცევის გავლენა სისტემაში დაცულ პერსონალურ მონაცემებზე. ასევე, დაზუსტებით არ იცოდნენ, მოხდა თუ არა ინციდენტი. სააგენტო ინფორმირებული იყო ერთ-ერთ ვებგვერდზე განთავსებული პერსონალური მონაცემების გაყიდვის შესახებ, ხოლო მყიდველისთვის საილუსტრაციოდ, ღიად ფიქსირდებოდა ათეულობით ადამიანის შესახებ ინფორმაცია, რაც ინციდენტის განმახორციელებელი პირის მიერ არასანქცირებული მოქმედებების დროს გამოყენებულ მონაცემთა ბაზაში ასახულს ემთხვეოდა. საქმის შესწავლის ფარგლებში დადგინდა ინციდენტის არსებობა, რაც სააგენტოს ადმინისტრირების ქვეშ არსებული ელექტრონული სისტემის მეშვეობით მონაცემთა ბაზაზე არასანქცირებულ წვდომასა და მონაცემების მოპოვებაში გამოიხატა; ხოლო ინციდენტის ადამიანის უფლებებსა და თავისუფლებაზე გავლენის მასშტაბი/ხარისხი სამსახურისათვის შეტყობინებისა და მონაცემთა სუბიექტის ინფორმირების ვალდებულებას წარმოშობდა. ინსპექტირების შედეგად მოპოვებული მტკიცებულებებით გამოვლინდა, რომ სააგენტომ და მერიამ არ დაადგინეს ინციდენტის არსებობა და, შესაბამისად, არ აღრიცხეს იგი. გარდა ამისა, მერიას ინციდენტის თაობაზე სამსახურისთვის და მონაცემთა სუბიექტებისთვის ინფორმაცია არ მიუწოდებია. აღნიშნული საქმის შესწავლისას ყურადღება შემდეგ საკითხებზე გამახვილდა:

ელექტრონულ სისტემაში მომხმარებლის რეგისტრაციის მეთოდი იძლეოდა სხვა პირის საიდენტიფიკაციო მონაცემებით რეგისტრაციის შესაძლებლობას. კერძოდ, მომხმარებლის ანგარიშის შესაქმნელად საჭირო იყო ორი ზუსტი, ამასთან (საჯაროდ ხელმისაწვდომი ინფორმაციიდან გამომდინარე), ადვილად მოპოვებადი მონაცემი გვარი და პირადი ნომერი, ხოლო ელექტრონული ფოსტის მისამართად და სატელეფონო ნომრად შეიძლებოდა მონაცემების გამოყენება, რომლებსაც რეგისტრაციის განმახორციელებელი პირი ფლობდა. შესწავლის შედეგად დადგინდა, რომ, ზემოაღნიშნულ ელექტრონულ სისტემაში რამდენიმე მომხმარებლის ანგარიშის რეგისტრაციის მიზნით, ინციდენტის განმახორციელებელმა სუბიექტმა, სავარაუდოდ, საჯაროდ ხელმისაწვდომი წყაროებიდან მიითვისა მონაცემთა სუბიექტების პერსონალური მონაცემები (გვარი და პირადი ნომერი).

თავის მხრივ, აღნიშნული პირები სამეწარმეო სუბიექტების დირექტორები/ხელმძღვანელები იყვნენ. ინციდენტის განმახორციელებელმა პირმა ზემოაღნიშნულ ელექტრონულ სისტემაში შექმნა მეწარმე სუბიექტების დირექტორების/ხელმძღვანელების მომხმარებლები, ხოლო რეგისტრაციის პროცესში გამოიყენა ერთჯერადი „Email“ სერვისის პროვაიდერების დომენზე რეგისტრირებული ელექტრონული ფოსტის მისამართები, რომელთა მეშვეობითაც მიიღო სხვა პირების მომხმარებლების რეგისტრაციის პროცესის წარმატებით დასრულებისათვის საჭირო ინფორმაცია. აღნიშნულის შემდეგ, მითითებული ელექტრონული სისტემის ერთ-ერთი ფუნქციონალის მეშვეობით, სხვადასხვა გვარისა და პირადი ნომრის ასახვით, რამდენიმე დღის განმავლობაში მოთხოვნები გააგზავნა სსიპ  „სახელმწიფო სერვისების განვითარების სააგენტოს“ მონაცემთა ელექტრონულ ბაზაში, რომელსაც მოთხოვნის წარმატებულად გაგზავნის შემთხვევაში შესაბამისი ინფორმაციის უკან დაბრუნების ვალდებულება ხელშეკრულებით ჰქონდა აღებული.

24 ელექტრონული სისტემის ტექნიკური მოწყობიდან გამომდინარე, ინციდენტის განმახორციელებელ პირს სხვა პირების პერსონალური მონაცემების მოპოვების შესაძლებლობა ჰქონდა მხოლოდ მაშინ, თუ კონკრეტული გვარი და პირადი ნომერი რეგისტრირებული იქნებოდა როგორც სსიპ „სახელმწიფო სერვისების განვითარების სააგენტოს“ მონაცემთა ელექტრონულ ბაზაში, ისე – თავად სააგენტოს მართვის/ადმინისტრირების ქვეშ არსებულ ელექტრონულ სისტემაში. გაგზავნილი ასიათასობით მოთხოვნიდან ათეულობით ათას შემთხვევაში ორივე ბაზაში ერთმანეთს დაემთხვა ფიზიკური პირების გვარები და პირადი ნომრები. შესაბამისად, ინციდენტის განმახორციელებელმა პირმა მოიპოვა რამდენიმე ათეულობით ათასი პირის სხვადასხვა პერსონალური მონაცემი (მაგალითად: ტელეფონის ნომერი, მისამართი, ელექტრონული ფოსტის მისამართი და სხვა).

შეფასებული უსაფრთხოების ზომების მიხედვით, ინციდენტი რამდენიმე ფაქტორმა გამოიწვია, მათ შორის: ელექტრონული სისტემა იძლეოდა უცხო ფიზიკური პირის პირადი ნომრის, ასევე – გვარის მითითებითა და ნებისმიერი აქტიური ელექტრონული ფოსტის მისამართისა და მობილური ტელეფონის ნომრით ვერიფიცირების შესაძლებლობას. ამასთან, სსიპ  „სახელმწიფო სერვისების განვითარების სააგენტოს“ მონაცემთა ბაზიდან ინფორმაციის გამოთხოვის პროცესში გათვალისწინებული არ იყო კომპიუტერისა და ადამიანის განმასხვავებელი სრულად ავტომატური „ტურინგის ტესტი“ („Re Capture“ ფუნქციონალი), რაც მნიშვნელოვანია მავნე პროგრამული საშუალებების არამართლზომიერი ქმედებების თავიდან ასაცილებლად. გარდა ამისა, ინციდენტამდე პერიოდში პერსონალური მონაცემების ავტომატური გამოთხოვის მეთოდით სსიპ  „სახელმწიფო სერვისების განვითარების სააგენტოდან“ შესაძლებელი იყო ერთდროულად ყველა იმ მონაცემის მოპოვება, რომლებიც გათვალისწინებული იყო შესაბამისი ხელშეკრულებით, თუმცა ამ მონაცემებიდან სხვადასხვა სერვისს განსხვავებული მოცულობის ინფორმაცია სჭირდებოდა. ასევე, უწყებას შემუშავებული არ ჰქონდა ელექტრონულ სისტემაში მონაცემების მიმართ განხორციელებული მოქმედებების აღრიცხვის (ე. წ. „ლოგირების“) სრულყოფილი მექანიზმი და გათვალისწინებული არ იყო ინციდენტის დროული გამოვლენისთვის მნიშვნელოვანი ორგანიზაციულ-ტექნიკური ზომები, რაც არსებითია ინციდენტის შეწყვეტისა და მავნე შედეგების შემსუბუქებისათვის.

საქმის შესწავლის ფარგლებში მოპოვებულ მტკიცებულებებსა და ინციდენტის გამოვლენისა და შეფასების მარეგულირებელ ნორმატიულ აქტებზე დაყრდნობით, სამსახურმა განსაზღვრა გამოვლენილი ინციდენტის თავისებურებები და დაადგინა, რომ ადამიანის უფლებებისა და თავისუფლებებისათვის ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის მაღალი ალბათობა არსებობდა; მოცემული საკითხის შეფასებისას კი მხედველობაში სხვადასხვა ფაქტორი იქნა მიღებული ― მაგალითად: ინციდენტის სახე, მონაცემთა სუბიექტების რაოდენობა, დამუშავებისათვის პასუხისმგებელი სუბიექტის საქმიანობის განსაკუთრებული ხასიათი და მონაცემთა სუბიექტების იდენტიფიცირების შესაძლებლობის ხარისხი. შესწავლის ფარგლებში დადგინდა სააგენტოს მიერ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე და 28-ე მუხლის, ხოლო მერიის მიერ ― კანონის 28-ე, 29-ე და 30-ე მუხლების 25 დარღვევა. შესაბამისად, დამუშავებაზე უფლებამოსილი პირი სამართალდამრღვევად იქნა ცნობილი ამავე კანონის 76-ე და 77-ე მუხლებით გათვალისწინებული სამართალდარღვევისთვის, ხოლო დამუშავებისთვის პასუხისმგებელი პირი  77-ე, 78-ე და 79-ე მუხლებით გათვალისწინებული სამართალდარღვევებისთვის.