Индийската програма за биометрични данни излага на риск самоличността на един милиард души

От Ананя Бхатачаря, 10/01/2018

Когато в началото на десетилетието съоснователят на Infosys Нандан Нилекани въведе програмата Aadhaar (http://www.businesstoday.in/…/aadhaar…/story/261996.html), мотивът беше да се осигури по-добро предоставяне на субсидии и правителствени схеми и да се избегне дублирането на пари.

Досега над един милиард индийци са се регистрирали (http://pib.nic.in/newsite/printrelease.aspx?relid=138555) за Aadhaar - 12-цифрения биометричен идентификационен номер на Индия.

С течение на времето телекомуникационните компании, банките, застрахователите и други корпорации също започнаха да използват Aadhaar за проверка на самоличността, уж за да предотвратят измами. Под ръководството на правителството на Нарендра Моди платформата се превърна от инструмент за удостоверяване в своеобразна главна база данни, която сега се използва за проверка на достоверността на други бази данни. С разширяването на прилагането ѝ през последните месеци Aadhaar се превърна почти в инструмент за принуда, като доставчиците на услуги принуждават гражданите да свързват биометричната си информация, докато опасенията относно уязвимостта на данните в платформата продължават.

На всичкото отгоре, когато пропуските в платформата излязат наяве, държавният орган за уникална идентификация на Индия (UIDAI) става отмъстителен.

На 3 януари [2018 г.] Рачна Хайра, журналист от вестник The Tribune (http://www.tribuneindia.com/…/rs-500-10-minutes…/523361.html), публикува доклад, в който подробно описва как е платила само 500 рупии (7,84 долара), за да купи данни за Aadhaar от анонимен продавач през WhatsApp - нещо, което UIDAI отрича, че е резултат от неуспешна защита.

Два дни след публикуването на статията UIDAI подава първичен доклад за разследване (FIR) (http://www.livemint.com/…/Aadhaar-data-breach-UIDAI-files…) не само срещу хората, продали данните, но и срещу самата Хайра. Въпреки че агенцията отрича да е „стреляла по вестоносеца“ (http://www.huffingtonpost.in/…/were-not-shooting-the…/), критиците не са убедени в това.

Седем от всеки десет индийци не одобряват този ход на UIDAI, показва скорошно проучване сред 6 259 граждани, проведено от социалната мрежа LocalCircles. Междувременно Гилдията на редакторите в Индия го осъжда като нападение срещу пресата (http://indianexpress.com/…/aadhaar-data-breach-story-uidai…/).

„Мислех, че тези, които показват грешките в системата, ще бъдат възнаградени“, казва пред Quartz Уша Раманатан, независим изследовател в областта на правото. „(UIDAI) не поема никаква отговорност за случващото се. Вместо това те използват Закона за Aadhaar от 2016 г., за да си присвоят правото да решават кой да бъде обвинен в престъпление. Всичко, което се прави, е да се заглушат онези, които откриват недостатъци в системата.“

За да предотврати бъдещи нарушения, на 9 януари UIDAI отне достъпа на около 5000 определени служители (https://economictimes.indiatimes.com/articles…/62423133.cms…) - както правителствени, така и частни оператори - които са участвали като посредници в екосистемата. „Това е поне четвъртият път, в който UIDAI преследва информатора“, казва Ретика Хера, професор по икономика в Индийския технологичен институт (IIT) в Делхи, която е изследвала въздействието (https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3045235) на Aadhaar върху социалните програми.

През март 2017 г. е подадена жалба в полицията срещу Самир Кочхар, ръководител на базирания в Гургаон мозъчен тръст Skoch Development Foundation, за споделяне на видеоклип (https://scroll.in/…/security-of-aadhaars-data-is-under…), в който се демонстрира как се извършват неоторизирани транзакции чрез възпроизвеждане на съхранени биометрични данни. Между другото, това е същата злоупотреба, заради която властите спряха транзакциите (http://www.livemint.com/…/UIDAI-temporarily-halts-Aadhaar…), базирани на Aadhaar, от Axis Bank и платформи за проверка като Suvidha и eMudhra. През същия месец е подадена първичен доклад за разследване срещу журналист от CNN-News 18 (https://thewire.in/…/aadhaar-sting-uidai-files-fir…/), който е провел операция за получаване на два отделни регистрационни номера в Aadhaar с един и същ набор от биометрични данни. След това, през май, когато Центърът за интернет сигурност (CIS) разкри, че са изтекли 130 милиона данни от Aadhaar (https://www.ndtv.com/…/13-crore-aadhaar-leaked-due-to-poor…), UIDAI го постави под въпрос заради възможни хакерски атаки (https://www.ndtv.com/…/aadhaar-issuing-authority-uidai-asks…).

След като на Центъра за интернет сигурност бяха връчени съдебни известия, акаунтите в Twitter на техните изследователи - някога активен източник на информация за всичко, свързано с Aadhaar - бяха „сведени до нула за известно време, а сега са на привършване“, каза Хера. „UIDAI успя да създаде огромен смразяващ ефект.“

ДУПКИ В СИСТЕМАТА

През април миналата година по време на интервю за Quartz Аджай Бхушан Пандей, главният изпълнителен директор на UIDAI, категорично отрече да е имало нарушения на данните. UIDAI твърди, че нейните бази данни са напълно защитени.

Дори и да е така, това не означава, че в цялата екосистема на Aadhaar няма изтичане на информация. „Не мисля, че трябва да се подценява потенциалният риск от изтичане и нарушаване на сигурността на данните, когато се предоставят лични данни“, казва Пранеш Пракаш, директор по политиките в Центъра за интернет сигурност, като добавя, че базите данни, свързани с Aadhaar, са на разположение на всички държавни правителства и на много други хора в екосистемата.

Още през 2015 г. данните са били използвани за измама на банкови клиенти (http://indianexpress.com/…/five-more-cases-of-aadhaar…/). През април 2017 г. данните от Aadhaar на над един милион пенсионери (http://www.hindustantimes.com/…/story…) бяха разкрити поради програмна грешка в уебсайта, поддържан от Дирекцията за социално осигуряване на Джаркханд. „Все повече лична информация в публичното пространство, включително телефонни номера, адреси и дата на раждане... всяка допълнителна информация улеснява измамите с лични данни“, обяснява Пракаш.

Пракаш обаче подчертава, че проблемът се простира отвъд Aadhaar. „Грешка е да се смята, че това е проблем само на UIDAI и нейните системи. В Индия се сблъсквате с много по-голям проблем“, добави той. „Онези, които смятат, че премахването на Aadhaar ще реши проблема със защитата на данните и наблюдението, много се лъжат.“

През ноември 2017 г. Airtel Payments Bank попадна под прицел (https://timesofindia.indiatimes.com/…/articles…/61856681.cms) за нарушаване на Закона за Aadhaar чрез откриване на сметки без изрично съгласие при извършване на проверка на мобилните номера на клиентите с Aadhaar. Съобщава се, че над 2,3 милиона клиенти (http://www.thehindubusinessline.com/…/article9995428.ece) са получили общо 470 млн. рупии (7,4 милиона долара) в банковите си сметки в Airtel, за които дори не са знаели, че съществуват. Лицензът на цифровата банка за електронно опознаване на клиента (eKYC) беше отнет и скоро след това Шаши Арора, главен изпълнителен директор на банката за разплащания на Airtel, подаде документите си (http://www.livemint.com/…/Airtel-Payments-Bank-CEO-Shashi…).

„Хората казват, че сме паникьори, но всъщност това се случва и е само началото“, казва Кхера. „Вместо да натискат спирачката, те натискат педала на газта.“ Обществените настроения изглежда отразяват тази тревога: повече от половината от 7608 граждани, анкетирани от LocalCircles, заявиха, че са загрижени за способността на правителствените агенции да защитят данните им в Aadhaar.

ПРИНУДИТЕЛНА ДОБРОВОЛНА ПРОГРАМА

Наред с това гражданите на Индия почти насила се включват в програмата от всички посоки.

Правителството на Моди агресивно настоява за въвеждането на Aadhaar във възможно най-много услуги и системи, като намира правни гаранции, „за да осигури задължителното спазване на това, което започна като доброволна програма“, казва пред Quartz Санджай Хегде, старши адвокат във Върховния съд на Индия. Например съгласно изменението на Закона за прането на пари банковите сметки с повече от 50 000 рупии (http://indianexpress.com/…/aadhaar-must-for-bank-accounts…/) трябва да бъдат свързани с Aadhaar, обяснява Хегде. Освен това правителството въведе задължително свързване на мобилните номера с Aadhaar въз основа на констатациите на неправителствената фондация Lokniti, че с непроверени SIM карти се злоупотребява и те представляват сериозна заплаха за националната сигурност.

По-рано данъкоплатците имаха срок до края на 2017 г. да свържат Aadhaar с постоянните си номера на сметки.

Но с оглед на множеството висящи дела във Върховния съд, които оспорват това задължително свързване (http://www.livemint.com/…/Aadhaar-mandatory-linking-case-SC…), правителството удължи срока до 31 март 2018 г. (https://www.ndtv.com/…/aadhaar-pan-linkage-government-to…). Дотогава потребителите на мобилни телефони и притежателите на банкови сметки също трябва да свържат номерата си в Aadhaar с тези услуги.

„Дори и днес, съгласно приетия от парламента Закон за Aadhaar, участието е доброволно, но доброволността е като аргумента на Хенри Форд, че „можеш да имаш всякакъв цвят, стига да е черен““, казва Хегде.

Това се прави, въпреки че няма прозрачни и убедителни доказателства за това колко пари наистина се спестяват от програмата. От друга страна, Aadhaar е създала „лесно достъпна единствена цел за киберпрестъпниците“, заявиха изследователи от Резервната банка на Индия (RBI) (http://www.business-standard.com/…/rbi-researchers-say…) в документ от октомври 2017 г., като посочиха проблеми с качеството на удостоверяването, неясни финансови ползи и опасения за сигурността.

Опасенията за нарушаване на неприкосновеността на личния живот са големи и поради факта, че Индия все още няма закон за неприкосновеността на личния живот на хартия. Комисията Шрикришна работи по проект (https://economictimes.indiatimes.com/…/article…/61829256.cms).

И дори при доброволното предоставяне на информация от Aadhaar има много пропуски: Технически всяка база данни, използваща Aadhaar, е защитена от отделен закон, каза архитектът на Aadhaar Нилекани пред Quartz през април 2017 г. (https://qz.com/…/uidais-ceo-vouches-for-aadhaars-safety…/). Банковите данни попадат в обхвата на Закона за банковата тайна, а данните PAN - в обхвата на Закона за данъка върху доходите и т. н., и съществуват закони, които забраняват споделянето на тези бази данни. Това обаче не означава, че липсва кръстосано свързване. „Разбира се, че се случва, и то безразсъдно. Всеки бюрократ, който отговаря за някоя програма, иска Aadhaar“, казва Хегде.

По време на публикуването UIDAI не отговори на Quartz относно предполагаемата принуда и опасенията за сигурността.

Сега всички погледи са насочени към съдилищата. Петчленен състав на Върховния съд, ръководен от главния съдия Дипак Мисра, ще проведе заключителните изслушвания (http://www.thehindu.com/…/hearing-on…/article21663943.ece) относно валидността на схемата Aadhaar, оспорена в 24 отделни петиции, от 17 януари. Тези петиции изразяват загриженост относно масовото наблюдение (https://timesofindia.indiatimes.com/…/articles…/62057589.cms). Една от тях, подадена от Калиани Менон Сен, активистка за правата на жените, се противопоставя на свързването на Aadhaar с мобилните номера поради нарушаване на неприкосновеността на личния живот (http://www.thehindu.com/…/sc-to-hear…/article19865574.ece). В друга петиция банковите служители се оплакват, че не разполагат с необходимата честотна лента (https://timesofindia.indiatimes.com/…/articles…/61500665.cms), за да предлагат услугите на Aadhaar.

Дотогава това, което трябваше да бъде демонстративно технологично постижение на най-голямата демокрация в света, остава риск.

Превод на български - Страничката "Монтагю Кийн"

Източник: https://qz.com/india/1174285/aadhaar-indias-biometric-id-project-putting-the-identities-and-personal-data-of-millions-at-risk?fbclid=IwAR2aL3J7C5yNYG1Hr8YU1ilrnrbvAgdnbvHT27qK09OZ_15T5LCWCPqG0Ew