Aarogya Setu แอพติดตาม Covid-19 ของอินเดียที่มีการดาวน์โหลดมากกว่า 100 ล้านครั้งตั้งแต่เปิดตัว กำลังเผชิญกับปัญหาความน่าเชื่อถือ เพียงหนึ่งวันหลังจากรัฐบาลกลางประกาศข้อมูลและโปรโตคอลการแบ่งปันความรู้สำหรับแอปเพื่อสงบการสั่นสะเทือนด้านความปลอดภัยของผู้ใช้ แฮ็กเกอร์อ้างว่าได้ละเมิดแล้ว วิศวกรซอฟต์แวร์ในบังกาลอร์หรือที่รู้จักในชื่อ Jay อ้างว่าได้แฮ็กแอปโดยการข้ามหน้าที่ขอข้อมูลส่วนบุคคลเกี่ยวกับผู้ใช้ เช่น อายุ เพศ ตัวตรวจสอบอาการ และประวัติการเดินทาง เขาบอก Buzzfeed ว่าเขาเข้าถึงแอปได้สำเร็จโดยไม่ได้ให้สิทธิ์ที่จำเป็น นี่เป็นครั้งที่สองที่มีการตั้งคำถามอย่างจริงจังเกี่ยวกับความปลอดภัยของข้อมูลและการรักษาความลับเกี่ยวกับแอปติดตามไวรัสโคโรนาของอินเดีย ซึ่งได้รับคำชื่นชมจากผู้อำนวยการใหญ่ขององค์การอนามัยโลกเช่นกัน เทดรอส อัดฮานอม ธนาคารโลก และบิล เกตส์ ผู้ก่อตั้งไมโครซอฟต์ รัฐบาลกลางรีบหักล้างข้อกล่าวหาของแฮ็กเกอร์ที่มีจริยธรรมชาวฝรั่งเศส Elliot Alderson ซึ่งใช้โซเชียลมีเดียของเขาเพื่อติดต่อกับนักพัฒนาแอป กระทรวงอิเล็กทรอนิกส์และเทคโนโลยีสารสนเทศ (MEIT) ซึ่งเป็นแผนกสำคัญในฝ่ายบริหารส่วนกลางกล่าวว่าเป็นไปไม่ได้ที่จะแฮ็กแอป Aarogya Setu ซึ่งเป็นคำกล่าวอ้างที่ดูเหมือนจะตกหล่น แบนเลย
เมื่อ 2 วันก่อน อินเดียเปิดตัวแอปมือถือ "to fight #COVID19" ฉันติดตั้งแอปแล้วและเหลือเวลาอีก 1 ชั่วโมง มาดูกันว่าฉันจะหาอะไรได้บ้าง https://t.co/KAJ6RjkQMf3 เมษายน 2020 แฮ็กเกอร์ชาวบังกาลอร์กล่าวว่าเขาได้ฟ้องร้อง Aarogya Setu เนื่องจากคัดค้านการตัดสินใจของรัฐบาลกลางในการบังคับใช้ โดยเฉพาะอย่างยิ่งสำหรับการเดินทางทางอากาศและทางรถไฟ บางภูมิภาค เช่น NOIDA ซึ่งอยู่ติดกับเมืองหลวงของนิวเดลี ได้บังคับใช้ค่าปรับและแม้กระทั่งขู่ว่าจะจับกุมเนื่องจากไม่มีแอปนี้บนโทรศัพท์ของตน ความครอบคลุมของโทรศัพท์มือถือในอินเดียในปัจจุบันอยู่ที่ 1.15 พันล้านคนจากประชากร 1.3 พันล้านคน ซึ่งหมายความว่าประชากรประมาณ 15% ไม่ได้เป็นส่วนหนึ่งของเครือข่ายเซลลูลาร์นอกเหนือจากส่วนใหญ่ของผู้ที่เป็นเจ้าของโทรศัพท์มือถือเพียงอย่างเดียว คุณ สามารถซื้อแกดเจ็ตพื้นฐานและโทรศัพท์ระดับล่างได้ดีที่สุด
บางคำถามที่ยาก
คำถามเกี่ยวกับความปลอดภัยและการรักษาความลับของข้อมูลเกิดขึ้นเป็นระยะๆ เนื่องจากทนายความพยายามที่จะตัดสินว่าใครจะสามารถเข้าถึงข้อมูลได้ และ Aarogya Setu จะหลับไปหรือไม่เมื่อการระบาดใหญ่ของโควิด-19 สงบลงในอนาคต ในวันจันทร์ รัฐบาลเสนอโปรโตคอลการแบ่งปันข้อมูลและความรู้สำหรับแอป พระราชกฤษฎีกาของผู้บริหารที่ออกโดย MEIT กำหนดแนวทางในการแบ่งปันข้อมูล Aarogya Setu กับหน่วยงานรัฐบาลและบุคคลที่สาม กฎหมายดังกล่าวเข้ามาแทนที่นโยบายความเป็นส่วนตัวของแอป ซึ่งผู้เชี่ยวชาญด้านกฎหมายกล่าวว่าเป็นเกราะป้องกันเดียวที่จะปกป้องประชาชนจากการใช้ข้อมูลส่วนบุคคลของตนโดยไม่ได้รับอนุญาต อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยและกฎหมายเชื่อเพียงบางส่วนว่ากฎหมายล่าสุดจำเป็นต้องได้รับการสนับสนุนจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังรอการอนุมัติจากฝ่ายนิติบัญญัติในรัฐสภา พวกเขายังกล่าวด้วยว่าพิธีสารได้รับการร่างขึ้นในเงื่อนไขทั่วไป ซึ่งสร้างความกังวล
ปัญหาที่แท้จริงอยู่ที่อื่น
ปัญหาการขาดดุลความไว้วางใจคือสิ่งที่รัฐบาลกลางกำลังพยายามแก้ไข เนื่องจากสมาชิกมือถือของอินเดียน้อยกว่าหนึ่งในสิบได้ดาวน์โหลด Aarogya Setu เหตุผลนั้นเข้าใจได้ไม่ยาก เนื่องจากจุดสำคัญของความสำเร็จของแอปพลิเคชันเพื่อยับยั้งโควิด-19 ขึ้นอยู่กับการได้มาซึ่งผู้ใช้จำนวนมากที่สำคัญ ดังที่ LaComparacion ได้กล่าวไว้เมื่อเดือนที่แล้ว และด้วยเหตุนี้รัฐบาลกลางจึงพยายามคลายความกังวลของผู้เชี่ยวชาญด้านกฎหมายและความปลอดภัยด้วยพระราชกฤษฎีกาที่กำหนดโปรโตคอลว่าใครสามารถเข้าถึงข้อมูล นานแค่ไหน และภายใต้สถานการณ์ใด ตามคำสั่งที่ลงนามโดย Ajay Prakash Sawhney เลขานุการด้านไอที Aarogya Setu อาจรวบรวมข้อมูลสี่ประเภท: ข้อมูลประชากร ผู้ติดต่อ การประเมินตนเอง และตำแหน่ง ซึ่งรวมกันเรียกว่าข้อมูลการตอบสนอง นอกจากชื่อ หมายเลขโทรศัพท์มือถือ อายุ เพศ อาชีพ และประวัติการเดินทางแล้ว แอปยังติดตามว่าใครที่ผู้ใช้เข้าใกล้ รวมถึงระยะเวลา ระยะทาง และตำแหน่งทางภูมิศาสตร์ .
รัฐบาลให้การค้ำประกัน
ขณะนี้ โปรโตคอลกำหนดว่าผู้พัฒนาแอปพลิเคชัน National Center for Informatics สามารถแบ่งปันข้อมูลส่วนบุคคลกับหน่วยงานด้านสุขภาพของหน่วยงานส่วนกลางและระดับรัฐ หน่วยงานจัดการภัยพิบัติระดับชาติและระดับชาติ และหน่วยงานรัฐบาลอื่นๆ สถาบันส่วนกลางและของรัฐและการสาธารณสุข แนวปฏิบัติที่ผู้เชี่ยวชาญด้านกฎหมายคัดค้านเนื่องจากมีการกำหนดแบบหลวมๆ คือ: "เมื่อการแบ่งปันดังกล่าวมีความจำเป็นอย่างยิ่งในการกำหนดหรือดำเนินการตอบสนองด้านสุขภาพที่เหมาะสมโดยตรง" โปรโตคอลทำให้สิ่งต่าง ๆ กำหนดไว้อย่างหลวม ๆ รวมถึงเวลาและวิธีการแบ่งปันข้อมูลกับบุคคลที่สาม เขากล่าวว่าสิ่งนี้สามารถทำได้ "ในกรณีที่จำเป็นอย่างเคร่งครัดในการกำหนดหรือดำเนินการตอบสนองด้านสุขภาพที่เหมาะสมโดยตรง" อย่างไรก็ตามมีการตรวจสอบและถ่วงดุล โปรโตคอลระบุว่าข้อมูลการตอบสนองสามารถแบ่งปันในรูปแบบที่ไม่ระบุตัวตนเท่านั้น ซึ่งหมายความว่า ยกเว้นข้อมูลประชากร ข้อมูลของบุคคลจะถูกแยกออกจากข้อมูลทั้งหมดและกำหนด ID ที่สร้างขึ้นแบบสุ่ม
แต่พอ?
กระทรวงยังเรียกร้องให้ NIC จัดทำเอกสารข้อมูลที่แบ่งปันทั้งหมดนี้และเก็บรักษารายชื่อหน่วยงานที่มีข้อมูลดังกล่าว นอกจากนี้ยังกำหนดว่าไม่มีเอนทิตีใดที่สามารถเก็บข้อมูลที่ใช้ร่วมกันได้เกิน 180 วันนับจากวันที่รวบรวม มันอ้างถึงพระราชบัญญัติการจัดการภัยพิบัติปี 2005 เพื่อกำหนดบทลงโทษสำหรับการละเมิดโปรโตคอล และเมื่อดูเหมือนว่ารัฐบาลกลางอาจไม่ต้องบิดแขนเพื่อเพิ่มการดาวน์โหลดอีกต่อไป รายงานนี้มาจากแฮ็กเกอร์ที่มีจริยธรรมอีกคนหนึ่ง แฮ็กเกอร์ในบังกาลอร์อ้างว่าเขาสร้าง Aarogya Setu เวอร์ชันของตัวเองและแชร์กับเพื่อน 15 คนและแนะนำว่าทำงานได้ไม่ดีเมื่อเทียบกับที่พัฒนาโดย Apple และ Google เนื่องจากสิ่งเหล่านี้ไม่ได้เก็บข้อมูลส่วนตัว อาจมีบทเรียนที่ National Center for Informatics สามารถรับได้จากตอนนี้ แต่ข้อเท็จจริงยังคงอยู่ว่า Aarogya Setu สามารถให้ข้อมูลที่มีค่าได้เมื่อการดาวน์โหลดถึงจุดวิกฤติ โดยเฉพาะอย่างยิ่งในโซนสีแดงและสีเหลืองอำพัน