Thứ bảy Aarogya: NITI bảo vệ việc thực hiện chống lại sự chỉ trích của các nhóm bảo mật Aayog

NITI Aayog, 2 Vào tháng Tư, ông đã ra mắt ứng dụng Aarogya Setu, được tạo ra như một giải pháp để nâng cao nhận thức và truyền bá về COVID-19 bởi một nhóm tình nguyện viên công dân và các cơ quan chính phủ. Ứng dụng đa nền tảng Aarogya Setu đã vượt quá năm triệu lượt tải xuống chỉ sau 13 ngày. Trước mắt, đây là một trong những ứng dụng được tải xuống nhanh nhất trong cả nước, nhưng điều này đã đạt được nhờ bài phát biểu của Thủ tướng Narendra Modi vào thứ ba, ngày 14 tháng 4, và lời kêu gọi cá nhân của ông đối với công chúng đằng sau nhiều cảnh.

Tin nhắn từ Cục Viễn thông (DoT) yêu cầu mọi người tải xuống ứng dụng của họ hàng ngày. Các chiến dịch trên phương tiện truyền thông xã hội và các chương trình khuyến mãi của các công ty mới thành lập cũng yêu cầu các khoa, sinh viên và phụ huynh tải xuống ứng dụng, cũng như các mạch từ các tổ chức như CBSE. Nhờ các biện pháp như vậy, trong vòng chưa đầy hai tuần 5 nó đã thực hiện một triệu lượt tải xuống, nhưng con số này cũng đã tạo ra rất nhiều báo động ở Ấn Độ. Các chuyên gia về quyền riêng tư đang bày tỏ mối quan ngại của họ về ứng dụng Aarogya hôm thứ Bảy, sợ rằng mọi người sẽ mất đi sự tự do của họ, và tính năng sàng lọc sẽ thấy rằng chính phủ cũng sẽ sử dụng các dấu hiệu liên lạc thường gặp trong dịch coronavirus, cũng đang thảo luận.

Các chuyên gia nói rằng ứng dụng Aarogya Setu không đáp ứng các tiêu chuẩn được đặt ra ở Singapore và các quốc gia khác. Ứng dụng này thu thập nhiều dữ liệu hơn mức cần thiết để phát hiện mọi người hoặc nâng cao nhận thức về COVID-19. Tuy nhiên, Tiện ích 360 đã nói chuyện với Arnab Kumar, Giám đốc Chương trình NITI Aayog của Frontier Technologies, người đã giải quyết một số vấn đề này. Theo Kumar, công việc triển khai Aarogya Setu bắt đầu vào ngày 16 hoặc 17 tháng 3, chỉ vài ngày trước khi chính thức ra mắt ứng dụng TraceTogether từ chính phủ Singapore vào ngày 20 tháng 3.

Mặc dù tính năng tìm kiếm mọi người làm cho ứng dụng Aarogya Setu tương tự như TraceTogether, nhưng nó có nhiều điểm khác biệt và là tính năng theo dõi vị trí dựa trên GPS cũng như sử dụng kết nối Bluetooth giữa chúng. Kumar nói với Gadgets 360 rằng mục đích của việc yêu cầu thông tin GPS là xác định vị trí chính xác của người bị nhiễm bệnh, để xác định các điểm nóng mới và hướng lây nhiễm.

“Chúng tôi không sử dụng vị trí riêng lẻ, chúng tôi sử dụng chung.” Ông nói thêm rằng thông tin vị trí được ghi lại thông qua ứng dụng chỉ được chuyển đến máy chủ nếu người dùng có nguy cơ nhiễm COVID-19 dương tính hoặc nhiễm trùng cao. Tuy nhiên, bản thân ứng dụng không tiết lộ rõ ​​ràng dữ liệu nào được thu thập, nơi lưu trữ tất cả thông tin hoặc chính sách nào có sẵn để xóa nó khỏi máy chủ đám mây – các điều khoản dịch vụ ban đầu không nêu chi tiết về chính sách lưu trữ hoặc bảo vệ dữ liệu và chỉ được thêm sau vài ngày. Ngoài ra, việc thiếu các chỉ tiêu bảo vệ dữ liệu rõ ràng ở Ấn Độ và kết quả là một quả bom hẹn giờ – cho đến khi Quân đội Ấn Độ ra lệnh cho các sĩ quan Quân đội Ấn Độ không sử dụng các ứng dụng di động của Aarogya Setu trong văn phòng, nơi làm việc và các địa điểm nhạy cảm của họ, theo báo cáo của IANS.

‘Nguy cơ phân biệt đối xử’
Tại Tổ chức Tự do Internet (IFF), Sidharth Deb, Chính sách và Cố vấn Nghị viện không phải là cơ quan chính phủ ủng hộ quyền kỹ thuật số, “Có nguy cơ bị phân biệt đối xử trong toàn bộ xã hội hoặc mô hình con người từ một nền kinh tế xã hội cụ thể.” Deb đã đánh giá cấu trúc của ứng dụng Aarogya Setu về quyền riêng tư và bảo mật dữ liệu trong một tờ báo đang phát triển.

Giám đốc pháp lý của Trung tâm phần mềm Ấn Độ Ấn Độ Prasanth Sugathan (SFLC.in) chỉ ra rằng ứng dụng Aarogya Setu thu được dữ liệu cá nhân vì nó không chỉ thu thập dữ liệu số lượng lớn mà còn nhắc người dùng cung cấp số điện thoại của họ để đăng ký ở giai đoạn đầu tiên. “Dữ liệu từ các điện thoại riêng lẻ vẫn sẽ phụ thuộc vào số điện thoại riêng lẻ và do đó nhận dạng cá nhân.” Nói. Việc ẩn danh dữ liệu số lượng lớn đã được biết đến từ lâu – tái hòa nhập dữ liệu là một nhiệm vụ lớn và các nghiên cứu cho thấy dữ liệu “ẩn danh” không bao giờ có thể ẩn danh hoàn toàn.

Kumar của NITI Aayog nói với Gadgets 360 rằng hệ thống có khóa giết để xóa dữ liệu khỏi thiết bị của người dùng trong vòng 30 ngày và xóa nó khỏi máy chủ trong vòng 45 ngày nếu cá nhân đó không gặp rủi ro. Trong trường hợp có rủi ro, máy chủ sẽ xóa dữ liệu này trong vòng 60 ngày. “Chúng tôi đang làm việc để phát triển một giải pháp tạm thời cho vấn đề này”, ông nói.

Tuy nhiên, Deb lập luận rằng có một phạm vi tùy chọn mà chính phủ có thể sử dụng vì một lý do cụ thể để xóa bộ dữ liệu mà nó nhận được khỏi ứng dụng. “Hợp đồng hứa hẹn cho thấy có chỗ cho chính phủ có những lý do nhất định để không xóa dữ liệu.” Sugathan nói rằng khóa kill không chắc chắn liệu nó chỉ hoạt động đối với cơ sở dữ liệu cục bộ được lưu trữ trên thiết bị người dùng hay cho cơ sở dữ liệu từ xa. Ngoài ra còn có mong muốn cho phép người dùng xóa dữ liệu của họ mà không áp dụng nó sau khi nó đã ngừng sử dụng hoặc đại dịch đã kết thúc. Tuy nhiên, Kumar nói rằng chính phủ hiện không có kế hoạch như vậy.

Không có chi tiết cụ thể về mã nguồn mở
Một cách chính phủ có thể giải thích cách ứng dụng Aarogya Setu hoạt động là mở mã. Chính phủ Singapore đã làm điều này cho ứng dụng mới nhất của mình. Tuy nhiên, Kumar từ Nay Aayog nói rằng cô dự định mở nguồn mã, nhưng sẽ mất nhiều thời gian. Kumar nói với Gadgets 360: “Chúng tôi không thể so sánh mô hình của mình với những người ở Singapore, vì họ có dân số năm triệu, chúng tôi sẽ vượt qua con số năm triệu giờ ngay sau khi ra mắt ứng dụng. Tuy nhiên, sẽ mất vài tuần để Singapore mở nguồn”, Kumar nói với Gadgets 360. tuy nhiên, nó không giải thích người dân nước này nên làm gì bằng cách xuất bản mã nguồn của họ.

Ông nói thêm rằng trọng tâm của nhóm là mở rộng khả năng của ứng dụng hơn là tập trung vào mã nguồn mở.

“Cập nhật mã nguồn mở thường xuyên không khác gì tiếp tục dự án nguồn đóng”, Sugathan từ SFLC.in nói. “Chỉ mất một phút để cập nhật mã nguồn và nếu họ mở ứng dụng, cộng đồng nhà phát triển Ấn Độ và phần còn lại của thế giới sẽ sẵn lòng giúp đỡ bạn.” Deb của IFF nói thêm rằng mặc dù mã nguồn mở hiện không có sẵn cho nhóm, nhưng ít nhất nên có một số cuộc đối thoại mở xung quanh dòng thời gian vì các chính phủ sẽ phát hành mã truy cập công khai. “Mã nguồn mở là một trong nhiều cách họ nên làm để tạo sự minh bạch.”

Mô hình công-tư
Danh sách ứng dụng của Aarogya Setu chỉ ra rằng nó đã được phát triển bởi Trung tâm thông tin quốc gia (NIC). Tuy nhiên, NITI nói với Aayog Kumar Gadgets 360 rằng ứng dụng được phát triển theo mô hình công-tư – một nhóm các cá nhân “tự nguyện” tham gia với các quan chức chính phủ. “Mặc dù mô hình công-tư là một cách hữu ích để mở rộng quy mô công nghệ như vậy, nhưng bạn nên cẩn thận khi sử dụng công nghệ này”, Deb IFF nói. Nói. “Nó được tạo ra để trở thành một hệ thống tạm thời và nếu bạn muốn làm cho nó có trách nhiệm, bạn cần một cái gì đó giống như một khung pháp lý cơ bản hoặc một cái gì đó làm cho các tổ chức công cộng hoặc quan hệ đối tác chịu trách nhiệm.”

Tuy nhiên, Kumar cho biết quá trình phát triển liên quan đến nhiều tài sản, nhưng dữ liệu được kiểm soát hoàn toàn bởi NIC.

“Cuối cùng, trong khi NIC duy trì cơ sở hạ tầng này, thì cơ sở hạ tầng tương tự có thể kết nối với các cơ sở dữ liệu khác của chính phủ”, Deb nói. Nói. Ngoài ra, Sugathan từ SFLC.in sẽ có thể tải lên dữ liệu ứng dụng vì cơ sở dữ liệu ứng dụng được lưu trữ trên các máy chủ của Google. Amazon Sử dụng các giải pháp phân tích và cơ sở dữ liệu của Google Firebase (AWS) và Google Firebase ở trên, thật khó để nói rằng dữ liệu người dùng nằm trong tay của NIC. “Sử dụng cơ sở hạ tầng máy chủ của bên thứ ba có thể không phải là một rủi ro bảo mật. Nhưng lý tưởng nhất, với tư cách là một cơ quan Chính phủ, dữ liệu phải nằm dưới cơ sở hạ tầng NIC.” Nói.

Chính phủ cho đến nay đã thành lập một ủy ban để phát triển mô hình hiện có. Nhưng đây không chỉ là để giải quyết các vấn đề bảo mật – tính năng quét, đã được các chuyên gia bảo mật cảnh báo kể từ khi ứng dụng được tung ra, sẽ sớm có kế hoạch sử dụng “trí tuệ nhân tạo” và có kế hoạch truyền bá thông tin về các trung tâm phân phối gần đó bằng GPS và cung cấp dịch vụ chăm sóc sức khỏe từ xa. Kumar nói thêm rằng nhóm đang làm việc để cải thiện ứng dụng cho thiết bị di động, tập trung phản hồi tương tác (IVR) và phiên bản COSOS cho người dùng Jio Phone được phát triển để thử nghiệm.

“Sự phát triển này không hoàn toàn phù hợp với nguyên tắc hạn chế mục tiêu, đó là một cấu trúc cơ bản của quyền riêng tư thông tin và quyền riêng tư của mọi người”, IFF nói với Deb Gadgets 360. Nói.