საქართველოში კორონავირუსის პირველი შემთხვევა 26 თებერვალს დაფიქსირდა, მას შემდეგ ქვეყანა, უხილავ მტერთან ბრძოლაში ჩაერთო. ბრძოლაში რომელშიც ეკონომიკის რამდენიმე სექტორი მნიშვნელოვნად დაზარალდა. დღეს კორონავირუსის 17, 477 დადასტურებული შემთხვევაა, ეპიდემიოლოგიური მდგომარეობა დღითი დღე რთულდება, სახელმწიფო უწყებები ყოველ დილით მნიშვნელოვნად გაზრდილ სტატისტიკას გვამცნობენ. ჯანდაცვის სექტორი მნიშვნელოვანი გამოწვევის წინაშე დგას. აქტიურად მიმდინარეობს საუბარი კორონავირუსის რეგისტრაციის დაგვიანების ფაქტებზე, რა დროსაც მოქალქეებისთვის პასუხების მიწოდების პროცესი ფერხდება. არეულია ტესტის აღების და დიაგნოზის დასმის დღეები. მოსახლეობა კი საფრთხის ქვეშაა, რადგან შესაძლებელია COVID პოზიტიური დაუდგენელი შემთხვევები ეპიდემიის გავრცელებას უწყობდეს ხელს.
კორონავირუსის პირველი შემთხვევის დადასტურებიდან რვა თვის შემდეგ, კომერსანტმა გაარკვია, რომ დაავადებათა კონტროლის ცენტრს სახელმწიფო ინსპექტორის სამსახურმა, მის დაქვემდებარებაში არსებული ლაბორატორიებისთვის გარკვეული მექანიზმის დაწესება დაავალა, რათა არაუფლებამოსილ პირებს ელექტრონულ მოდულებთან წვდომა არ ჰქონოდა. სამედიცინო დაწესებულებებში პერსონალური მონაცემების დაცვის მიზნით, ორდონიანი ავთენტიფიკაციის მექანიზმი უნდა იქნას გამოყენებული.
დოკუმენტში ვკითხულობთ, რომ დიდი რაოდენობით მომხმარებლების და მათი უფლებების მართვის მიზნით ცენტრში შეიქმნა ახალი ელექტრონული მოდული „სისტემის მომხმარებლები“, რომელიც განთავსებულია პორტალ portal.ncdc.ge- ზე.
აქამდე პაციენტის რეგისტრაციას უშუალოდ ის ექიმი ან ლაბორანტი ახდენდა, რომელიც მასალას იღებდა, თუმცა ახალი დადგენილების მიხედვით სამედიცონო დაწესებულებას ეყოლება ერთი უფლებამოსილი პირი და პორტალთან მხოლოდ მას sms კოდის საშუალებით ექნება წვდომა.
კომერსანტი დაინტერესდა რეალურად ისახავს თუ არა მიზნად ახალი დადგენილება პერსონალური მონაცემების დაცვას თუ ეს არის ახალი მექანიზმი, რომლითაც საქართველოს მთავრობამ მათთვის არასასურველი ინფორმაციის გავრცელებას შეუშლის ხელს.
ჯანდაცვის ექსპერტი ვატო სურგულაძე აცხადებს, რომ პერსონალური მონაცემების დაცვის მიზნით ამოქმედებული დადგენილება შეიძლება ქვეყანაში ჯანმრთელობის მდგომარეობის მონაცემების მანიპულირების მექანიზმი გახდეს. მისი განმარტებით ახალმა სისტემამ შეიძლება ელექტრონულ სისტემაში უფრო მეტი ქაოსი გამოიწვიოს.
„როგორც სამედიცინო დაწესებულებებში ამბობენ, სისტემა ძალიან არეულია, ბევრ ადამიანს აქვს წვდომა მონაცემებთან, ამიტომ უნდა არსებობდეს ერთი ადამიანი. ახალი სისტემა საკმაოდ რთულია, ყველაფერს სწავლა უნდა, თუ ეს ადამიანი დააგვიანებს ინფორმაციის შეტანას, შემდეგ შეიძლება მონაცემი საერთოდ ვეღარ ატვირთოს. პირველ ეტაპზე ამ ცვლილებას შეიძლება მოჰყვეს ისეთი უზუსტობები როგორიცაა, ინფორმაციის მიწოდების დაგვიანება, უზუსტობა ამის მიზეზი შეიძლება იყოს: ინფორმაციული სისტემის გაუმართაობა, სამედიცინო დაწესებულების პასუხისმგებელი პირების მოუმზადებლობა, პრობლემები SMS გაგზავნა - მიღებაში. ყველაზე ცუდი არის, ის, რომ დადგენილება ძალაში 25 ოქტომბრიდან შედის. რატომ ხდება ეს წინასაარჩევნოდ, ხომ შეიძლება ბრძანება 1 ნოემბრიდან ამოქმედებულიყო. გადაწყვეტილებამ შეიძლება სტატისტიკაში სრული ქაოსი გამოიწვიოს. მნიშვნელოვნად შემცირდეს ან გაიზარდო ინფიცირებულთა რაოდენობა, რასაც შემდეგ სისტემას დააბრალებენ. ინფორმაციას ვინც ფლობს, ის ფლობს სიტუაციასაც ბრძანება კარგი, უბრალოდ ამუშავების დრო არის შეუსაბამო“, - განმარტავს ვატო სურგულაძე.
რატომ გახდა საჭირო კორონავირუსის პირველი შემთხვევის დადასტურებიდან რვა თვის შემდეგ ახალი დადგენილების ამოქმედებაა? ამ კითხვით „კომერსანტი“ სახელმწიფო ინსპექტორის სამსახურს დაუკავშირდა. სახელმწიფო ორგანოში აცხადებენ, რომ მოქალაქის შეტყობინების საფუძველზე დაავადებათა კონტროლის ცენტრში მოკვლევა ჩატარდა, რის შემდეგაც ინსპექტორის სამსახურმა ბრძანება გამოსცა. როდის მიმართა მოქალაქემ ინსპექტორის სამსახურს? რა დადგინდა მოკვლევით და იყო თუ არა ადმიანის პირადი მონაცემები დაცული ამ კითხვებზე პასუხი ლონდა თოლორაიას უწყებისგან ვერ მივიღეთ.
„სახელმწიფო ინსპექტორის სამსახურმა მოქალაქის შეტყობინების საფუძველზე ჩაატარა სსიპ ლ. საყვარელიძის სახელობის დაავადებათა კონტროლისა და საზოგადოებრივი ჯანმრთელობის ეროვნული ცენტრის შემოწმება. სამსახურმა შეისწავლა COVID-19-ზე ტესტირების აღრიცხვის ელექტრონულ მოდულში დაცული მონაცემების უსაფრთხოების დაცვის მიზნით ცენტრის მიერ მიღებულ ორგანიზაციულ და ტექნიკურ ზომები. ცენტრმა შემოწმების ფარგლებშივე უზრუნველყო სამსახურის მიერ გამოვლენილი ნაკლოვანებების გასწორება, მაგალითად როგორიცაა: მოდულის მომხმარებელთა წვდომის უფლებების შეზღუდვა, მოდულში პირველადი პაროლის სავალდებულო შეცვლის ფუნქციონალის გამართვა და მოდულის ვებგვერდზე მონაცემთა გადაცემის პროცესში შიფრაციის პროტოკოლების გამოყენება. დავალებების შესრულების ვადად განსაზღვრულია 2020 წლის 30 ნოემბერი“, — განმარტავენ უწყებაში.
მედიაჰოლდინგმა გაარკვია, რომ სახელმწიფო ინსპექტორის სამსახურმა მოკვლევა სავარაუდოდ გენეტიკის ეროვნული ლაბორატორიის მმართველი პარტნიორის, გიორგი ჩალაძის განცხადების საფუძველზე დაიწყო. განცხადებით ჩალაძემ ინსპექტორის სამსახურს მაისში მიმართა. გენეტიკის ეროვნული ლაბორატორიის მმართველი პარტნიორი „კომერსანტთან“ დეტალურად ჰყვება თუ რა გახდა მისი განცხადების საფუძველი:
„როდესაც ჩვენ ტესტირება დავიწყეთ, არანაირი ვალდებულება არ გვქონდა გვეთქვა და მიგვეწოდებინა ინფორმაცია ტესტს ვის ვუკეთებდით, გარდა დადებითი შემთხვევებისა. იმ მიზეზით, რომ მათ არ ეხებოდათ ჩემი კომერციული საქმიანობა და იცოდნენ, რომ ჩვენთან ხდებოდა მაღალი შემოსავლის, პოლიტიკური თანამდებობის პირების ტესტირება, ვერ ხვდებოდნენ რა ურთიერთობები, რა დონეზე არსებობდა და სჭირდებოდათ ინფორმაცია, იმის შესახებ თუ რას ვაკეთებდით, რამდენი გვქონდა შემოსავალი. ეს ყველაფერი ვერაფრით დათვალეს.
ამიტომ, შემოიღეს თავის პორტალზე დადებითის შემთხვევების რეგისტრაციის ვალდებულება. ბრძანებაში უკვე შეტანილ ცვლილებაში კიდევ ცვლილება შეიტანეს, რომ კორონა ვირუსი არის საშიში ინფექცია, ისევე როგორც შიდსი. დაგვავალდებულეს, რომ ყველა შემთხვევა აუცილებლად უნდა აღგვერიცხა. მიმოწერა მიდიოდა gmail-ით. დაავადებათა კონტროლის ხელმძღვანელის მოადგილეს, ალექსანდრე ტურძელაძეს გავუგზავნე ფოსტა და ვეთხარი, რომ ინფორმაციას მივცემდი , რახან მინისტრმა დადგენილებით დამავალდებულა, ვკითხე ინფორმაციის დაცულობის სტანდარტის შესახებაც, რა გაქვს-თქო. ეს არის ტერმინი info security, რომელიც უნდა იცოდეს ადამიანმა. ამაზე მოგვწერა , რომ ყველაფერი კარგად არის და არ ინერვიულოო, ეს არის არაკომპეტენტური და დილეტანტური. პასუხი. შემდეგ მივწერე ინსპექტორს. ინსპექტორმა ერთი თვე იკვლია, ვერაფერი მოახერხა, მითხრეს, რომ ინფორმაცია უნდა მიმეცა, რის შემდეგაც პროცესს მიხედავდნენ . მე ინსპექტორსაც ვთხოვდი, ეთქვა, აგვისტოდან მოყოლებული რა შედეგი დადეთქო, მაგრამ ინფორმაციას არ მაძლევდა“, - განაცხადა გიორგი ჩალაძემ.
გიორგი ჩალაძე გვიყვება, რომ ადამიანის პირადი მონაცემები დაცული არ იყო. მისი თქმით, ერთი მომხმარებლის სახელით პროგრამაში შესვლა ათობით ადამიანს შეეძლო, რა დროსაც მათ პაციენტის სხვადასხვა პირად მონაცემზე მიუწვდებოდათ ხელი. გენეტიკის ეროვნული ლაბორატორიის მმართველი პარტნიორი ამბობს, რომ პაროლი და სახელის ფორმირების წესი დაავადებათა კონტროლის ცენტრმა ჩამოაყალიბა. მისი განმარტებით, სხვისი სახელით, სხვადასხვა ინფორმაციის დარეგისტრირება იყო შესაძლებელი.
„დადგენილება უნდა ამოქმედებულიყო იანვარში, რადგან საკითხი პირადი ინფორმაციის სხვებისთვის მიწოდების შეზღუდვასთანაა დაკავშირებული. მაგალითად, ბიძინა ივანიშვილმა ლუგარის ლაბორატორიაში ანალიზი თუ ჩაიტარა, მე შემიძლია ჩემს კომპიუტერში, ჩემს პორტალზე შევიდე, როგორც მომხმარებელი, შევიყვანო, მისი პირადი ნომერი ან სხვა რომელიმე პარამეტრი და ვნახო, რა დროს, რა ანალიზი, რომელ ლაბორატორიაში აქვს ჩატარებული. მისი პირადი მეილის, ტელეფონის ნომრის, საცხოვრებელი მისამართის ნახვაც შემიძლია და ყველაზე ცუდი არის ის,რომ ამ ბაზებთან სხვა ბაზებიცაა მიბმული, საუბარია სახელმწიფო ჯანდაცვის სისტემის ბაზებზე. მე შემეძლო ნახვა, რომელ კლინიკაში და ჯანმრთელობის რა მომსახურება მიიღო ადამიანმა. წვდომა არსებობდა ფსიქიატრიული, ნარკოლოგიური ჯანმრთელობის შესახებ, სრული ინფორმაცია იყო საქართველოს ჯანდაცვის სისტემის თაობაზე“, - განმარტავს გიორგი ჩალაძე.
გენეტიკის ეროვნული ლაბორატორიის მმართველი პარტნიორი მიიჩნევს, რომ რეგისტრაციის ახალი სისტემა გამართული არ იქნება. თუმცა ამბობს იმას, რომ რეგისტრაციის ახალი მექანიზმის ამოქმედება არის მინიმალური, რისი გაკეთებაც დაავადებათა კონტროლის ცენტრს შეეძლო და რაც საწყის ეტაპზე უნდა გაკეთებულიყო. კომერსანტის კითხვაზე რა უნდა გაკეთდეს პაციენტის პირადი ინფორმაციის დასაცავად ჩალაძე გვპასუხობს:
„როდესაც მონაცემების დამუშავება მიმდინარეობს და მოხდება ამ ინფორმაციის გაჟონვა, გადაცემა, ვალდებული ხარ ყველას, ვისმა მონაცემმაც გაჟონა, შეატყობინო ყველა ფორმით, ეს არის საერთაშორისო სტანდარტით გათვალისწინებული მინიმალური პასუხისმგებლობა,რაც უნდა გააკეთო, როცა ადამიანის მონაცემს ამუშავებ. საქართველოს აქვს ვალდებულება, რომ საერთაშორისო სტანდარტი GDPR დაიცვას. როდესაც პირადი ინფორმაცია უნდა გადაგვეცა მესამე პირისთვის, დაავადებათა კონტროლისთვის, შეტყობინება დაეგზავნა ყველას, ვისი მონაცემიც ჩემს ლაბორატორიაში ხვდებოდა და ვისი მონაცემების გაზიარებაც მოხდა დაავადებათა კონტროლისთვის. მე, რომ ეს არ გამეკეთებინა, ევროკავშირი დიდი თანხით დამაჯარიმებდა. დაავადებათა კონტროლმა დაამუშავა თუ არა რაიმე ინფორმაცია? იყენებს თუ არა ყოველდღიურად სტატისტიკური დამუშავებისთვის ინფორმაციას? იყენებს, მაგრამ ვინმეს შეტყობინება მისვლია,რომ ინფორმაცია სტატისტიკური მიზნებისთვის დამუშავდება? არ მისვლია. ზუსტად ამ დაუცველი კავშირის გამო მოხდა სექტემბერში ლუგარის ლაბორატორიაზე ჰაკერული თავდასხმა. იმ გახსნილი პორტალიდან, რაზეც ვუთითებდი,რომ ეს არის ღია და დაუცველი, ზუსტად იქ მოხდა თავდასხმა. ეს იყო ლოგიკური, ამას არ სჭირდებოდა პროფესიონალი ჰაკერების მობილიზება, ბავშვსაც შეეძლო, მოწყენილი მოზარდი,ვინც იცის კომპიუტერის ელემენტარული მოხმარება მავნებლობის გამოც კი გააკეთებდა ამას“, - განაცხადა გიორგი ჩალაძემ.
ბაჩო ადამია