2020-yilda Dubayda boshqa odamning Emirates ID dan foydalanib, 350 000 dirham miqdoridagi firibgarlik sxemasi doirasida cheklar olishga uringan ekspat hibsga olindi. Bu sxemada hamkorlar va ko‘plab tranzaksiyalar ishtirok etgan. Ushbu holat shuni taʼkidladi, qanday qilib shaxslarni tasdiqlovchi hujjatlar, agar odamlar kirish va tekshirish protokollariga rioya qilmasa, ishlatilishi mumkinligini.
Maʼlumotlar sizib chiqish xavfi manbalari
Firibgarlik xavfi har doim tashkiliy jinoyat sxemalari bilan boshlanmaydi. Ko‘pincha u kundalik vaziyatlarda paydo bo‘ladi, bu yerda aholiga do‘konlar, yetkazib berish punktlari yoki xizmat ko‘rsatish markazlarida Emirates ID nusxalarini topshirish yoki yuborish taklif qilinadi. Biroq, bunday ko‘rinishdagi standart so‘rovlar, agar ular tegishli himoya qilinmagan holda nusxalansa, saqlansa yoki tarqatilsa, maxfiy shaxsiy maʼlumotlarning sizib chiqishiga olib kelishi mumkin.
Emirates ID kartalari yashash raqami, pasport maʼlumotlari, barmoq izlari va ko‘z qorachig‘i skanerlari kabi keng qamrovli biometrik va shaxsiy maʼlumotlarni o‘z ichiga oladi. Nusxalar bilan noto‘g‘ri muomala qilish, xavfsiz saqlash yoki nazoratsiz tarqatish natijasida ular yolg‘on shaxs sifatida taqlid qilish, firibgarlik qilish yoki hisob-kitoblarni egallash uchun ishlatilishi mumkin.
BAA hokimiyati tavsiyalari
Khaleej Times bilan suhbatlashgan ekspertlar, muammo kartaning mavjudligi emas, balki kundalik operatsiyalarda uning maʼlumotlarining nazoratsiz nusxalanishida, bu operatsiyalar ko‘pincha tartibga solingan tizimlar tashqarisida sodir bo‘lishini taʼkidladilar. BAA hokimiyati aholiga sezgir maʼlumotlarni topshirishdan saqlanishni va qonuniy tekshirish talablari bilan keraksiz maʼlumotlarni yig‘ish so‘rovlarini ajratib ko‘rishni maslahat berdi. Har bir tashkilotga Emirates ID nusxasini saqlash huquqi yo‘q.
ICP qoidalari va BAA qonunchiligi
Shaxs, fuqarolik, bojxona va port xavfsizligi bo‘yicha Federal idora (ICP) Emirates ID kartalaridan chegirmalar yoki bonuslar kabi tijorat rag‘batlantirishlar uchun foydalanish mumkin emasligini, shuningdek, xizmatlar uchun garov sifatida topshirilmasligini ogohlantirdi. Idora shuningdek, xususiy kompaniyalar qonun bilan ruxsat berilmagan taqdirda shaxsni tasdiqlovchi hujjatlarni saqlay olmasligini va sud yoki rasmiy ruxsatlarsiz ularni ushlab turmaslikni taʼkidladi.
2021-yilgi Shaxsiy maʼlumotlarni himoya qilish to‘g‘risidagi Federal dekret-qonunga ko‘ra, Emirates ID maʼlumotlarini to‘playdigan, saqlaydigan, nusxalaydigan yoki ishlatadigan har qanday tuzilma shaxsiy maʼlumotlarni qayta ishlaydi. Bunday qayta ishlash qonuniy, adolatli, shaffof bo‘lishi va aniq maqsad bilan cheklanishi kerak, shu bilan birga noqonuniy kirish, suiisteʼmol yoki oshkor etilishdan himoya qilish uchun ishonchli choralar mavjud bo‘lishi kerak.
Emirates ID so‘rovi qachon qonuniy
Huquqiy ekspert Emirates ID so‘rovlari tamoyindan qonuniymi yoki yo‘qmi degan savol emas, balki ular proporsional va to‘g‘ri nazorat qilinadimi degan savol ekanligini taʼkidladi. Sud jarayonlari va DIFC bo‘yicha huquqshunos Nikixat Sardar Khan: «Masala Emirates ID hech qachon so‘ralmasligi emas». U baʼzi tashkilotlarga bunday so‘rov uchun qonuniy asos bo‘lishi mumkinligini tushuntirdi — masalan, KYC, bank mosligi, telekommunikatsiya ro‘yxatini yuritish yoki mijozni rasmiylashtirish uchun. Biroq, so‘rov proporsional bo‘lishi kerak. Qonuniy maqsad bo‘lmaganda Emirates ID maʼlumotlarini nusxalash yoki saqlash oqlanmaydi va tashkilot ular noqonuniy foydalanilmasligini kafolatlamalisi kerak.
U shuni qo‘shimcha qildi, odamlarning noqonuniy foydalanish holatlarida qonuniy himoya vositalari bor. Maʼlumot subyektlari o‘z maʼlumotlarini qayta ishlaydigan qonunbuzarlik qiluvchi tashkilotlarga shikoyat qilishlari, shuningdek, o‘z maʼlumotlarini tuzatish, o‘chirish, cheklash yoki ularga kirishni talab qilishlari mumkin. Jiddiy buzilishlar bilan bog‘liq hollarda, tashkilotlar bildirish va hisobot berish majburiyatlariga ham ega.
Dubaydagi firibgarlik misoli
Nikixat Dubaydagi sud ishidan misol keltirib, shaxsni tasdiqlovchi hujjatlarning noqonuniy foydalanishi katta firibgarlikka qanday olib kelishi mumkinligini namoyish etdi. Dubaydagi sud korporativ hisob ochish va vakolatli imzo qo‘yuvchi sifatida o‘zini taqdim etish uchun ish beruvchisining Emirates ID dan foydalangan deb daʼvo qilingan xodim bilan bog‘liq nizoni ko‘rib chiqdi. Ish beruvchi jo‘nab ketishidan oldin xodim kichik miqdordagi chekni olgan, keyin esa u yo‘qligida uning nominalini o‘zgartirgan. U shuningdek, telekommunikatsiya kanali orqali ish beruvchining bank SMS-xabarlarini o‘chirib tashlagan, tranzaktsiyalarning ko‘rinishini kamaytirgan. Vaziyat yangi korporativ hisob ochilganda yanada keskinlashdi va xodim, ehtimol, xizmat ko‘rsatuvchilar barchasini to‘g‘ri tekshirmaganligi sababli, vakolatli imzo qo‘yuvchi bo‘ldi. Chek summasi taxminan 96 dirhamdan 1 000 000 dirhamgacha oshdi, bu 350 000 dirham atrofida pul yechib olishga imkon berdi. Pulning bir qismi qaytarildi. Nikixat shunday dedi: «Ish faqat qisman muvaffaqiyatli bo‘ldi, chunki Sud ish beruvchi ham ofisda Emirates ID ga kirish imkonini qoldirganligi sababli ehtiyotsizligi aniqladi».
Kiberjinoyatchilar maʼlumotlardan qanday foydalanadi
Rayad Groupdagi kiberxavfsizlik eksperti Rayad Kamal Ayub Emirates ID bilan bog‘liq firibgarlik odatda izchil sxemalarga amal qiladi, alohida hodisalar emas. U keng tarqalgan firibgarlik ssenariylarini sanab o‘tdi: SIM-swap firibgarligi, yolg‘on KYC rasmiylashtirish, UAE PASS bilan bog‘liq ijtimoiy muhandislik va shaxsni «tikish». SIM-swap firibgarligi shaxsiy maʼlumotlardan foydalanib telekommunikatsiya akkauntlarini egallash va bank OTPlarini ushlab olishni o‘z ichiga oladi. Yolg‘on KYC rasmiylashtirish mul-akkauntlar yoki firibgarlik moliyaviy profillar yaratadi. Shaxsni «tikish» maʼlumotlar sizib chiqishining fragmentlarini, masalan, aloqa maʼlumotlarini birlashtirib, firibgarlik maqsadida to‘liq shaxs profilini yaratadi.
Rayad shuningdek, hujjatlarni norasmiy almashinuviga bog‘liq doimiy operatsion zaiflikka ishora qildi. U shunday dedi: «Eng chidamli zaif nuqtalaridan biri hujjatlarni norasmiy almashinuvi bo‘lib qolmoqda. Aholiga ko‘pincha yetkazib berishni tekshirish, kirishni nazorat qilish yoki maʼmuriy qayta ishlash kabi xizmatlar uchun Emirates ID nusxalarini WhatsApp, elektron pochta yoki boshqa himoyasiz kanallar orqali yuborishlari so‘raladi. Almashinishdan so‘ng, odamlar maʼlumotlar qayerda saqlanayotgani, kimga kirish huquqi bor va ular qancha vaqt saqlanib qolishi haqida nazoratni yo‘qotishadi».
Emirates ID tizimining xavfsizligi
Emirates ID tizimi xavfsiz identifikatsiyani taʼminlash uchun mo‘ljallangan. Kartaning chipli qismi shifrlangan maʼlumotlarni o‘z ichiga oladi, ularga faqat avtorizatsiya qilingan tizimlar kirishi mumkin. Bundan tashqari, karta bir qator jismoniy xavfsizlik choralarga ega, va asosiy maʼlumotlar bazasi rasmiy tekshiruvlar uchun identifikatsiya yozuvlarini saqlaydi. Rayad tushuntirdi: «Ko‘pgina xavflar tizimdan kelib chiqmaydi. Oddiy skanerlash, fotosuratga olish, elektron pochta orqali yuborish yoki Emirates ID nusxasini yuborish kabi narsalar Shaxsiy maʼlumotlarni himoya qilish qonuniga ko‘ra 'maʼlumotlarni qayta ishlash' hisoblanadi. Bu tashkilotlar uchun maʼlumotlarni minimallashtirish, maqsadni cheklash va xavfsiz saqlash tamoyillarini qo‘llash bo‘yicha huquqiy majburiyatlarni tug‘diradi».
Emirates ID maʼlumotlarini himoya qilish choralari
Regulyatorlar va kiberxavfsizlik ekspertlari shaxsiy shaxslar va tashkilotlar amalga oshirishi kerak bo‘lgan oddiy qadamlar to‘plami bo‘yicha bir xil fikrda. Asosiy tavsiyalar quyidagilarni o‘z ichiga oladi: Emirates ID maʼlumotlarini faqat qatʼiy zarurat bo‘lganda va aniq maqsad uchun baham ko‘ring; imkon bo‘lsa, hujjatlarni almashish o‘rniga UAE PASS orqali tekshirishni afzal ko‘ring; taqdim etilgan har qanday nusxaga suv belgisi, sana va maqsad belgisini qo‘shing; Emirates ID tasvirlarini WhatsApp yoki himoyasiz kanallar orqali yuborishdan saqlaning; Emirates ID nusxalarini hech qachon bank hisob maʼlumotlari yoki OTP bilan birga bermang; ayniqsa norasmiy yoki birdaniga yuzaga kelgan vaziyatlarda so‘rovlarning qonuniy ekanligini tekshiring; shuningdek, yig‘ilgan barcha nusxalarni shifrlash va kirishni nazorat qilish yordamida xavfsiz saqlang.
>