පසුගිය දින දෙක තුළ eTraffic යෙදුම පිළිබඳ විස්තරාත්මක විවේචනයක් පුළුල් ලෙස ප්රචාරය වීමෙන් පසු, රජයේ තොරතුරු දෙපාර්තමේන්තුවේ පැවති නිල මාධ්ය සාකච්ඡාවකදී මා විසින් මතු කරන ලද කරුණු පොලිසියට ඉදිරිපත් කිරීමෙන් පසු කිහිප දෙනෙක් මා අමතා ඇත.
Newswire වෙබ් අඩවිය මෙම ප්රතිචාර පිළිබඳ මුල්ම ලිපිය පළ කළේය: Police assure data security with ‘eTraffic’ app launch (‘eTraffic’ යෙදුම දියත් කිරීමේදී දත්ත ආරක්ෂාව සහතික කරන බව පොලිසිය පවසයි.) එය කියවීමෙන් පසුව, මම Twitter හි සටහන් කළේ “ඔබට සයිබර් ආරක්ෂාව, පෞද්ගලිකත්වය හෝ පුද්ගලික දත්ත ආරක්ෂණ පනත ගැන කිසිවක් නොතේරෙන බව නොකියා කියන්න.” (“Tell me you don’t understand anything about cybersecurity, privacy or Personal Data Protection Act without telling me you don’t understand anything about cybersecurity, privacy or PDPA.”)
හාස්යය පැත්තකින් තියලා, පොලිස් මධ්ය ප්රකාශක SSP බුද්ධික මනතුංග මහතා විසින් Newswire ලිපියේ සඳහන් කර ඇති ප්රතිචාර, eTraffic යෙදුම පිළිබඳ මාගේ විවේචනයේ මතු කරන ලද කරුණු තවදුරටත් තහවුරු කරන බැවින් ඒවා වෙනම විවේචනයක් සඳහා සුදුසුය.
Newswire ලිපියේ මෙසේ සඳහන් වේ:
කිසිදු පෞද්ගලික දත්තයක් යෙදුමේ පද්ධතියට ඇතුළත් නොවන බව SSP මනතුංග අවධාරණය කළේය. “ගිණුමක් හරහා සම්බන්ධතාවයක් පමණයි තියෙන්නේ.” (Original: SSP Manatunga stressed that no private data will be entered into the app’s system. “There is only a connection through an account.”)
පුදුම සහගත ලෙස, යෙදුමේ නිර්මාණය කරන ලද ගිණුමක් සත්ය වශයෙන්ම පුද්ගලික තොරතුරු බෙදා ගැනීමක් බව නොදැන, පොලිස් ප්රකාශක eTraffic යෙදුමේ දුර්වල පෞද්ගලිකත්ව ආරක්ෂණ සාධාරණීකරණය කරයි. මාගේ තාක්ෂණික විශ්ලේෂණයේ ලේඛනගත කර ඇති යෙදුමේ APK (එනම් code මට්ටමේ) අවසර සහ ඒවා අවභාවිතා කිරීමේ හෝ ප්රසිද්ධියේ සඳහන් කර ඇති දේ හැර වෙනත් අරමුණු සඳහා සැඟවුණු ලෙස භාවිතා කිරීමේ හැකියාව සැලකිල්ලට ගත් විට SSP මහතාගේ ප්රකාශය විශේෂයෙන් කනස්සල්ලට කරුණකි. යෙදුම නිර්වචනය අනුව පෞද්ගලික දත්ත සැකසීම සම්බන්ධ වන පිහිටීම් දත්ත (පසුබිම් නිරීක්ෂණය ඇතුළුව), කැමරා ක්රියාකාරිත්වය සහ බාහිර ගබඩා වෙත ප්රවේශය පැහැදිලිවම ඉල්ලා සිටී.
SSP මනතුංග මහතාගේ ප්රකාශය මගින් පෙන්නුම් කරන්නේ පුද්ගලික දත්ත යනු කුමක්ද යන්න පිළිබඳ කනගාටුදායක අවබෝධයක් නොමැතිකම හෝ, වඩාත් කනගාටුදායක ලෙස, පෞද්ගලිකත්ව ගැටලු අවම කිරීමයි.
හැන්ලෝන්ගේ දැලි පිහිය (Hanlon’s Razor)* මෙහිදී මතක් වේ.
සමාජ මාධ්ය ගිණුම්වල ආරක්ෂාව කඩවීම සහ වෙබ් අඩවි ආරක්ෂාව වෙන් කිරීමට SSP දරන උත්සාහය ආයතනික සයිබර් ආරක්ෂාව පිළිබඳ මූලික අවබෝධයක් නොමැති බව පෙන්නුම් කරයි. බහුවිධ සමාජ මාධ්ය ගිණුම් සාර්ථකව කඩා වැදීම පොලිසියේ සයිබර් ආරක්ෂක පරිචයන්, ප්රවේශ පාලනයන්, දැනුවත්භාවය සහ සත්යාපන ප්රොටෝකොල වල බරපතල අඩුපාඩු පෙන්නුම් කරයි. ආරක්ෂාවක් ලෙස “[පොලිස්] වෙබ් අඩවිය හැක් කිරීමකට හෝ අවභාවිතයකට ලක් වූයේ නැත” යැයි කීම මූලික කරුණ සම්පූර්ණයෙන්ම මඟ හරියි – එනම් සමාජ මාධ්ය කඩා වැදීම් පමණක් සයිබර් ආරක්ෂක පාලනයේ සැලකිය යුතු ආයතනික දුර්වලතා හෙළි කරන බවයි. මේවා පොලිසිය විසින් මහජනතාව eTraffic යෙදුම ස්ථාපනය කර භාවිතා කිරීමේදී නොසලකා හරින ලෙස ඉල්ලා සිටියි (මේ දක්වා යෙදුම side-loading මගින් පමණක් ස්ථාපනය කළ හැකි බව පසෙක තබමු – මෙය හොඳ සයිබර් ආරක්ෂාවට සම්පූර්ණයෙන්ම පටහැනිය).
“ගිණුමක් හරහා සම්බන්ධතාවයක් පමණයි” යන SSP මනතුංග මහතාගේ ප්රකාශය දත්ත ආරක්ෂාව පිළිබඳ භයානක, දරුණු සරල කිරීමක් (නැතහොත් නැවතත් කියනවා නම්, හුදු නොදැනුවත්කමක්) හෙළි කරයි. මාගේ පෙර ලිපියේ අවධාරණය කළ පරිදි, යෙදුම Firebase සහ Google සේවා සමඟ ඒකාබද්ධ වන අතර, දේශසීමා හරහා දත්ත හුවමාරු කිරීම් සහ ස්ථාපිත Android උපාංගවල අභිරුචි අවසර පද්ධති ක්රියාත්මක කිරීම අඩංගු වේ. මෙම විශේෂාංග සංකීර්ණ දත්ත ගලායාම් නිර්මාණය කරන අතර ශක්තිමත් ආරක්ෂක පියවර සහ පෞද්ගලිකත්ව බලපෑම් පිළිබඳ ඉතා සැලකිලිමත් සලකා බැලීමක් අවශ්ය කරයි – පුද්ගලික දත්ත ආරක්ෂණ පනතේ (Personal Data Protection Act – PDPA) අදාළ කොටස් වලට අතිරේකව.
සමහර විට වඩාත්ම කනගාටුදායක කරුණ වන්නේ ආරක්ෂක අවදානම් සම්බන්ධයෙන් SSP මනතුංග මහතාගේ සාමාන්ය ප්රවේශයයි: “හඳුනාගත් දුර්වලතා ඇත්නම්, ඒවා අනාගතයේදී විසඳනු ලැබේ.” සංවේදී, පුද්ගලික දත්ත විශාල පරිමාණයෙන් හසුරුවන නීතිය ක්රියාත්මක කිරීමේ යෙදුම් සඳහා විශේෂයෙන් වැදගත් වන පෞද්ගලිකත්වය මූලික සැලසුම සහ ආරක්ෂාව මූලික සැලසුම යන මූලධර්මවලට මෙම ප්රතික්රියාකාරී ස්ථාවරය සෘජුවම පටහැනි වේ (මෙය මාගේ මුල් ලිපියේ වැඩිදුරටත් විස්තර කර ඇත).
2025 මාර්තු මාසයේදී PDPA ක්රියාත්මක වීමත් සමඟ, මෙම ප්රවේශය විශේෂයෙන් ගැටලුසහගත වන්නේ එය ශ්රී ලංකා පොලිසියට නීතිමය බැඳීම් සහ අනුකූලතාව පිළිබඳ කිසිදු අවබෝධයක් නොමැති බව තහවුරු කරන බැවිනි.
eTraffic යෙදුම පිළිබඳව මාධ්යවේදීන් විසින් මතු කරන ලද නිශ්චිත තාක්ෂණික සහ නීතිමය ගැටලු විසඳීමට පියවර ගැනීම වෙනුවට “විදේශීය ක්රියාකාරීන්” සහ ඉන්දියාවේ සමාන ප්රහාර ගැන සඳහන් කරමින් කරුණු යටපත් කිරීමට SSP දරන උත්සාහය සයිබර් ආරක්ෂක අසමත්වීම් සඳහා වගකීම මග හැරීමේ කනගාටුදායක රටාවක් පෙන්නුම් කරයි. සංවර්ධන කාලය තුළ උපදෙස් ලබා ගත් නම් නොසඳහන් “විශේෂඥයින්” ගැන සඳහන් කිරීම, ආරක්ෂක පියවර හෝ අනුකූලතා රාමු පිළිබඳ කිසිදු නිශ්චිත විස්තරයක් නොමැතිව, විශ්වසනීයත්වය තවදුරටත් පහත හෙලයි.
SSP මනතුංග මහතාගේ පොරොන්දු සහ යෙදුමේ තාක්ෂණික යථාර්ථය අතර ඇති දැඩි සහ කනගාටුදායක විසන්ධිය පෙන්නුම් කරන්නේ digital ආරක්ෂාව (cybersecurity) සහ පෞද්ගලිකත්වය (privacy) සම්බන්ධයෙන් පොලිස් සේවයේ ඉහළ මට්ටම්වල සැලකිය යුතු දැනුම් පරතරයක් පවතින බව හෝ යෙදුමේ සැබෑ හැකියාවන් සහ අරමුණු පිළිබඳ කනගාටුදායක විනිවිදභාවයක් නොමැති බව යන්නයි. නැතහොත් දෙකම.
කෙසේ වෙතත්, අද පැවති මාධ්ය සාකච්ඡාවේදී පොලිස් ප්රකාශක දුන් ප්රකාශ මගින් විමර්ශන මාධ්යවේදීන්, මානව හිමිකම් ආරක්ෂකයින්, සිවිල් සමාජ ක්රියාකාරීන් සහ තම පෞද්ගලිකත්වය කෙරෙහි උනන්දුවක් දක්වන වෙනත් ඕනෑම අයෙකුට – විශේෂයෙන්ම උතුරු සහ නැගෙනහිර ප්රදේශවල අධික ලෙස නිරීක්ෂණයට ලක්වන ප්රජාවන්ට – eTraffic app එක ස්ථාපනය (install) නොකරන ලෙස මා දුන් අනතුරු ඇඟවීම තවදුරටත් ශක්තිමත් කරයි.
ආචාර්ය සංජන හත්තොටුවගේ වෙබ් අඩවියෙන් උපුටා ගන්නා ලදී
*හැන්ලොන්ගේ රේසරය, දැනුවත්භාවය හෝ දැනුම නොමැතිකම නිසා සිදු වී ඇතයි ක්රියාවන් ප්රමාණවත් ලෙස පැහැදිලි කළ හැකි විට, ක්රියාවන් පිටුපස ද්වේෂසහගත චේතනාවක් උපකල්පනය නොකරන ලෙස අපට පවසන හියුරිස්ටික් උපකරණයකි.
(Hanlon’s Razor, a heuristic device that tells us not to assume malicious intent behind actions when a lack of awareness or knowledge can adequately explain the actions.)