EPMwDC - MRU



EPMwDC

EPMwDC – monitoriaus su integruotais šnipinėjimo prevencijos ir kenkėjiškos veiklos aptikimo moduliais tyrimai ir vystymas.

Mykolo Romerio universitetas (MRU) dalyvauja mokslinių tyrimų ir eksperimentinės plėtros projekte „Šnipinėjimo prevencijos monitoriaus su aptikimo funkcijomis kūrimas“ (Espionage Prevention Monitor with Detection Capabilities – EPMwDC), kurio tikslas – sukurti pasaulyje analogų neturintį technologinį sprendimą, skirtą apsaugoti konfidencialią informaciją nuo neteisėto fotografavimo ar filmavimo. Projektas apima tiek techninės, tiek programinės įrangos modulių kūrimą, kurie gebės generuoti infraraudonųjų spindulių triukšmą, aptikti objektyvų atspindžius ir inicijuoti duomenų perdavimą į nuotolinį serverį. 

MRU šiame projekte atlieka svarbų vaidmenį analizuodamas kibernetinio saugumo ir asmens duomenų apsaugos teisinius aspektus. MRU vykdo modeliavimą pagal „privatumo pagal dizainą“ ir „saugumo pagal dizainą“ principus, užtikrindamas, kad kuriama technologija atitiktų Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus. MRU taip pat atsakingas už intelektinės nuosavybės apsaugą – prekių ženklų registravimą ir patentų paraiškų rengimą. Šios veiklos vykdomos viso projekto metu, siekiant užtikrinti teisinį suderinamumą ir technologijos komercializavimo galimybes. 

Projektas grindžiamas originalia idėja, kurios pagrindu kuriamas kompleksinis sprendimas, gebantis generuoti IR triukšmą, nematomą žmogaus akiai, bet trikdantį komercinių kamerų gebėjimą užfiksuoti ekrane rodomą tekstą. Detekciniai moduliai bus sukurti taip, kad galėtų aptikti objektyvų atspindžius ir inicijuoti įspėjimo veiksmus. Komunikacijos modulis perduos vaizdą į nuotolinį serverį, o visa sistema bus sertifikuota pagal TEMPEST ir STANAG standartus. 

MRU taip pat prisideda prie technologijos vystymo užtikrindamas jos atitiktį NATO saugumo reikalavimams, vykdydamas analizę ir modeliavimą viso projekto metu. MRU dalyvauja kuriant prevencinius ir detekcinius modulius, vertindamas jų poveikį duomenų apsaugai ir teisiniam reguliavimui. Projekto metu MRU atlieka kokybinius tyrimus, lyginamąją analizę, turinio analizę ir ekspertų interviu, siekdamas įvertinti privatumo ir saugumo principų taikymą praktikoje. 

Tikslas. Apsaugoti įslaptintą informaciją nuo šnipinėjimo ir kenkėjiškos veiklos.

Sprendimas. Sukurtas monitorius su integruotomis šnipinėjimo prevencijos technologijomis ir kenkėjiškos veiklos detekcija.

Rezultatas. Padidintas įslaptintos informacijos saugumas ir sumažintas duomenų nutekėjimo pavojus tiek viešajame, tiek privačiame sektoriuose.

  

Projektas: EPMwDC – Monitoriaus su integruotais šnipinėjimo prevencijos ir kenkėjiškos veiklos aptikimo moduliais tyrimai ir vystymas

Veiklą vykdantis partneris: Mykolo Romerio universitetas (MRU)

Tyrimų laikotarpis: 2024 m. sausis – 2026 m. gegužė

Projekto svetainė: https://www.mruni.eu/misija-saugi-ir-itrauki-e-visuomene-02-002-p-0001/

Mokslinių tyrimų rezultatai

EPMwDC projekte kuriama ekranų apsaugos nuo vizualinio informacijos nutekinimo sistema – techninės ir programinės įrangos modulių sprendimas, skirtas vyriausybinėms ir privačioms organizacijoms, dirbančioms su jautria ar įslaptinta informacija. Pagal projekto aprašą (Annex 1.1) sistema turi leisti aptikti ir užkirsti kelią neteisėtam ekrane rodomos informacijos fotografavimui ar filmavimui. Mykolo Romerio universitetas projekte atlieka mokslinius teisinio reguliavimo, asmens duomenų apsaugos, kibernetinio saugumo, etikos ir standartų tyrimus, kurie sudaro pagrindą atsakingam ir teisiškai pagrįstam sistemos vystymui (techninę inžineriją vykdo projekto partneriai).

MRU mokslinių tyrimų uždaviniai apėmė kibernetinio saugumo ir asmens duomenų apsaugos teisinių klausimų tyrimus pagal pritaikytojo privatumo (privacy by design) ir pritaikytojo saugumo (security by design) principus, kibernetinio saugumo teisinių reikalavimų atitikties tyrimus, pagrindinių asmens duomenų apsaugos (BDAR) principų atitikties tyrimus ir monitoriaus atitikties modelio parengimą. Iki 2025 m. spalio mėn. atlikta NATO ir EDA teisės aktų bei standartų analizė, sukurtas reguliacinių reikalavimų matricos modelis, susiejantis techninius modulių parametrus su teisiniais reikalavimais, ir pritaikyti privacy by design bei security by design principai ankstyvosiose architektūros stadijose. Nuo 2025 m. lapkričio mėn. tyrimai sutelkti į technologinį sertifikavimą (TEMPEST, STANAG ir NATO komunikacijų saugumo protokolų viešų šaltinių analizė), duomenų srauto teisėtumo vertinimą perduodant incidentų vaizdinę informaciją į nuotolinę serverinę aplinką, ir socialinio priėmimo rizikos analizę.

Tyrimai organizuoti keturiais etapais, kurių kiekvienas remiasi ankstesniojo rezultatais. Pirmas etapas skirtas metodiniam planavimui ir reguliaciniam susiejimui: nustatytas tyrimo objektas, suformuluota metodologija ir parengta pradinė reglamentų matrica, jungianti BDAR, NIS2, ES DI aktą, Kibernetinio atsparumo aktą ir kitus aktualius reikalavimus. Antras etapas apėmė geriausios praktikos, atvejo, lyginamosios ir turinio analizės darbą, nagrinėjant darbo vietos stebėsenos, vaizdo stebėjimo ir vizualinio duomenų nutekėjimo praktikas bei jų teisines ribas. Trečias etapas užbaigtas recenzuota moksline publikacija, kuri formalizavo ontologija pagrįstą atitikties modelį ir tapo etaloniniu projekto šaltiniu. Ketvirtas etapas skirtas privatumo, atitikties ir reguliaciniams vertinimams bei galutiniams rezultatams: poveikio duomenų apsaugai vertinimui (PDAV), atitikties modeliui, gyvavimo ciklo ataskaitoms, NATO viešų šaltinių analizei ir prototipo perdavimo paketui.

Teisinė ir BDAR atitikties analizė paaiškina, kodėl EPMwDC reikia integruoto požiūrio. Detekcinis modulis suveikia įvykus trigeriui ir gali užfiksuoti vaizdą, kuriame matomas atpažįstamas asmuo, darbo vietos aplinka ir ekrane rodytas turinys. Toks vaizdas sukuria asmens duomenų tvarkymą, kuriam taikomi BDAR reikalavimai. BDAR principai pritaikyti konkrečioms EPMwDC funkcijoms: tikslo ribojimas (fiksuojama tik dėl saugumo patikros), duomenų minimizavimas (fiksuojama tik po trigerio, ribotas matymo laukas) ir saugojimo ribojimas (incidento gyvavimo ciklu paremtas saugojimas su trynimu pasibaigus procesui). Atvejo, lyginamoji ir turinio analizė parodė, kad vizualinio incidento įrodymas turi būti fiksuojamas tik po trigerio ir skaidriai atskleistas naudotojams, kad klaidingi suveikimai nesusilpnintų būtinumo argumento, todėl prieš eskalavimą privaloma žmogaus peržiūra, ir kad dvigubos paskirties technologijoms keliami papildomi reikalavimai. Literatūros apžvalga atskleidė, kad pasyvios priemonės (pavyzdžiui, privatumo filtrai) sumažina, bet nepanaikina vizualinio nutekėjimo rizikos, ir kad dauguma vidinių (insiderio) incidentų kyla dėl aplaidumo, o ne tyčios, todėl sistema turi būti projektuojama labiau prevencijos logika.

Modeliavimas pagal privacy-by-design ir security-by-design realizuotas trimis gyvavimo ciklo etapų ataskaitomis, kurios teisinius, privatumo ir kibernetinio saugumo reikalavimus paverčia konkrečiais projektavimo apribojimais. Sistemos analizės etapas nustato tikslą, būtinumą, duomenų kategorijas ir teisinį pagrindą; architektūros etapas įtvirtina fiksavimą tik po trigerio, lokalų minimizavimą, šifravimą, prieigos kontrolę ir tamper-evident žurnalus; diegimo etapas užbaigia PDAV, naudotojų informavimą, incidento ir trynimo procedūras bei auditus. Kibernetinio saugumo standartų pagal NATO reikalavimus tyrimas atliktas atsargiai, remiantis tik viešais šaltiniais; konsultacijos su kariniais suinteresuotaisiais patvirtino, kad pagrindiniai NATO kibernetinio saugumo valdymo instrumentai (NIAP, NSP, NATO Cyber Defence Policy) yra riboto prieinamumo, todėl susistemintas tik viešas kibernetinio saugumo valdymo ir akreditavimo karkaso vaizdas.

Atitikties modelis struktūruotai susieja EPMwDC sistemos komponentus su kiekvienam komponentui kiekviename diegimo kontekste taikomais reguliaciniais įpareigojimais; jis pateikiamas kaip naratyvinė ataskaita ir mašininiu būdu skaitoma ontologija, kurioje kiekvienas teisinis reikalavimas paverčiamas sistemos elementu (kontrole), praktiškai patikrinamu veiksmu ir konkrečiu įrodymo tipu su atsakingu vaidmeniu. Ontologiją lydi SPARQL užklausų biblioteka, SHACL taisyklės ir vizualizacijos. PDAV parengtas kaip dviejų pakopų ataskaita, konsoliduojanti produkto lygmens (tiekėjo perspektyva) ir diegimo lygmens (valdytojo perspektyva) vertinimus; jame atkreipiamas dėmesys, kad detekcija naudoja apmokytą ML klasifikatorių, todėl sistema laikoma DI sistema pagal ES DI aktą, tačiau duomenys savaime netampa biometriniais.

Nepriklausomų tyrimų rezultatai turi reikšmę keturiais lygmenimis: jie formuoja technologinio vystymo kryptį (reguliacinių reikalavimų matrica leidžia pagrįstai pasirinkti techninius prioritetus), pagrindžia reguliacinį suderinamumą ir sertifikavimo galimumą, integruoja socialinių ir humanitarinių mokslų aspektus į sistemos dizainą bei stiprina komercinį pasirengimą per intelektinės nuosavybės analizę. Šie rezultatai neapima techninio modulių diegimo, bet suteikia reikalavimų, kontrolių ir patikros įrodymų pagrindą, kuriuo prototipo kūrėjai gali remtis, ir tampa struktūrine sistemos vystymo ašimi, kurioje jungiasi technologinė inžinerija, teisė, etika ir komercializacija.

Tyrimų rezultatų dokumentai

Žemiau pateikiami atsisiunčiami MRU mokslinių tyrimų rezultatų dokumentai (PDF):

  1. Kibernetinio saugumo ir asmens duomenų apsaugos teisinė analizė – EPMwDC MRU A. regulatory analysis.pdf
  2. Recenzuota mokslinė publikacija: ontologija pagrįstas atitikties modelis – EPMwDC MRU Publication.pdf
  3. Mokslinio tyrimo rezultatų viešinimas – EPMwDC MRU Mokslinio tyrimo rezultatų viešinimas.pdf
  4. Literatūros apžvalga (su integruotu priedu) – EPMwDC MRU Literature Review (Integrated).pdf
  5. Atvejo, lyginamoji ir turinio analizė – EPMwDC MRU Case, comparative, and content analysis.pdf
  6. Sistemos analizės ataskaita (gyvavimo ciklo I etapas) – EPMwDC MRU Report 1 – System Analysis.pdf
  7. Architektūros ataskaita (gyvavimo ciklo II etapas) – EPMwDC MRU Report 2 – Architecture.pdf
  8. Diegimo ataskaita (gyvavimo ciklo III etapas) – EPMwDC MRU Report 3 – Deployment.pdf
  9. Kibernetinio saugumo standartų pagal NATO reikalavimus tyrimas – EPMwDC MRU NATO related cybersecurity results.pdf
  10. Šnipinėjimo aptikimo ir prevencijos atitikties modelis – EPMwDC MRU Model for espionage detection-prevention.pdf
  11. Atitikties karkasas Mission 2 DI sistemoms pagal ES DI aktą ir darniuosius standartus – EPMwDC MRU Compliance Framework under the AI Act and Harmonised Standards.pdf
Mykolo Romerio universitetas
Juridinio asmens kodas 111951726
PVM mokėtojo kodas LT119517219
Adresas: Ateities g. 20, LT-08303 Vilnius
Tel.: Studentų priėmimas: +370 5 271 4700, priemimas@mruni.eu Rektoriaus priimamasis: +370 5 271 4625, roffice@mruni.eu
Greitosios nuorodos