Киберугроза: почему произошла утечка персональных данных казахстанцев и как их защитить

Как возникла угроза?

О масштабной утечке персональных данных стало известно в середине июня. В интернете был обнаружен файл формата CSV, содержащий 16,3 миллиона строк данных. Уже по названию документа становилось ясно, что речь идёт о сведениях, касающихся граждан Казахстана: в его заголовке значилось «Данные жителей Казахстана за 2024 год».

Содержимое файла включало в себя информацию об именах и фамилиях людей, их контактных номерах. Также были указаны индивидуальные идентификационные номера (ИИН), рабочие телефоны, а в некоторых случаях — даже год заселения по месту жительства. В целом в открытый доступ попало 15,8 миллиона ИИН и 16 миллионов телефонных номеров.

Как Telegram-канал SecuriXy.kz, одним из первых опубликовавший утечку, так и ответственное министерство, позднее подтвердившее ее достоверность, заявили, что данные действительно принадлежат гражданам Казахстана. Самое тревожное — это объём: 16 миллионов строк. Если предположить, что каждая строка соответствует одному человеку, можно утверждать, что данные примерно 70% населения страны оказались в открытом доступе.

В официальном ответе на запрос агентства Kazinform Министерство цифрового развития, инноваций и аэрокосмической промышленности пояснило, что утечка произошла не из государственных структур, а из частного сектора или предпринимательских организаций:

— Наряду с анализом актуальности опубликованных данных в интернете, были проведены внеплановые проверки информационных систем. По результатам проверок фактов взлома государственных информационных систем не выявлено. Также было установлено, что в опубликованной в сети базе содержатся устаревшие данные, относящиеся к 2024 году, — сообщили в министерстве.

Штраф — государству, компенсация — гражданам

Если государственные информационные системы не были скомпрометированы, то откуда произошла утечка? Эксперт в области кибербезопасности Абылай Исин считает, что в случившемся могут быть замешаны микрофинансовые организации и бизнес-структуры. По его словам, частный сектор имеет право собирать информацию о клиентах и хранить её в собственных базах данных. Именно оттуда и могла произойти утечка.

Например, при оформлении микрокредита или при обращении в частную медицинскую клинику человек обязан предоставить свои персональные данные. Это требование закреплено на законодательном уровне. Получившая данные организация обязана их надлежащим образом защищать. Однако на практике это обязательство не всегда выполняется.

— В этом году было зафиксировано более 43 случаев утечки персональных данных. По предварительным оценкам, каждый из них касался информации о 5-10 тысячах человек. Уровень кибергигиены в крупных компаниях оставляет желать лучшего. Некоторые даже не подозревают, что их данные уже были украдены — и это не преувеличение. Проблема усугубляется тем, что компании зачастую не информируют пострадавших граждан о произошедших утечках. Причина кроется в незначительных размерах штрафов, предусмотренных за подобные правонарушения. Это ведет к безответственному отношению к информационной безопасности. Бизнесу проще заплатить незначительный штраф, чем выйти на публику и признать факт утечки. Власти увеличили размер штрафов по данному направлению до 8 миллионов тенге. Полагаю, это может стать стимулом к более ответственному отношению к персональным данным и повысит уровень защиты информации, — считает Абылай Исин.

Следует откровенно признать: для крупных компаний штраф в размере 7-8 миллионов тенге — это сущие копейки. Именно поэтому они не торопятся ни усиливать защиту персональных данных, ни брать на себя реальную ответственность за их сохранность. Как считает эксперт в области информационной безопасности Ерболат Турсункожа, настало время пересмотреть сам подход к системе штрафных санкций. По его мнению, при назначении наказания важно не фиксировать конкретную сумму, а установить механизм, при котором штраф будет рассчитываться в виде определённого процента от годового финансового оборота компании. Только при таких условиях можно ожидать подвижек в этой критически важной сфере.

— В Европе действует подобная практика, известная как GDPR. Если компания не может обеспечить защиту персональных данных, она обязана выплатить штраф в виде установленного процента от своего оборота. В России уже введено понятие «оборотного штрафа». Казахстану также необходимо внедрить эту модель. Иначе незначительные финансовые потери не станут для бизнеса поводом изменить подход к защите данных, — подчеркнул специалист.

В последние годы штрафы стали исключительно инструментом урегулирования споров между государством и компаниями, и не приносят реальной пользы самим гражданам. В этой связи Ерболат Турсункожа предложил рассмотреть альтернативный подход: предусмотреть выплату прямой компенсации пострадавшим гражданам. По его мнению, компания должна возмещать ущерб не только государству, но и конкретным людям, чьи персональные данные оказались в открытом доступе.

— Такая инициатива выдвигалась уже не раз. Однако у ее реализации есть определенные препятствия. Прежде всего, крайне сложно установить единый размер компенсации за утечку данных. Мы неизбежно сталкиваемся с правовыми ограничениями. Объясню условно: допустим, группа граждан решит подать в суд на компанию, которая не обеспечила защиту их данных. Один может потребовать 100 тысяч тенге, другой — миллион. Разброс требований затянет процесс и усложнит расчёты. А если установить единый размер компенсации для всех, велика вероятность, что это вызовет недовольство общества и окажется несправедливым для части пострадавших, — отметил он.

Пока единственный выход — ужесточение законодательства

На текущий момент единственным действенным способом защиты персональных данных остаётся ужесточение норм законодательства. Так, в январе этого года были внесены изменения в статьи 79 и 641 Кодекса об административных правонарушениях, в результате чего размер штрафов был значительно увеличен. Если ранее за нарушение в сфере персональных данных предусматривался штраф в размере от 10 до 1 000 месячных расчётных показателей (МРП), то теперь эта планка составляет от 30 до 2 000 МРП.

Следует отметить, что за последние три года Министерство цифрового развития провело 133 проверки, касающиеся соблюдения законодательства в области защиты персональных данных, а также 53 проверки, направленные на обеспечение безопасности электронной цифровой подписи. Виновные привлекались к административной ответственности на основании вышеуказанных статей Кодекса. Однако в официальном ответе, направленном в редакцию, не приводятся конкретные данные о количестве наказанных лиц и общей сумме наложенных штрафов.

Способно ли государство защитить персональные данные?

Одна из ключевых проблем заключается в том, что государство не обладает прямым контролем над информационными системами частных компаний. Ранее вице-министр цифрового развития, инноваций и аэрокосмической промышленности Ростислав Коняшкин заявлял о необходимости усилить контроль над информационными базами, находящимися в частном секторе. Это связано с тем, что на сегодняшний день в Казахстане отсутствует единая централизованная система управления такими данными.

— Причиной утечек персональных данных в большинстве случаев становится уязвимость частных информационных систем. Более того, иногда данные, собираемые для нужд государственных программ, хранятся именно в частных структурах. Сейчас Министерство предпринимает меры, чтобы передать хранение таких важных данных в государственные руки. Мы должны понимать: только при условии, что персональные данные находятся под контролем государства, можно гарантировать их надёжную защиту. Если, к примеру, информация хранится в национальных организациях, таких как АО «Национальные информационные технологии» или АО «Центр электронных финансов», ответственность лежит на нас. Но если данные размещаются во внешних, частных системах, их защита становится гораздо более проблематичной, — пояснил вице-министр.

Он также добавил, что Казахстан на сегодняшний день занимает лидирующие позиции в Центральной Азии по уровню кибербезопасности государственных информационных баз. Конечно, после утечки данных 16 миллионов человек в это может быть трудно поверить, но с технической точки зрения уровень защищённости именно государственных систем действительно высок. По словам вице-министра, его призыв усилить контроль над информационными системами частного сектора был вызван именно этим громким инцидентом.

Под постоянным кибернаблюдением находятся 570 объектов, в том числе:

• в сфере предоставления государственных услуг — 126 объектов;
• в области связи и информационных технологий — 247;
• в транспортной сфере — 50;
• в финансовом секторе — 70;
• в энергетике — 16;
• в здравоохранении — 32;
• в нефтегазовой и горнодобывающей отраслях — 29 объектов.

За полгода зафиксировано 11 тысяч случаев интернет-мошенничества

Какие реальные угрозы несут в себе данные, попавшие в интернет? Самая серьёзная — это возможность их использования в мошеннических схемах. В последние годы количество преступлений в сфере интернет-мошенничества резко выросло, и всё чаще они совершаются именно с использованием утекших персональных данных.

Недавно были раскрыты противоправные действия пяти колл-центров, базировавшихся в Астане и Алматы. За первые шесть месяцев текущего года зарегистрировано более 11 000 фактов интернет-мошенничества, изъяты 74 устройства sim-box, а также более 88 000 незарегистрированных SIM-карт. К уголовной ответственности привлечено 870 человек, причастных к киберпреступлениям. Было заблокировано 66,9 миллиона звонков, совершённых с поддельных номеров.

По данным Антифрод-центра, благодаря оперативным действиям удалось предотвратить хищение свыше 2,6 миллиарда тенге, принадлежащих казахстанцам.

По словам эксперта в сфере кибербезопасности Абылая Исина, для того чтобы пресечь действия мошенников, общество должно проявлять осознанную бдительность.

— Большинство людей не придают значения подозрительным звонкам или сообщениям от мошенников. Обращаются в полицию лишь тогда, когда уже стали жертвой. Однако каждый подозрительный звонок или SMS может быть тревожным сигналом о том, что ваши персональные данные уже утекли. Обществу необходимо выработать привычку сообщать обо всех подозрительных случаях — только так можно понять масштабы проблемы и выстроить системную работу по её решению, — отметил эксперт.

Осторожно: мобильные приложения тоже могут быть угрозой

Эксперты призывают с особой осторожностью относиться к приложениям, предназначенным для покупок. Во-первых, при регистрации зачастую требуется указывать электронную почту, номер банковской карты и другую чувствительную информацию. С одной стороны, это делает оплату удобной, с другой — существенно снижает уровень безопасности. Если компания в какой-то момент закроется, её информационные системы могут остаться без защиты — и тогда опытным хакерам не составит труда взломать базу данных. Бывали случаи, когда через подобные взломы преступники пытались проникнуть и в государственные информационные системы.

Во-вторых, базы данных некоторых мобильных приложений могут храниться за рубежом, и если они расположены не в Казахстане, государство не несёт ответственности за их безопасность. К тому же, в мировой практике участились случаи, когда финансовые компании продавали данные своих клиентов. Именно поэтому специалисты советуют избегать регистрации на неизвестных и ненадёжных платформах.

На сегодняшний день нет точной информации о том, какой процент иностранных компаний, действующих в Казахстане, хранит данные за границей. Министерство цифрового развития пояснило, что не ведёт официальную статистику по данному вопросу из-за отсутствия соответствующих полномочий.

Можно ли удалить персональные данные, переданные банкам?

Увы, многие граждане не знают даже самых базовых правил защиты персональных данных: нельзя передавать другим свою электронную цифровую подпись, нельзя отвечать на подозрительные звонки, нельзя разглашать данные банковской карты. Специалист по информационной безопасности Ерболат Турсункожа отмечает, что даже после подачи заявки на получение кредита граждане не всегда осознают свои права. По его словам, если человек передумал брать кредит или открывать счёт, он имеет полное право написать заявление о ликвидации своих персональных данных, ранее переданных банку. Однако большинство людей не только не делают этого, но даже не знают, что такая возможность существует.

Государство сейчас работает над тем, чтобы упростить эту процедуру. Как сообщил руководитель Управления по защите персональных данных Комитета информационной безопасности Нурбол Мукашев, до конца года планируется внедрить соответствующий механизм на портале eGov.kz.

— На eGov.kz появится функция, с помощью которой можно будет просматривать, каким организациям вы дали согласие на хранение своих данных, и при необходимости отозвать его. После подачи заявления компания будет обязана удалить ваши персональные данные в течение 15 рабочих дней. Кроме того, сегодня практически все цифровые операции проходят с использованием ЭЦП (электронной цифровой подписи). Однако, к сожалению, многие граждане не соблюдают даже элементарные правила её использования, — отметил он.

Тем не менее, отзыв согласия не всегда означает полное удаление данных. Ранее вице-министр цифрового развития Ростислав Коняшкин разъяснял действующие правовые нормы. Например, работодатель обязан хранить персональные данные своих сотрудников в течение как минимум десяти лет, и аналогичные требования действуют для банков. Если у клиента есть активный кредит, банк имеет право сохранять его персональные данные до момента полного закрытия долга. Поэтому на практике основной способ защиты по-прежнему — осторожность и противодействие фишингу.

BugBounty: более 4 000 уязвимостей — выявлены, половина уже устранена

В Казахстане с 2013 года действует «Закон о персональных данных и их защите». С момента его принятия в стране были запущены многочисленные проекты и созданы специализированные органы, призванные обеспечивать цифровую безопасность. Один из самых результативных механизмов на сегодня — это система BugBounty, работающая под эгидой Министерства цифрового развития, инноваций и аэрокосмической промышленности.

BugBounty занимается проверкой информационных систем как в государственном, так и в частном секторе. В системе зарегистрировано около 2 500 независимых экспертов, так называемых «белых хакеров», которые выявляют уязвимости и направляют отчёты соответствующим органам.

На наш запрос о результатах работы BugBounty в министерстве сообщили следующее. 

— В рамках программы BugBounty было выявлено 4 137 уязвимостей, из которых 2 368 уже устранены, что составляет около 57% от общего количества. Работа по устранению оставшихся уязвимостей продолжается. В первую очередь устраняются угрозы, отнесённые к категориям высокой и критической опасности. Для повышения эффективности планируется усиление мониторинга и ускорение сроков реагирования на инциденты, — говорится в официальном ответе.

Кибербезопасность требует немалых затрат

Обеспечение кибербезопасности — это затратный и трудоёмкий процесс. Он требует постоянного мониторинга, технической поддержки, высококвалифицированных специалистов. Для небольших компаний такие расходы зачастую становятся серьёзной нагрузкой. У них, в отличие от крупных предприятий, нет возможности нанимать профессиональных «белых хакеров» для тестирования своих систем. Поэтому эксперты подчёркивают: государство должно оказывать поддержку малым и средним организациям в обеспечении защиты их информационных баз.

Ранее мы писали о том, как казахстанцам проверить утечку персональных данных. 

Как номер Единого контакт-центра 1414 в Казахстане вписан в мошеннические схемы — читайте здесь.