Персональные данные казахстанцев:
кто виноват в утечках, как делают бизнес на продаже и чем защититься
кто виноват в утечках, как делают бизнес на продаже и чем защититься
Пора перестать думать, что информационная безопасность - это дело айтишников. Это дело всех.
Сегодня изучаем статус-кво с безопасностью персональных данных, слабыми звеньями и способах замести цифровые следы.
Из цифровой трансформации - в цифровой тоталитаризм
Проблема утечки персональных данных в Казахстане становится все острее. Каждый день граждане получают звонки и сообщения от кибермошенников: вам нужно поменять счетчики, продиктуйте ИИН; ваш сын попал в ДТП, нужны деньги «решить» проблему; мошенники пытаются взломать ваш банковский счет – продиктуйте код, который пришел на ваш номер – звонок автору этих строк после вызова популярного сервиса такси, и другие сценарии.
А недавно в Telegram и соцсетях появилась информация о базе данных 16 миллионов граждан Казахстана. В очередной утечке данных сейчас разбираются.
На днях в Алматы Агентство по финансовому мониторингу задержало глав Центра развития трудовых ресурсов («дочка» минтруда) и Первого кредитного бюро. Как утверждает АФМ, руководство ПКБ систематически передавало незаконные вознаграждения руководству ЦРТР за лоббирование интересов при оказании информационных услуг, необходимых для обработки запросов финансовых организаций. Поймали руководителей двух структур при передаче очередной взятки в размере $75 тыс.
Эксперт в сфере публичной политики Сабина Садиева псоле сообщений в СМИ озвучила то, что хотелось бы знать экспертному сообществу:
А недавно в Telegram и соцсетях появилась информация о базе данных 16 миллионов граждан Казахстана. В очередной утечке данных сейчас разбираются.
На днях в Алматы Агентство по финансовому мониторингу задержало глав Центра развития трудовых ресурсов («дочка» минтруда) и Первого кредитного бюро. Как утверждает АФМ, руководство ПКБ систематически передавало незаконные вознаграждения руководству ЦРТР за лоббирование интересов при оказании информационных услуг, необходимых для обработки запросов финансовых организаций. Поймали руководителей двух структур при передаче очередной взятки в размере $75 тыс.
Эксперт в сфере публичной политики Сабина Садиева псоле сообщений в СМИ озвучила то, что хотелось бы знать экспертному сообществу:
«Очень хочется больше деталей по делу ЦРТР / ПКБ. Вопрос не только во взятках за особый доступ к госданным - это вообще вопрос модели работы всех этих госАОшек.
Первый слой - это сами государственные данные. Суть конфликта в том, откуда они берутся и как устроен их сбор. Мы не передаем госорганам информацию о себе добровольно. У нас нет выбора: если не делиться данными, нас просто выключают из систем администрирования, и мы не получаем доступ к госуслугам, не попадём в базу, не сможем участвовать в жизни в формальном смысле. С переходом на цифровые форматы, способность государства управлять этим потоком данных резко возросла. Это принудительный обмен: «данные» в обмен на «управление».
Первый слой - это сами государственные данные. Суть конфликта в том, откуда они берутся и как устроен их сбор. Мы не передаем госорганам информацию о себе добровольно. У нас нет выбора: если не делиться данными, нас просто выключают из систем администрирования, и мы не получаем доступ к госуслугам, не попадём в базу, не сможем участвовать в жизни в формальном смысле. С переходом на цифровые форматы, способность государства управлять этим потоком данных резко возросла. Это принудительный обмен: «данные» в обмен на «управление».
Садиева отмечает: с переходом в цифровой формат этот поток данных стал гораздо более управляемым, и на фоне взаимной интеграции баз данных госорганов появились структуры вроде ЦРТР - узлы, где данные накапливаются «естественным образом», по ходу движения административных процессов внутри госаппарата. Это принципиальный момент: они не производят и не собирают данные целенаправленно, они просто стали узлами в системе интегрированного электронного государства. Они - операторы.
«Проблема не в том, что данные продаются. Проблема в том, что мы до сих пор не выработали понимание: эти данные - это public domain, общественное достояние. Мы уже заплатили за них, через свои налоги и через участие в адмпроцессах (часть приватности и прав).
Поэтому коммерциализация таких данных - вопрос тонкий. Даже если не затрагиваются персональные данные, а используются обезличенные массивы, все равно остаются принципы, которые должны соблюдаться.
Эти данные нельзя продавать по логике частного рынка: монополизировать доступ к данным и ставить цену выше. Если данные открываются, то должен быть нормальный способ получить их для всех. Если оператор выставляет цену, он обязан объяснить ее затратами на хранение, защиту, поддержку инфраструктуры. Все, что сверх этого, это уже извлечение прибыли из общего ресурса, и оно требует как минимум политического обсуждения и законодательно установленных рамок», - резонно отмечает Сабина Садиева.
Поэтому коммерциализация таких данных - вопрос тонкий. Даже если не затрагиваются персональные данные, а используются обезличенные массивы, все равно остаются принципы, которые должны соблюдаться.
Эти данные нельзя продавать по логике частного рынка: монополизировать доступ к данным и ставить цену выше. Если данные открываются, то должен быть нормальный способ получить их для всех. Если оператор выставляет цену, он обязан объяснить ее затратами на хранение, защиту, поддержку инфраструктуры. Все, что сверх этого, это уже извлечение прибыли из общего ресурса, и оно требует как минимум политического обсуждения и законодательно установленных рамок», - резонно отмечает Сабина Садиева.
Здесь и возникает главный риск кейса «ЦРТР / ПКБ». Из-за отсутствия рамок и норм силовой блок может начать махать шашкой. Это приведет не к развитию сферы, а к ее закукливанию.
«Госструктуры, вместо того чтобы обсуждать регулирование и настраивать прозрачный доступ к данным, просто закроются еще больше. Исследовательский, общественный интерес их не убедит, да и доступ бизнесов к данным может быть парализован. Без четкой границы между тем, что является злоупотреблением, а что - результатом недорегулированности доступа к данным, мы получим очень нехороший эффект.
Вообще, очень сильно нарастает ассиметрия доступа к данным между государством и гражданином. У госорганов, благодаря цифровизации и ИИ, есть уже даже микро-данные о наших действиях в режиме реального времени. А у нас ЕПИР ГО, закрытие сайтов с архивами, и укороченные open legal acts», - акцентирует аналитик.
Вообще, очень сильно нарастает ассиметрия доступа к данным между государством и гражданином. У госорганов, благодаря цифровизации и ИИ, есть уже даже микро-данные о наших действиях в режиме реального времени. А у нас ЕПИР ГО, закрытие сайтов с архивами, и укороченные open legal acts», - акцентирует аналитик.
Сабина Садиева - эксперт в сфере публичной политики
Она уверена: нужна политика открытости госсектора, иначе мы из цифровой трансформации попадем в цифровой тоталитаризм.
«В будущем, наверное, за использование личных данных госсектора в коммерческих целях люди будут получать какие-то деньги, как артисты получают проценты от стриминговых платформ. Тогда смысл в этом появляется», - заключает эксперт.
Тем временем в самом ПКБ сообщили, что все сервисы доступны и работают без изменений.
Вопрос к системе
Специалист по технологиями информационной безопасности (ИБ), территориальный менеджер компании BAKOTECH и активный участник Qazaq IT сommunity Александр Баитов в разговоре с TAJ.report отметил: каждую компанию «ломают» по-разному.
«Редко, когда в рамках одной компании бывают два одинаковых инцидента. Что касается утечки персональных данных казахстанцев – опять же здесь не одинаковая ситуация, в зависимости от источника утечки данных, способа. Человеческий фактор, например, когда пользователь опубликовал чьи-то данные в рабочем чате или выгрузил в облако, где не было защиты.
Обычно мы ищем или назначаем виновными кибермошенников, а, возможно, проблема не в кибергруппировке, взломавшей данные, и не в конкретном человеке, допустившем оплошность, а в процессе, в самой системе. Если система допускает утечку данных, когда пользователь нажал «не туда», это проблема процесса управления системами ИБ внутри компании, проблема защиты данных, и с этим тоже надо работать», - говорит эксперт.
Обычно мы ищем или назначаем виновными кибермошенников, а, возможно, проблема не в кибергруппировке, взломавшей данные, и не в конкретном человеке, допустившем оплошность, а в процессе, в самой системе. Если система допускает утечку данных, когда пользователь нажал «не туда», это проблема процесса управления системами ИБ внутри компании, проблема защиты данных, и с этим тоже надо работать», - говорит эксперт.
За 10 лет работы в сфере ИБ текущие навыки цифровой гигиены казахстанцев он оценивает на 7 из 10.
Александр Баитов - специалист по технологиям информационной безопасности
«С одной стороны, граждане более-менее осведомлены о происходящих мошенничествах, новые схемы «разводов» на слуху, с другой - уровень критического мышления оставляет желать лучшего. Казахстанцы все так же продолжают вестись на обещания халявы, легкого способа заработка, призы и подарки и истории «пройдите по ссылке, проголосуйте».
Плюс киберпреступники используют ИИ: записывают голоса, внешность, используют взломанные аккаунты, звонят, пишут подписчикам, близким владельцам с «просьбами» о переводе денег. Кроме того, в соцсетях люди регулярно сами выкладывают информацию, по которой можно составить психологический и социальный портрет, узнать предпочтения человека, место работы и проживания, время и локацию отпуска. И каждый раз, когда вы публикуете такие сведения, это сравнимо с тем, что вы стоите посреди города в центре площади и кричите об этом публично», - говорит Александр Баитов.
Плюс киберпреступники используют ИИ: записывают голоса, внешность, используют взломанные аккаунты, звонят, пишут подписчикам, близким владельцам с «просьбами» о переводе денег. Кроме того, в соцсетях люди регулярно сами выкладывают информацию, по которой можно составить психологический и социальный портрет, узнать предпочтения человека, место работы и проживания, время и локацию отпуска. И каждый раз, когда вы публикуете такие сведения, это сравнимо с тем, что вы стоите посреди города в центре площади и кричите об этом публично», - говорит Александр Баитов.
На момент записи эксперт не владел деталями кейса ПКБ и ЦРТР, но отметил: корпорации Meta, Google, Apple и другие продают персональные данные пользователи и зарабатывают на этом очень хорошо.
Законные схемы
CEO «Axiom Capital» Болат Башеев в комментарии дела ПКБ и ЦРТР обозначил: ЦРТР занимается продажей данных абсолютно законно.
«При подаче заявки на кредит, рассрочку в банках, МФО вы всегда подписываете согласие на обработку персональных данных. Финансовые организации берут расписки или публикуют оферту. Так что в этой части кейса нет нарушения закона «О персональных данных».
БВУ, МКО, Каспий магазин запрашивают кредитное досье у Государственного кредитного бюро либо у частного ПКБ. Обе структуры оказывают одинаковые услуги. А уже ГКБ и ПКБ запрашивают данные в ЦРТР - сведения о пенсионных отчислениях и другие за 3-6 месяцев. Данная информация формирует выручку ЦРТР в 11-12 млрд тенге в год.
Еще раз - это госкомпания, которая работает официально через Smart Bridge шлюз электронного правительства, предоставляя ГКБ и ПКБ данные о доходах населения по согласию граждан. Никто не будет брать данные без него - зачем платить 280-300 тенге, если человек не берет кредит?..
Эта часть схемы абсолютно законная. При этом между ГКБ и ПКБ
нет прямой конкуренции – сведения предоставляют обеим компаниям, и зачем давать за это взятки, непонятно. ПКБ не был подрядчиком ЦРТР, он - покупатель ЦРТР», - рассуждает Болат Башеев.
БВУ, МКО, Каспий магазин запрашивают кредитное досье у Государственного кредитного бюро либо у частного ПКБ. Обе структуры оказывают одинаковые услуги. А уже ГКБ и ПКБ запрашивают данные в ЦРТР - сведения о пенсионных отчислениях и другие за 3-6 месяцев. Данная информация формирует выручку ЦРТР в 11-12 млрд тенге в год.
Еще раз - это госкомпания, которая работает официально через Smart Bridge шлюз электронного правительства, предоставляя ГКБ и ПКБ данные о доходах населения по согласию граждан. Никто не будет брать данные без него - зачем платить 280-300 тенге, если человек не берет кредит?..
Эта часть схемы абсолютно законная. При этом между ГКБ и ПКБ
нет прямой конкуренции – сведения предоставляют обеим компаниям, и зачем давать за это взятки, непонятно. ПКБ не был подрядчиком ЦРТР, он - покупатель ЦРТР», - рассуждает Болат Башеев.
Больше автоматизации, меньше бюрократии
Также мы поинтересовались мнением эксперта по поводу новых требований в РФ для иностранцев с точки зрения информационной безопасности. Напомним, с 30 июня 2025 года все въезжающие в РФ должны предъявить цифровой профиль в приложении RuID и получить QR-код.
«Любая биоидентификация - это большой вопрос. Кто-то снял отпечатки пальцев, ваше лицо. Сервисы, где хранятся соответствующие сведения, могут взломать, и преступники могут изготовить копии ваших отпечатков пальцев и наставить их сколько угодно и где угодно, подделать подписи.
Вопрос сохранности этих данных остается открытым, как и вопрос самих процедур. Как хранятся эти данные, как используются, какие гарантии дает – если дает – соответствующая служба», - отмечает собеседник канала.
Вопрос сохранности этих данных остается открытым, как и вопрос самих процедур. Как хранятся эти данные, как используются, какие гарантии дает – если дает – соответствующая служба», - отмечает собеседник канала.
В целом, оценивая статус-кво в сфере ИБ, Болат Башеев констатирует, что ГТС (Гостехническая служба), Комитет информбезопасности, МЦРИАП работают в части усиления ИБ, но постепенно происходит бюрократизация процессов.
«Автоматизацией охвачены еще не все сектора, а где ее нет, появляется коррупция, мошеннические схемы. Надо найти баланс между уровнем бюрократии и проверкой на ИБ. Нужны открытые стандарты.
ГТС каждый год проверяет информационные системы процедур по 28 инструментам. Если служба сможет сделать их дешевыми и доступными за 24 часа, это позволит охватить больше приложений, которые бы проверялись на ИБ, поможет снять бюрократические препоны», - считает специалист.
ГТС каждый год проверяет информационные системы процедур по 28 инструментам. Если служба сможет сделать их дешевыми и доступными за 24 часа, это позволит охватить больше приложений, которые бы проверялись на ИБ, поможет снять бюрократические препоны», - считает специалист.
Болат Башеев - CEO Axiom Capital
А как обезопасить себя и свой бизнес в условиях роста киберкриминала?
«Если в случае с кражей персональных данных мы говорим о выводе личных средств, то в бизнесе это риски внедрения вирусов-вымогателей.
Они зашифровывают клиентские, бухгалтерские данные, работа компании останавливается. Для разблокировки у малого бизнеса могут запросить до $10 тыс., например, а с банков - и $2-3 млн.
В Казахстане каждая первая компания хотя бы раз в жизни сталкивалась со взломами. 80% всех взломов в B2B - это вирусы-шифровальщики. Поэтому бизнес всегда должен иметь резервные копии на все данные, регулярно снимающиеся. А это двойные расходы. Иначе придется платить выкуп - и то нет гарантии, что ваши данные расшифруют», - отмечает Болат Башеев.
Они зашифровывают клиентские, бухгалтерские данные, работа компании останавливается. Для разблокировки у малого бизнеса могут запросить до $10 тыс., например, а с банков - и $2-3 млн.
В Казахстане каждая первая компания хотя бы раз в жизни сталкивалась со взломами. 80% всех взломов в B2B - это вирусы-шифровальщики. Поэтому бизнес всегда должен иметь резервные копии на все данные, регулярно снимающиеся. А это двойные расходы. Иначе придется платить выкуп - и то нет гарантии, что ваши данные расшифруют», - отмечает Болат Башеев.
Ввести заморозку
Известный финансист Расул Рысмамбетов тоже высказался, как быстро победить кибермошенников и спасти жизни людей.
«Парень в соседнем кабинете несколько дней ходил сам не свой. Оказывается, мошенники через онлайн звонок обманом заставили его взять кредит в Kaspi, перевести деньги во Freedom bank и уже оттуда вывели средства.
У друзей на работе девушка едва не свела счеты с жизнью, когда ее обманули мошенники, заставили взять кредит в МФО, который она будет выплачивать несколько лет, во всем себе отказывая.
Боюсь, что сейчас в Казахстане десятки людей попав в мошеннический оборот, хотят покончить с жизнью, потому что не видят возможности, что банк им поверит, да и вообще кто-то вмешается», - говорит эксперт.
У друзей на работе девушка едва не свела счеты с жизнью, когда ее обманули мошенники, заставили взять кредит в МФО, который она будет выплачивать несколько лет, во всем себе отказывая.
Боюсь, что сейчас в Казахстане десятки людей попав в мошеннический оборот, хотят покончить с жизнью, потому что не видят возможности, что банк им поверит, да и вообще кто-то вмешается», - говорит эксперт.
На его взгляд, есть простое решение, которые уже предлагало агентство финрегулирования, - ввести заморозку на сутки любых заявок на кредит. Онлайн, вживую – не так важно. За сутки любой человек придет в себя от морока, наведенного на него мошенниками.
«Я понимаю банки и МФО, которым срочно нужно продать деньги, сделать быструю эмоциональную продажу, любимый телефон, утюг, холодильник. Но если можно спасти даже одну человеческую жизнь - меру по заморозке заявок нужно ввести уже сегодня. Спасти человека и человечность», - резонно заявляет Рысмамбетов.
И добавляет: срочный кредит в течение пары часов мало где нужен. Срочная медпомощь в республике бесплатная. А вот мошенники напирают именно на срочность кредита, чтобы не дать человеку одуматься. Введение cooling-off совсем не означает, что надо ловить мошенников другими способами, но предложение касается спасения жизни людей, уточнил финаналитик.
Касается каждого
А в Центре анализа и расследования кибератак (ЦАРКА) подвели первые итоги работы сервиса кибербезопасности граждан Nomad Guard в eGov Mobile. 463 494 пользователя проверили, подвергались ли их персональные данные утечке; >4 000 ссылок проанализировано на предмет фишинга и вредоносного программного обеспечения; >200 уникальных опасных ресурсов выявлено и направлено на блокировку.
Скоро в Nomad Guard появятся обучающие материалы и тесты по цифровой гигиене и кибербезопасности; простые памятки для старшего поколения; проверка на наличие признаков финпирамиды; проверка «порядочности» Instagram-магазинов и другие.
Разработчики также готовы внедрить сервис в банковские супераппы;
e-commerce-экосистемы и маркетплейсы, телеком- и финтех-платформы.
Скоро в Nomad Guard появятся обучающие материалы и тесты по цифровой гигиене и кибербезопасности; простые памятки для старшего поколения; проверка на наличие признаков финпирамиды; проверка «порядочности» Instagram-магазинов и другие.
Разработчики также готовы внедрить сервис в банковские супераппы;
e-commerce-экосистемы и маркетплейсы, телеком- и финтех-платформы.
Рекомендации
В завершение материала приведем рекомендации экспертов, как обезопасить себя.
«Привяжите под сервисы отдельный номер телефона и отдельную банковскую карту. Те же интернет-платежи проводите через одну карту, на которой всегда держите небольшие суммы. Основные платежи совершайте через другие карты.
Тем, кто боится забыть пароли к приложениям и сервисам, советую использовать менеджер паролей. Проще запомнить один пароль от мессенджера паролей, а дальше он генерит данные к вашим аккаунтам.
Далее - соблюдайте кибергигиену. Не выкладывайте личную информацию (поездки, отпуска, билеты с посадочными и т.п.) в соцсетях. Либо делайте уже постфактум.
Меня спрашивают, что делать при очередной утечке данных, но наши данные и так в Сети, и без утечки. Смысла паниковать и расстраиваться нет - важно включать критическое мышление. И не отвечайте на незнакомые номера! Есть приложения по защите от звонков от мошенников. А если подняли трубку, говорите «Алло» вместо «Да» - вас могут записывать в этот момент. И не ведите бесед, не играйте с мошенниками. Всегда перезванивайте в банки, полицию, если вам сообщили о якобы инциденте», - призывает Александр Баитов.
Тем, кто боится забыть пароли к приложениям и сервисам, советую использовать менеджер паролей. Проще запомнить один пароль от мессенджера паролей, а дальше он генерит данные к вашим аккаунтам.
Далее - соблюдайте кибергигиену. Не выкладывайте личную информацию (поездки, отпуска, билеты с посадочными и т.п.) в соцсетях. Либо делайте уже постфактум.
Меня спрашивают, что делать при очередной утечке данных, но наши данные и так в Сети, и без утечки. Смысла паниковать и расстраиваться нет - важно включать критическое мышление. И не отвечайте на незнакомые номера! Есть приложения по защите от звонков от мошенников. А если подняли трубку, говорите «Алло» вместо «Да» - вас могут записывать в этот момент. И не ведите бесед, не играйте с мошенниками. Всегда перезванивайте в банки, полицию, если вам сообщили о якобы инциденте», - призывает Александр Баитов.
Рекомендации бизнесу – понять и принять ту вещь, что каждый раз, когда бизнес развивает цифровой сервис, важно делать это с позиции ИБ.
«Совдир дает задачу запустить приложение, разработчики делают, не протестировав толком - нет времени, конкуренты уже обгоняют.
А мы, как пользователи, смотрим: у банка появилось новое приложение, новый сервис, начинаем заходить, загружаем данные, привязываем карту, а приложение не совсем защищено, преступники находят уязвимости и выводят наши деньги.
Бизнес часто начинает задумываться про ИБ после инцидента, а не до. Поэтому каждый шаг цифровизации всегда согласовывайте со специалистами ИБ- и ITдепартаментов. Они должны работать вместе над развитием бизнеса, из взаимодействия всех сторон получается крутой результат. Пусть не такой быстрый, но по уровню качества и защищенности продукт заберет клиентов от тех, кто сделал быстро и получил заявления в суд за утечку данных. За это, кстати, вводят штрафы», - говорит эксперт.
А мы, как пользователи, смотрим: у банка появилось новое приложение, новый сервис, начинаем заходить, загружаем данные, привязываем карту, а приложение не совсем защищено, преступники находят уязвимости и выводят наши деньги.
Бизнес часто начинает задумываться про ИБ после инцидента, а не до. Поэтому каждый шаг цифровизации всегда согласовывайте со специалистами ИБ- и ITдепартаментов. Они должны работать вместе над развитием бизнеса, из взаимодействия всех сторон получается крутой результат. Пусть не такой быстрый, но по уровню качества и защищенности продукт заберет клиентов от тех, кто сделал быстро и получил заявления в суд за утечку данных. За это, кстати, вводят штрафы», - говорит эксперт.
И еще один момент - человеческий фактор в контексте ИБ устранить сложно, но реально.
«В компаниях зачастую ИБ представляется как набор неких технологий, о процессах и людях при этом забывают. А это основа любого бизнеса. Ограничьте доступ к данным. Пора перестать думать, что ИБ - это дело айтишников. Это дело всех», - резюмирует специалист.
Подпишись на наш Telegram, чтобы знать больше
АВТОР
НАЗГУЛЬ АБЖЕКЕНОВА
© 2025 All Rights Reserved