Кибершабуыл: қазақстандықтардың жеке дерегі тарап кетуі неден

Қауіп қалай басталды?

Оқиға маусымның бел ортасында болғаны есте. Ғаламторда CSV-файлға салынған 16,3 млн тармақтан тұратын дерек табылды. Бұл ақпараттардың ел азаматтарына қатысты мәлімет екені файл атауынан-ақ аңғарылатын. Онда «2024 жылы Қазақстан тұрғындарының мәліметтері» деп көрсетілген.

Ішінде адамдардың аты-жөні, байланыс нөмірі туралы мәліметті байқауға болады. ЖСН, жұмыс телефоны, тіпті тұрғылықты мекенжайға қай жылы қоныстанғанына дейін көрсетілген. Жалпы алғанда желіге 15,8 миллион ЖСН, 16 миллион телефон нөмірі тараған.

Алғашқылардың бірі болып дереккөзді жариялаған Telegram-дағы SecuriXy.kz арнасы да, кейін олқылықты мойындаған жауапты министрлік те ақпараттың бізге қатысы барын дәлелдеген. Ең қорқыныштысы, мұндағы тармақ – 16 млн, яғни дерекқордағы мәліметтің барлығы ел азаматтарына тиесілі деп санасақ, халықтың 70 пайызының мәліметі қолды болды деген сөз.

Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі Kazinform сауалына жолдаған жауабында мәліметтер мемлекеттік мекемеден емес, жеке сектор немесе кәсіпкерлік ұйымдардан кеткен деп түсіндірді.

- Желіде жарияланған деректердің өзектілігін талдаумен қоса, ақпараттық жүйелерге жоспардан тыс тексеру жүргізілді. Тексеру қорытындысы бойынша мемлекеттік ақпараттық жүйелерді бұзу фактілері анықталған жоқ. Интернетте кең таралған дерекқорда 2022 жылға қатысты ескірген деректер бар екендігі анықталды, – деді министрліктегілер.

«Айыппұлды мемлекетке емес, азаматтарға төлеу қажет»

Мемлекеттік құрылымда мін болмаса, олқылық қайдан шығып отыр? Киберқауіпсіздік саласындағы сарапшы Абылай Исин бұған микроқаржы мен бизнес ұйымдарының қатысы бар деп санайды. Оның сөзінше, жеке сектор тұтынушылар туралы мәліметтерді жинақтайды әрі оны өздерінің дереккқорларына сақтауға құқылы. Мәліметтердің таралуы осы арналардан болуы ықтимал.

Мысалы, сіз микроқаржы ұйымынан несие аларда немесе жеке медициналық клиникаға қаралар сәтте өзіңіз туралы мәлімет ұсынуға міндеттісіз. Ол – заңмен бекітілген норма. Мәліметті алған ұйым ақпаратты базасына жинақтайды, қорғауды міндетіне алады. Алайда ол міндет өз деңгейінде орындала бермейді.

– Биыл 43-тен астам жеке деректің таралуы байқалды. Әрбірінде 5-10 мың адамның мәліметі болды деген болжам бар. Ірі компанияларда кибергигиена деңгейі өте төмен. Кейбірі ақпараттарының ұрланғанын білмейді десек, артық емес. 

Қиыны, компаниялар халыққа деректердің ұрланғанын айта бермейді. Мұндай заңсыздық үшін белгіленген айыппұл көлемінің аздығы іске селсоқ қарауға себеп болып отыр. Кәсіпкерлерге ел алдына шығып мойындағаннан айыппұл төлеген оңай. Билік аталған бағыттағы айыппұлды 8 млн теңгеге дейін ұлғайтты. Енді нәтиже болатын секілді, – деді сарапшы.

Мойындау керек, ірі компанияларға 7-8 млн теңге төлеу түк емес. Деректерді қорғауға, жауапкершілік алуға асықпауының сыры осында жатыр. Ақпараттық қауіпсіздік саласының маманы Ерболат Тұрсынқожаның айтуынша, компанияларға айыппұлды белгілеудің өзге тетігін қарайтын кез келді. Мысалы, айыппұлды белгілеу кезінде нақты соманы емес, қаржы айналымының белгілі бір пайызын беруді міндеттеу маңызды. Сонда ғана салада өзгеріс болмақ.

– Еуропада бұл талап GDPR деп аталады. Компаниялар деректерді қорғай алмаса, айыппұл ретінде мемлекетке айналымдағы қаржының белгілі бір пайызын беруге тиіс. Ресейде «айналым айыппұлы» деген ұғымды енгізді. Бізге де осы әдісті қолдану қажет. Әйтпесе, азын-аулақ шығын істі алға сүйремейді, – деді спикер.

Кейінгі жылдары айыппұл мемлекет пен компания арасындағы дауды шешу амалынан әрі аспай отыр. Халыққа келер пайдасы шамалы. Ерболат Тұрсынқожа мәселенің шешімі ретінде екінші нұсқаны – азаматтарға өтемақы беруді қарастыруға болады деген ойды ұсынды. Компания айыппұлды мемлекетке ғана емес, жеке дерегі тараған азаматқа да төлеуі керек.

– Ұсыныс бұрыннан айтылып келеді. Идеяның қолдау таппай отырғанына бірнеше себеп бар. Алдымен тараған дерек үшін ортақ өтемақы белгілеу оңай емес. Құқықтық шеңберде тығырыққа тірелеміз. Шартты түрде түсіндірейік, зардап шегуші топ жеке дерегін қорғай алмағаны үшін белгілі бір компанияны сотқа берді делік. Біреу өтемақы ретінде 100 мың теңге талап етсе, енді бірі 1 млн теңге сұрауы мүмкін ғой. Сондықтан тұрақсыз есеп істі созып, жағдайды қиындатады. Ал ортақ өтемақының мөлшері белгіленсе, оған халық толық келіспейтіні күмәнсіз, – дейді ол.

Әзірге дербес деректерді қорғаудың жалғыз жолы заңды күшейту болып отыр. Мысалы, қаңтар айында әкімшілік-құқықбузылық кодексінің 79-бабы мен 641-бабына өзгеріс еніп, белгіленген айыппұл көлемі ұлғайтылды. Бұрын біреудің жеке дерегіне тиіскендерге 10-нан 1000 АЕК дейін айыппұл салынса, қазір көлем 30-дан 2000 АЕК-ге дейін көбейді.

Айта кетерлігі, министрлік кейінгі үш жылда дербес деректер саласындағы заңнамаға қатысты 133 тексеріс, электрондық цифрлық қолтаңбаның қауіпсіздігін қамтамасыз етуге қатысты 53 тексеріс жүргізіпті. Кінәлілерді әкімшілік-құқықбузылық кодексінің жоғарыда аталған екі бабына сүйеніп жауапқа тартқан. Редакцияға жолдаған ресми жауапта жазаланғандар саны мен айыппұл сомасы туралы дерек айтылмапты.

Мемлекет деректерді қорғай ала ма?

Тағы бір мәселе – компаниялардағы деректерді бақылау билік құзырында болмауы. Бұған дейін Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министрі Ростислав Коняшкиннің мемлекет жеке сектордағы ақпараттық базаларды бақылауды күшейту керек дегенін естідік. Себебі қазір компаниялар дерекқорының ортақ жүйесі жоқ.

– Жеке деректердің қолды болуына көп жағдайда жеке ақпараттық жүйелердің әлсіздігі себеп. Оған қоса, кей мемлекеттік мекеменің белгілі бір бағдарламасына арналған ақпараттық жүйе жеке секторда сақталуы мүмкін. Қазір министрлік маңызды деректерді мемлекеттің қарауына алуға қам жасап жатыр. 

Түсінуіміз керек, жеке деректер мемлекет бақылауында болған кезде ғана оларды қорғай аламыз. Мысалы, «Ұлттық ақпараттық технологиялар» АҚ, «Электрондық қаржы орталығы» АҚ-да деректер сақталса, біз жауаптымыз. Егер жеке деректер сыртқы жүйеде болса, оларды қорғау анағұрлым қиын, – дейді вице-министр.

Қазақстан мемлекеттік ақпараттық базаларды қорғауда Орталық Азияда көш басында тұр. Әрине, 16 млн адамның дерегі тараған тұста мұндай дерекке сену қиын, алайда нақты мемлекеттік базалардың киберқауіпсіздігі жоғары. Вице-министрдің жеке сектордағы ақпараттық базаларды да мемлекет қорғауына алу керек деген ойының түп мақсаты осы деректен туындап отыр.

Мысалы, бүгінде 570 нысанның киберқауіпсіздігі бақылауға алынған:

• мемлекеттік қызмет көрсетету саласында – 126;
• байланыс және ақпарат саласында – 247;
• транспорт саласында – 50;
• қаржы саласында – 70;
• энергетика саласында – 16;
• денсаулық сақтау саласында – 32;
• мұнай-газ, тау-кен саласында – 29 нысан бақылауда.

Жарты жылда 11 мың интернет алаяқтық тіркелген

Ғаламторда тараған жеке деректерден қандай қауіп бар? Басты қауіп –мәліметтер алаяқтық мақсатта пайдаланылуы мүмкін. Кейінгі жылдары үдеген интернет алаяқтық қолды болған деректер арқылы жасалып жатыр. Жақында Астана мен Алматыда орналасқан 5 call-орталықтың алаяқтық әрекеті әшкереленді. Ал алғашқы 6 айда 11 000-нан астам интернет-алаяқтық дерегі тіркеліп, 74 sim-box құрылғысы мен 88 мыңнан астам тіркелмеген SIM-карта тәркіленген. 870 адам киберқылмыстарға қатысқаны үшін қылмыстық жауапкершілікке тартылса, 66,9 млн жалған нөмірден жасалған қоңырау бұғатталыпты. «Антифрод-орталығы» қазақстандықтардың 2,6 млрд теңгеден астам қаржысын сақтап қалған.

Киберқауіпсіздік саласындағы сарапшы Абылай Исиннің сөзінше, алаяқтардың жолын кесу үшін қоғам сақтық танытуы керек.

– Көбі алаяқтардың хабарламасына, қоңырауына мән бере бермейді. Тек алданғанын білгенде құқық қорғау органдарына шағымданады. Негізі кез келген күмәнді қоңырау мен СМС-хабарлама жеке деректің тарағанынан хабар береді. Қоғам барлық күмәнді әрекетті хабарлауға дағдылануы қажет. Осы арқылы іс ауқымын білуге және жүйелі жұмыс істеуге жол ашылады, – деді сарапшы.

Сонымен қатар сарапшылар сауда жасауға арналған қосымшаға сақтықпен қарауға шақырды. Біріншіден, қосымшаға тіркелу кезінде пошта адресін, карта нөмірін жазу үрдісі бар. Бұл төлем жасауды жеңілдеткенімен, қауіпсіздікті төмендетеді. Кейін компания жабылып, ақпараттық жүйелері қорғаусыз қалғанда, әккі хакерлерге базаларды бұзып кіру қиын емес. Сол арқылы мемлекеттік деректер қорына шабуыл жасайтындар бар.

Екіншіден, кей мобильді қосымшаның деректер базасы шетелде сақталуы мүмкін. Қазақстан аумағында орналаспаған базаның қауіпсіздігіне мемлекет жауап бере алмайды. Оның үстіне, әлемде қаржы ұйымдары тарапынан тұтынушыларының дерегін сату фактісі жиі кездеседі. Сондықтан белгісіз платформаларға тіркелуді азайту орынды.

Қазір елде жұмыс істейтін шетелдік компаниялардың қанша пайызы деректер базасын өзге мемлекетте сақтайтыны туралы ақпарат жоқ. Министрлік «тиісті құзыреттің болмауына байланысты осы мәселе бойынша ресми статистика жүргізбейтінін» айтты.

Банктегі дербес деректі өшіруге бола ма?

Өкінішті жайт, азаматтар жеке дерегін қорғаудың қарапайым ережелерінен бейхабар: электронды цифрлы қолтаңбаны бөгде адамға бермеу, күмәнді қоңырауға жауап бермеу, банк картасындағы деректерді айтпау. Ақпараттық қауіпсіздік саласының маманы Ерболат Тұрсынқожа банктен несие алуға өтінім бергеннен кейінгі қадам да ескеріле бермейтініне алаңдаулы. Оның сөзінше, банкке жеке дерегін берген азамат кейін несие алудан айнып қалса немесе шот ашпаса, қаржы ұйымына өзінің дербес деректерін жою туралы өтініш жазуына болады. Халықтың қарапайым нұсқауға мән бермейтіні өз алдына, мұндай мүмкіндіктің барын білмейді.

Мемлекет бұл әдісті жеңілдетудің жолын іздеп жатыр. Ақпараттық қауіпсіздік комитеті дербес деректерді қорғау басқармасының басшысы Нұрбол Мұқашев жыл соңына дейін eGov.kz порталына өзгеріс енеді деп отыр. Бастама жүзеге асса, үйден шықпай-ақ кез келген ұйымдағы жеке дерегіңізді қайтарып алуға болады.

– eGov.kz порталында дербес деректерді қайтып алуға мүмкіндік беретін тетік қосылады. Әр адам қай мекемеге дербес деректерін сақтауға келісім бергенін көре алады. Қажет болса, қайтарып алуға жол ашық. Сонда 15 күн ішінде дербес деректер жойылуы керек. Сол секілді қазір барлық цифрлық операциялар электронды қолтаңба, яғни бәріне белгілі ЭЦҚ көмегімен жүзеге асырылады. Алайда оны қолдану ережелеріне де көпшілік немқұрайлық танытады, – деді басқарма басшысы.

Дегенмен, бұл ұйымдардағы жеке дерегіңіз түбегейлі жойылады дегенді білдірмейді. Бұған дейін Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министрі Ростислав Коняшкин деректерді сақтауға қатысты нормаларды жеткізген болатын. Айталық, жұмыс беруші қызметкерлер туралы деректі оншақты жыл сақтауға міндетті. Мұндай талап банктерде де қолданылады. Қаржы ұйымында несиеңіз болса, олар несие толық жабылғанша жеке деректерді сақтауға құқылы. Сол себепті әзірге фишингтік алаяқтықтан сақтану ғана қалған сыңайлы.

BugBounty: 4 мыңнан астам ақау анықталған

2013 жылы «Жеке деректер және оларды қорғау» туралы заң қабылданды. Содан бері цифрлық қауіпсіздікті қамтамасыз етуге арналған жобалар, артынша арнайы мекемелер құрылды. Қазір солардың арасында белсенді жұмыс істеп тұрғаны – BugBounty жүйесі. Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігіне қарасты бағдарлама мемлекеттік және жеке сектордағы ақпараттық жүйелерге мониторинг жасайды. Платформада 2500-ге жуық тәуелсіз сарапшы бар, олар жүйелердегі ақауларды анықтап, жауапты органдарға жіберумен айналысады.

Орайы келгенде министрліктен жүйенің қазіргі нәтижесі туралы сұраған болатынбыз.

– BugBounty жүйесі 4 137 ақауды анықтап, оның 2 368-і жойылған, бұл – жалпы көлемнің шамамен 57 пайызы. Қазір қалған ақауларды жою жұмысы жүргізіліп жатыр. Қауіптің маңызды және жоғары қауіпті санаттарына басымдық беріледі. Процестің тиімділігін арттыру мақсатында мониторингті күшейту, сондай-ақ инциденттерге ден қою мерзімдерін жеделдету көзделген, – деп жазылған жауапта.

Ақпараттық қауіпсіздікті қорғау ауқымды қаржыны талап етеді. Үздіксіз бақылау, техникалық қолдау қажет. Шағын ұйымдар үшін мұндай шығын айтарлықтай салмақ түсіретінін де ойлаған жөн. Оларда ірі компаниялар секілді «ақ хакерлерді» жалдап, өздерінің киберқауіпсіздігін тексеру мүмкіндігі жоқ. Сарапшылар шағын ұйымдардың ақпараттық базасын қорғауға мемлекет қолғабыс етуі керек деп санайды.