Почему произошла утечка персональных данных казахстанцев и как их защитить

Недавно стало известно о масштабной утечке персональных данных 16 миллионов казахстанцев. Министерство цифрового развития, инноваций и аэрокосмической промышленности подтвердило достоверность информации и сообщило о начале расследования. Kazinform собрал мнения экспертов и попытался проанализировать возможные причины произошедшего инцидента

Как возникла угроза?

О масштабной утечке персональных данных стало известно в середине июня. В интернете был обнаружен файл формата CSV, содержащий 16,3 миллиона строк данных. Уже по названию документа становилось ясно, что речь идёт о сведениях, касающихся граждан Казахстана: в его заголовке значилось «Данные жителей Казахстана за 2024 год», пишет inform.kz

Содержимое файла включало в себя информацию об именах и фамилиях людей, их контактных номерах. Также были указаны индивидуальные идентификационные номера (ИИН), рабочие телефоны, а в некоторых случаях — даже год заселения по месту жительства. В целом в открытый доступ попало 15,8 миллиона ИИН и 16 миллионов телефонных номеров.

Как Telegram-канал SecuriXy.kz, одним из первых опубликовавший утечку, так и ответственное министерство, позднее подтвердившее ее достоверность, заявили, что данные действительно принадлежат гражданам Казахстана. Самое тревожное — это объём: 16 миллионов строк. Если предположить, что каждая строка соответствует одному человеку, можно утверждать, что данные примерно 70% населения страны оказались в открытом доступе.

В официальном ответе на запрос агентства Kazinform Министерство цифрового развития, инноваций и аэрокосмической промышленности пояснило, что утечка произошла не из государственных структур, а из частного сектора или предпринимательских организаций:

— Наряду с анализом актуальности опубликованных данных в интернете, были проведены внеплановые проверки информационных систем. По результатам проверок фактов взлома государственных информационных систем не выявлено. Также было установлено, что в опубликованной в сети базе содержатся устаревшие данные, относящиеся к 2024 году, — сообщили в министерстве.

Штраф — государству, компенсация — гражданам

Если государственные информационные системы не были скомпрометированы, то откуда произошла утечка? Эксперт в области кибербезопасности Абылай Исин считает, что в случившемся могут быть замешаны микрофинансовые организации и бизнес-структуры. По его словам, частный сектор имеет право собирать информацию о клиентах и хранить её в собственных базах данных. Именно оттуда и могла произойти утечка.

Например, при оформлении микрокредита или при обращении в частную медицинскую клинику человек обязан предоставить свои персональные данные. Это требование закреплено на законодательном уровне. Получившая данные организация обязана их надлежащим образом защищать. Однако на практике это обязательство не всегда выполняется.

— В этом году было зафиксировано более 43 случаев утечки персональных данных. По предварительным оценкам, каждый из них касался информации о 5-10 тысячах человек. Уровень кибергигиены в крупных компаниях оставляет желать лучшего. Некоторые даже не подозревают, что их данные уже были украдены — и это не преувеличение. Проблема усугубляется тем, что компании зачастую не информируют пострадавших граждан о произошедших утечках. Причина кроется в незначительных размерах штрафов, предусмотренных за подобные правонарушения. Это ведет к безответственному отношению к информационной безопасности. Бизнесу проще заплатить незначительный штраф, чем выйти на публику и признать факт утечки. Власти увеличили размер штрафов по данному направлению до 8 миллионов тенге. Полагаю, это может стать стимулом к более ответственному отношению к персональным данным и повысит уровень защиты информации, — считает Абылай Исин.

Следует откровенно признать: для крупных компаний штраф в размере 7-8 миллионов тенге — это сущие копейки. Именно поэтому они не торопятся ни усиливать защиту персональных данных, ни брать на себя реальную ответственность за их сохранность. Как считает эксперт в области информационной безопасности Ерболат Турсункожа, настало время пересмотреть сам подход к системе штрафных санкций. По его мнению, при назначении наказания важно не фиксировать конкретную сумму, а установить механизм, при котором штраф будет рассчитываться в виде определённого процента от годового финансового оборота компании. Только при таких условиях можно ожидать подвижек в этой критически важной сфере.

— В Европе действует подобная практика, известная как GDPR. Если компания не может обеспечить защиту персональных данных, она обязана выплатить штраф в виде установленного процента от своего оборота. В России уже введено понятие «оборотного штрафа». Казахстану также необходимо внедрить эту модель. Иначе незначительные финансовые потери не станут для бизнеса поводом изменить подход к защите данных, — подчеркнул специалист.

В последние годы штрафы стали исключительно инструментом урегулирования споров между государством и компаниями, и не приносят реальной пользы самим гражданам. В этой связи Ерболат Турсункожа предложил рассмотреть альтернативный подход: предусмотреть выплату прямой компенсации пострадавшим гражданам. По его мнению, компания должна возмещать ущерб не только государству, но и конкретным людям, чьи персональные данные оказались в открытом доступе.

— Такая инициатива выдвигалась уже не раз. Однако у ее реализации есть определенные препятствия. Прежде всего, крайне сложно установить единый размер компенсации за утечку данных. Мы неизбежно сталкиваемся с правовыми ограничениями. Объясню условно: допустим, группа граждан решит подать в суд на компанию, которая не обеспечила защиту их данных. Один может потребовать 100 тысяч тенге, другой — миллион. Разброс требований затянет процесс и усложнит расчёты. А если установить единый размер компенсации для всех, велика вероятность, что это вызовет недовольство общества и окажется несправедливым для части пострадавших, — отметил он.

Пока единственный выход — ужесточение законодательства

На текущий момент единственным действенным способом защиты персональных данных остаётся ужесточение норм законодательства. Так, в январе этого года были внесены изменения в статьи 79 и 641 Кодекса об административных правонарушениях, в результате чего размер штрафов был значительно увеличен. Если ранее за нарушение в сфере персональных данных предусматривался штраф в размере от 10 до 1 000 месячных расчётных показателей (МРП), то теперь эта планка составляет от 30 до 2 000 МРП.

Следует отметить, что за последние три года Министерство цифрового развития провело 133 проверки, касающиеся соблюдения законодательства в области защиты персональных данных, а также 53 проверки, направленные на обеспечение безопасности электронной цифровой подписи. Виновные привлекались к административной ответственности на основании вышеуказанных статей Кодекса. Однако в официальном ответе, направленном в редакцию, не приводятся конкретные данные о количестве наказанных лиц и общей сумме наложенных штрафов.

Способно ли государство защитить персональные данные?

Одна из ключевых проблем заключается в том, что государство не обладает прямым контролем над информационными системами частных компаний. Ранее вице-министр цифрового развития, инноваций и аэрокосмической промышленности Ростислав Коняшкин заявлял о необходимости усилить контроль над информационными базами, находящимися в частном секторе. Это связано с тем, что на сегодняшний день в Казахстане отсутствует единая централизованная система управления такими данными.

— Причиной утечек персональных данных в большинстве случаев становится уязвимость частных информационных систем. Более того, иногда данные, собираемые для нужд государственных программ, хранятся именно в частных структурах. Сейчас Министерство предпринимает меры, чтобы передать хранение таких важных данных в государственные руки. Мы должны понимать: только при условии, что персональные данные находятся под контролем государства, можно гарантировать их надёжную защиту. Если, к примеру, информация хранится в национальных организациях, таких как АО «Национальные информационные технологии» или АО «Центр электронных финансов», ответственность лежит на нас. Но если данные размещаются во внешних, частных системах, их защита становится гораздо более проблематичной, — пояснил вице-министр.

Он также добавил, что Казахстан на сегодняшний день занимает лидирующие позиции в Центральной Азии по уровню кибербезопасности государственных информационных баз. Конечно, после утечки данных 16 миллионов человек в это может быть трудно поверить, но с технической точки зрения уровень защищённости именно государственных систем действительно высок. По словам вице-министра, его призыв усилить контроль над информационными системами частного сектора был вызван именно этим громким инцидентом.

Под постоянным кибернаблюдением находятся 570 объектов, в том числе:

• в сфере предоставления государственных услуг — 126 объектов;
• в области связи и информационных технологий — 247;
• в транспортной сфере — 50;
• в финансовом секторе — 70;
• в энергетике — 16;
• в здравоохранении — 32;
• в нефтегазовой и горнодобывающей отраслях — 29 объектов.

За полгода зафиксировано 11 тысяч случаев интернет-мошенничества

Какие реальные угрозы несут в себе данные, попавшие в интернет? Самая серьёзная — это возможность их использования в мошеннических схемах. В последние годы количество преступлений в сфере интернет-мошенничества резко выросло, и всё чаще они совершаются именно с использованием утекших персональных данных.