Так, 5 марта стало известно, что произошла утечка более чем 2 млн персональных данных казахстанцев. Этот факт установила Государственная техническая служба РК. Как стало известно, все являются клиентами микрофинансовой организации МФО «Займер» (zaimerkz) (ТОО «МФО «Робокэш.кз»). В целом, обнаружено более 36 млн данных клиентов микрофинансовых организаций, функционирующих на платформе Robo finance. Из них в России – 23,6 млн; на Филиппины – 5 млн; Вьетнам – 2 млн. В Минцифры прокомментировали ситуацию, заявив, что уведомят всех казахстанцев, чьи персональные данные утекли в Сеть, посредством мобильного приложения EgovMobile.
Позже в министерстве рассказали, что делать пострадавшим от утечки данных казахстанцам, которые получили уведомление от МФО «Займер» (zaimerkz):
«Относительно утечки более двух миллионов персональных данных граждан в микрофинансовой организации zaimerkz. По результатам установления личностей клиентов ведомство направило соответствующее уведомление пострадавшим от утечки гражданам в мобильном приложении EgovMobile».
Что же следует предпринять после получения уведомления?
«Если вам поступило уведомление, но при этом вы не давали согласия на сбор и обработку персональных данных ТОО «МФО «Робокэш.кз» и ранее не взаимодействовали с указанной микрофинансовой организацией, то в этом случае просим вас обратиться в Комитет по информационной безопасности МЦРИАП для полноценного рассмотрения и принятия необходимых мер, предусмотренных законодательством Казахстана, в отношении виновных лиц», – заявили в Минцифры.
Грешат этим и госслужащие. 11 марта стало известно, что сотрудник налоговой воровал персональные данные и оформлял на людей кредиты. Совершал налоговик это под предлогом сдачи деклараций, получая биометрические данные казахстанцев. Как уточнили в прокуратуре Акмолинской области, мошенника уже привлекли к ответственности.
Поэтому необходимо быть бдительными, даже оплачивая налоги в госорганизации, где также можно встретить недобросовестных сотрудников и быть обманутым.
Что же делается для обеспечения безопасности наших данных?
Редакция обратилась в Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана, чтобы узнать, как государство защищает наши личные данные и как решается проблема утечки конфиденциальной информации.
С июня 2020 года министерство в лице Комитета по информационной безопасности определено уполномоченным органом в сфере защиты персональных данных. Мы обратились в ведомство, чтобы узнать, как в Казахстане работают с конфиденциальностью и борьбой с утечкой личных данных.
Известно, что проблема безопасности персональных данных обострилась во всем мире. Этому способствует колоссальный рост объемов информации о гражданах, которую собирают всевозможные организации. При этом обостряет эту проблему в Казахстане стремительная цифровизация государственных и коммерческих структур.
«На сегодняшний день влияние информационно-коммуникационных технологий усиливается во всех сферах деятельности государства, организаций, гражданского общества. В соответствии с системой государственного планирования в республике 28 марта 2023 года утверждена Концепция цифровой трансформации, развития отрасли информационных технологий и кибербезопасности на 2023-2029 годы с отдельными целями и задачами, а также отдельным направлением по развитию кибербезопасности», – отметили в МЦРИАП РК
На укрепление кибербезопасности страны в данной Концепции предусмотрены дополнительные меры, сообщили в министерстве. Для усиления кибербезопасности совершенствуется нормативно-правовое регулирование его обеспечения, в том числе, для повышения человеческого капитала и развития информационно-коммуникационных технологий на отечественном рынке.
Кроме того, министерством на постоянной основе проводятся работы по совершенствованию законодательства в сфере защиты персональных данных и принимаются меры по привлечению лиц к ответственности. Также проводятся внеплановые проверки по соблюдению мер защиты персональных данных в электронных информационных ресурсах.
«За 2023 год по вопросам электронной цифровой подписи (ЭЦП) и защиты персональных данных возбуждено и рассмотрено 63 административных дела, по итогам которых наложены штрафы на общую сумму более 2 млн тенге», — МЦРИАП РК.
Вместе с тем функционирует государственный сервис контроля доступа к персональным данным (КДП). Он предназначен для того, чтобы предоставлять доступ к персональным данным после получения соответствующего согласия со стороны гражданина. Именно он занимается отправкой SMS-сообщений (или иным путем) с запросом на доступ к персональным данным субъекта персональных данных.
По информации ведомства, непосредственно сервис КДП позволяет гражданам отслеживать использование их персональных данных, которые содержатся в государственных хранилищах, через отказ или разрешение доступа к ним.
Что создано на данное время?
В рамках исполнения поручения президента Республики Казахстан касательно разработки и внесения законодательных изменений по усилению ответственности за утечку персональных данных граждан (пункт 1.5.5 Протокола совещания заседания Комиссии при Президенте Республики Казахстан по вопросам внедрения цифровизации в Республике Казахстан № 21-01-7.21 от 27 октября 2021 года) 11 декабря 2023 года подписан Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» (далее – Закон).
Подписанный президентом Закон направлен на усиление защиты персональных данных и определение новых механизмов взаимодействия при обеспечении информационной безопасности объектов информатизации, в том числе государственных органов.
Закон предусматривает следующие нововведения в части:
‒ наделения уполномоченного органа в сфере защиты персональных данных функцией государственного контроля за соблюдением законодательства Республики Казахстан о персональных данных и их защите;
‒ установления запрета на сбор, обработку копий документов, удостоверяющих личность, содержащих персональные данные, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан;
‒ информирования граждан о фактах утечки персональных данных. В настоящее время, понимая важность проведения комплексной работы, а также в целях минимизации последствий при утечке персональных данных, нами проводятся работы по установлению обязанности собственника и (или) оператора по уведомлению уполномоченного органа по фактам утечки персональных данных, по итогам которой информация будет направлена пользователю для предотвращения дальнейшего несанкционированного доступа к персональным данным;
‒ создания программы взаимодействия с исследователями информационной безопасности (BugBounty), регулирующей институт «белых хакеров»;
‒ трансформации процедуры испытаний информационных систем;
‒ установления добровольного отказа от получения банковских займов;
‒ установления процедуры приостановления, возобновления действия лицензии на осуществление деятельности по цифровому майнингу и лишения (отзыв) лицензии.
Какая работа проводится в этом направлении?
Министерством инициированы поправки в Кодекс РК «Об административных правонарушениях», предусматривающие увеличение срока давности привлечения к административной ответственности за совершение правонарушений в сферах защиты персональных данных, электронного документа и электронной цифровой подписи. Кроме того, об увеличении в три раза размеров административных штрафов в сферах защиты персональных данных и информатизации. Указанные поправки находятся на рассмотрении в Мажилисе Республики Казахстан.
«В рамках Концепции стоит задача по рассмотрению вопроса присоединения к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера. Считаем, что последующая ратификация этой Конвенции даст возможность гражданам Республики Казахстан защищать свои права и интересы при сборе и обработке их персональных данных операторами стран, ратифицировавших эту Конвенцию», — МЦРИАП РК.
В Министерстве цифрового развития напомнили, что за нарушение требований законодательства о персональных данных и их защите предусмотрена административная, а также уголовная ответственность.
Кроме того, в Казахстане существует Национальная служба реагирования на компьютерные инциденты (KZ-CERT). Это единый центр для пользователей национальных информационных систем и сегмента интернет, обеспечивающий сбор и анализ информации по компьютерным инцидентам, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности.
В компетенцию службы входит обработка следующих компьютерных инцидентов с целью их выявления и нейтрализации:
— захват паролей и другой аутентификационной информации;
— взлом систем защиты информационных сетей;
— сканирование информационных сетей и хостов;
— несанкционированный доступ к информационным ресурсам;
— распространение вредоносного ПО, незатребованной корреспонденции (спама);
— атаки на узлы сетевой инфраструктуры и серверные ресурсы.
С рекомендациями в отношении безопасности граждан в сети Интернет можно ознакомиться на сайте KZ-CERT.
В свою очередь в МВД РК сообщили, что со стороны министерства также принимаются меры по профилактике и раскрытию указанных преступлений.
Ведется активное взаимодействие с операторами связи по блокировке «зарубежных» фрод-звонков. Так, за прошлый год пресечено 44 млн попыток таких соединений.
В регионах действуют специализированные группы «Киберпол», которыми в 2023 году раскрыто более 3,7 тыс. таких преступлений, гражданам возмещено 850 млн тенге.
Кроме того, при мониторинге Сети выявлено и передано в Министерство культуры и информации РК для блокирования 6,1 тыс. интернет-ресурсов.
Повсеместно проводится разъяснительная работа среди населения.
В министерстве отметили, что наибольшее количество интернет-мошенничеств совершается в сфере онлайн-торговли путем размещения заведомо ложных объявлений. Таким способом в 2023 году совершено 1334 из 3645 преступлений.
Чтобы люди не попадались на удочку онлайн-преступников, важным аспектом работы государственных структур в противодействии интернет-мошенничествам является проведение широкой разъяснительной работы с населением по повышению правовой и финансовой грамотности, информирование о видах интернет-мошенничеств, способах и мерах предосторожности.
Но, несмотря на комплексную работу, ежегодно такой вид мошенничества только набирает обороты.
По сообщению сайта EKaraganda.kz