Цифровая дыра: почему личные данные казахстанцев постоянно утекают
DALL-Е
В эпоху глобальной цифровизации казахстанцы все чаще сталкиваются с утечками своих персональных данных. Отсутствие должной цифровой гигиены у населения и некомпетентность госорганов делает эту проблему особенно острой. Каковы пробелы в защите портала электронного правительства, какие меры кибербезопасности необходимы государству и какую роль в этих утечках играет Министерство цифровизации и аэрокосмической промышленности? Об этом рассказали казахстанские специалисты в материале Orda.kz.
Технологически-археологические раскопки eGov
Экс-глава холдинга Zerde Арман Абдрасилов отметил, что на инциденты с утечками данных влияет как человеческий фактор, так и проблемы в цифровой инфраструктуре:
«Проблемы информационной безопасности остались на каждом технологическом и организационном уровне. Они наслаиваются друг на друга уже 20 лет. Соответственно, проблему так просто не решить, это требует проведения технологических археологических раскопок, исправляя их в глубине архитектуры. То есть в какой-то период ошибки оставались из-за человеческого фактора и процессов обнаружения и исключения ошибок, из-за приоритета общей цифровизации перед информационной безопасностью, а затем они покрывались слоями новых проблем — сервисными и технологическими. Просто так эти проблемы не исправить».
Также Абдрасилов прокомментировал, что изменилось с тех пор, как он сам работал с этими системами:
«Из того, что стало лучше — мы видим подключение системы электронного правительства к платформе Bug Bounty. Эта платформа позволяет подключаться белым хакерам, исследователям, которые могут тестировать портал eGov и находить уязвимости. Надо отметить, что за это короткое время они нашли несколько тысяч уязвимостей, большая часть из которых до сих пор не закрыта. Информация о них не публикуется именно потому, что они не устранены — вопрос все ещё открыт».
К сожалению, системного решения проблем до сих пор нет, добавил спикер, занимаются какими-то локальными попытками залатать дыры, замести под ковер. Многие ошибки системные, к ним нужен целостный, архитектурный подход.
«Когда мы ещё работали, то планировали исправить все недочёты, переписав весь портал электронного правительства за счёт собственных средств холдинга Zerde. Наш единственный запрос был оставить прибыль в компании, чтобы мы могли обойтись без обращения к госбюджету. После нашего ухода сделали и то, и другое. Оставили прибыль в группе компаний и привлекли дополнительный бюджет», подчеркнул спикер.
По его словам, нужно провести процедуру очистки баз данных.
«А если говорить в целом про электронное правительство, нужно пересмотреть архитектуру, приоритеты безопасности и только потом начинать глобальную перестройку. К сожалению, сейчас приоритет другой — выбора поставщика. Приоритет отдаётся тем поставщикам, которые ближе к телу. Есть какие-то предпочтения по используемым технологиям, что тоже неправильно. Регулятору какие-то технологии нравятся, какие-то нет, и он диктует, какие нужно использовать, тем самым затачивая конкурсы под конкретных поставщиков», поделился Абдрасилов.
По его мнению, МЦРИАП как курирующее ведомство несёт ответственность за утечки данных.
«Министерство определяет государственную политику, и в последние годы она была направлена на притягивание приближённых компаний и отталкивание неугодных. Это привело к отрицательной селекции, и начали работать те компании, которые эмоционально ближе к регулятору, а не технологически глубже или по иным показателям лучше конкурентов», — завершил он.
Цифровизация важнее безопасности
Олжас Сатиев, глава Центра анализа и расследования кибератак, подчёркивает, что проблемы с кибербезопасностью в Казахстане усугубляются из-за приоритета цифровизации перед защитой данных.
«Одна из главных причин проблем с кибербезопасностью и утечками заключается в том, что мы делали более удобные сервисы, работали на скорость и запускали их очень быстро, KPI был на скорость и количество, а вопрос безопасности не стоял. И теперь мы, к сожалению, пожинаем плоды», объясняет Сатиев.
Он указывает, что многие системы, созданные более пяти лет назад, сегодня становятся лёгкой мишенью для хакеров из-за устаревших технологий и недостаточной защиты:
«С ростом использования электронных сервисов естественно возрастает рост кибератак на них. Мы видим активизацию не только местных, но и зарубежных хакерских группировок, которые ищут уязвимости в наших системах и пытаются скачать базы данных с личной информацией казахстанцев».
Сатиев также анонсировал скорую публикацию отчёта ЦАРКи о серьёзной уязвимости: многие разработчики неправильно используют авторизацию через ЭЦП на многих порталах. На некоторые сервисы можно было зайти под любым юридическим и физическим лицом. Спикер считает, что для населения всё пытаются сделать более удобным, например, авторизацию через SMS и облачные ЭЦП, но на самом деле из-за этого возникают и проблемы с безопасностью.
Читайте также:
Глава Центра подчеркнул необходимость изменить подход к разработке IT-проектов. Кибербезопасность нужно внедрять уже в процессе разработки, а не рассматривать как последующее добавление.
«У нас сначала сдаётся система в эксплуатацию, а уже потом — и то, если закажут, — проводится аудит безопасности. Но по сути это лечение симптомов, а не болезни. Пора предусматривать всё с самого начала работы над проектом, привлекать специалистов по кибербезопасности с первых стадий разработки», рассказал спикер.
Также очень не хватает профессиональных кадров.
«У нас очень много начинающих специалистов, много уровня Junior или Middle, но если говорить о более продвинутых, Senior или Team Lead, архитекторах в области кибербезопасности, то их катастрофически мало. Они вырастают и потом уезжают из страны. Поэтому нам лучше делать ориентир на хороших специалистов, и тогда они поднимут всю отрасль», — резюмировал Сатиев.
Он отметил, что интерес хакеров и киберпреступников к Казахстану сильно вырос в последние годы. Это связано в первую очередь с бурными темпами роста цифровизации.
«Последние кейсы показывают, что за нами следят, проникают в наши системы, внедряются и сидят по несколько лет. И с каждым годом таких случаев будет всё больше и больше. Тем более Казахстан является такой спокойной гаванью в нашем регионе, и тут очень много интереса различных политических деятелей», — предостерёг он.
Некомпетентность и бюрократия
Основатель компании Nitro Team и специалист по кибербезопасности Батыржан Тютеев обеспокоен уровнем защиты информационных систем в Казахстане. Он подчеркнул, что основные уязвимости связаны с недостаточной компетенцией персонала и неблагоприятными условиями для разработчиков.
«В своей практике я столкнулся с ситуацией, когда клиент требует реализацию сложного функционала в кратчайшие сроки. Это часто приводит к тому, что качество кода становится второстепенным, что увеличивает риск уязвимостей. Что касается портала eGov, он подвержен аналогичным проблемам: задачи ставятся с приоритетом на скорость, а не на безопасность, что приводило к критическим ошибкам в реализации некоторых функций, например, в реализации 42 500 или временной регистрации по месту жительства. Серьёзная проблема в eGov слишком частая смена команды разработчиков, нет ничего хуже, чем читать чужой код», рассказывает Батыржан Тютеев.
По его словам, государственные системы, как правило, менее защищены по причине бюрократии. Если частный бизнес может оперативно приобрести необходимое программное обеспечение, то в государственных структурах это требует длительной процедуры закупок и планирования бюджета. Это делает процесс обновления и усиления безопасности медленным и неэффективным, в результате страдает безопасность данных.
«Ответственность МЦРИАП в этих случаях неоднозначна, так как каждый проект проходит аттестацию на соответствие стандартам информационной безопасности. Однако аттестация проводится лишь однажды, тогда как изменения в код вносятся регулярно. К концу года проект, прошедший аттестацию, может значительно отличаться от своей первоначальной версии, что ставит под вопрос актуальность полученных сертификаций», — отметил он, комментируя новости о недавних утечках.
Спикер подчеркнул: для минимизации рисков подобных инцидентов необходимо усилить обучение персонала и внедрить чёткие регламенты действий при инцидентах информационной безопасности.
«Важно упростить процедуры лицензирования для специалистов в области информационной безопасности, чтобы дать возможность молодым и перспективным компаниям более активно участвовать в укреплении безопасности. Например, моя компания потратила целый год и две попытки, чтобы получить лицензию», — объясняет Тютеев.
Проблема не в количестве кадров, а в их компетенции и излишней бюрократии, которая мешает эффективной работе. Необходимо сосредоточить усилия на повышении квалификации и оптимизации процессов, чтобы улучшить защиту данных.
Он добавил, что дело не только в защите государственных ресурсов, но в целом в сервисах, которые используют казахстанцы.
«Злоумышленники могут использовать данные казахстанцев, организовывая кол-центры для мошенничества и "обработки" граждан. Они могут знать много личной информации о целях: от марки автомобиля до школьных друзей. Важно понимать, что источниками данных часто становятся не только государственные ресурсы, но и социальные сети, а также утечки из различных сервисов, например, из баз данных Яндекс Еда, ВКонтакте, базы данных перелётов, львиную долю данных люди сами отдают мошенникам. Это позволяет злоумышленникам создавать детализированные досье на людей», резюмировал спикер.
Человеческий фактор и уязвимости системы
Виталий Пустовойтенко, руководитель комитета услуг регионального совета НПП «Атамекен» Астаны, один из разработчиков приложения Ashyq, поделился мнением о главных причинах утечек информации в Казахстане. По его словам, основные причины — это человеческий фактор и технические уязвимости системы безопасности.
Официальные данные указывают на то, что инсайдерские угрозы, исходящие от сотрудников, составляют более 35 % причин утечки данных.
«Если говорить про защиту, то можно выделить два случая: плохо организованная защита или оборудование со скрытым функционалом, которое может допускать утечки», — добавил он.
Разработчик также отметил, что иногда утечек может и не быть, но пользователи различных сервисов публикуют свои персональные данные в открытом доступе, что упрощает задачу злоумышленникам.
«Достаточно провести анализ социальных сетей, чтобы узнать дату рождения, телефон и имейл, а иногда люди публикуют и ИИН в открытом доступе», указал Пустовойтенко.
Спикер также подчеркнул важность защиты данных как для государственного сектора, так и для частного бизнеса, где каждая сфера сталкивается со своими вызовами.
«В каждой сфере есть свои вызовы: если государственные органы часто сталкиваются с необходимостью защиты огромного объёма данных, то бизнес прежде всего озабочен риском потери репутации и финансовых потерь из-за недостаточной защиты информации», — поделился он.
Разработчик рассказал о мерах, которые принимала его компания для внедрения проекта Ashyq в государственные системы: «При разработке Ashyq мы ограничили использование персональных данных до минимума, фокусируясь на проверке личности и статуса ПЦР-тестов. Мы внедрили продукт с соблюдением всех необходимых мер безопасности, включая шифрование данных и использование защищённых серверов».
»Диалог между государственными органами и бизнесом в области информационной безопасности существует, но он не всегда бывает эффективным. Сложности возникают при попытках интеграции и обмена данными, так как существует строгое регулирование как публичной, так и персональной информации. Важно понимать, что излишние ограничения на доступ к данным могут серьёзно замедлить развитие цифровых сервисов и инноваций в стране. Нам нужно найти баланс между безопасностью и оперативностью, чтобы поддерживать развитие технологий при соблюдении норм безопасности», — резюмировал Виталий Пустовойтенко.
Читайте также:
Лента новостей
- Сборная Казахстана с флагом страны на Олимпийских играх в Париже
- Челябинская область: прорыв плотины, затопило несколько сёл
- «Переводчик смеётся, обвиняемый протестует»: Айтбек Амангельды возмущён судом над Айтеновым
- В Париже началась церемония открытия XXXIII летних Олимпийских игр
- Арест и выдворение: иностранца задержали в Астане за домогательства к женщине
- Суд в Алматы вынес приговор избившему детей в лифте
- Олимпиада в Париже: волна преступлений захлестнула город
- Рэпер Снуп Догг пронёс олимпийский огонь перед открытием Олимпиады
- «Не сможем простить его»: родные погибших супругов, которых сбил полицейский
- Подрядчик сорвал сроки, но продолжает получать миллионы от акимата Алматинской области
- Казахстан хочет принять международные нормы по минимальной зарплате
- Леса в двух регионах отдали совместной казахстанско-китайской компании
- Шуточный срок: как казахстанцы отреагировали на арест комика Александра Меркуля
- Котельная в сельской школе горела в Жамбылской области
- «Я обнимал её, а она дубасила» — что Айтенов сказал в суде
- «В Шымкенте похитили девушку, полиция отказалась заводить дело» — Дина Смаилова
- Комфортные школы: что правда, а что миф?
- Зампрокурора Алматы Нурлан Ауганбаев вернулся на работу
- Бывшей супруге Марата Айтенова вынесли предупреждение
- «Здесь просто отмывают деньги!»: жители улицы недалеко от Акорды устали от многолетнего ремонта
