Цифровая дыра: почему личные данные казахстанцев постоянно утекают
В эпоху глобальной цифровизации казахстанцы все чаще сталкиваются с утечками своих персональных данных. Отсутствие должной цифровой гигиены у населения и некомпетентность госорганов делает эту проблему особенно острой. Каковы пробелы в защите портала электронного правительства, какие меры кибербезопасности необходимы государству и какую роль в этих утечках играет Министерство цифровизации и аэрокосмической промышленности? Об этом рассказали казахстанские специалисты в материале Orda.kz.
Технологически-археологические раскопки eGov
Экс-глава холдинга Zerde Арман Абдрасилов отметил, что на инциденты с утечками данных влияет как человеческий фактор, так и проблемы в цифровой инфраструктуре:
«Проблемы информационной безопасности остались на каждом технологическом и организационном уровне. Они наслаиваются друг на друга уже 20 лет. Соответственно, проблему так просто не решить, это требует проведения технологических археологических раскопок, исправляя их в глубине архитектуры. То есть в какой-то период ошибки оставались из-за человеческого фактора и процессов обнаружения и исключения ошибок, из-за приоритета общей цифровизации перед информационной безопасностью, а затем они покрывались слоями новых проблем — сервисными и технологическими. Просто так эти проблемы не исправить».
Также Абдрасилов прокомментировал, что изменилось с тех пор, как он сам работал с этими системами:
«Из того, что стало лучше — мы видим подключение системы электронного правительства к платформе Bug Bounty. Эта платформа позволяет подключаться белым хакерам, исследователям, которые могут тестировать портал eGov и находить уязвимости. Надо отметить, что за это короткое время они нашли несколько тысяч уязвимостей, большая часть из которых до сих пор не закрыта. Информация о них не публикуется именно потому, что они не устранены — вопрос все ещё открыт».
К сожалению, системного решения проблем до сих пор нет, добавил спикер, занимаются какими-то локальными попытками залатать дыры, замести под ковер. Многие ошибки системные, к ним нужен целостный, архитектурный подход.
«Когда мы ещё работали, то планировали исправить все недочёты, переписав весь портал электронного правительства за счёт собственных средств холдинга Zerde. Наш единственный запрос был оставить прибыль в компании, чтобы мы могли обойтись без обращения к госбюджету. После нашего ухода сделали и то, и другое. Оставили прибыль в группе компаний и привлекли дополнительный бюджет», подчеркнул спикер.
По его словам, нужно провести процедуру очистки баз данных.
«А если говорить в целом про электронное правительство, нужно пересмотреть архитектуру, приоритеты безопасности и только потом начинать глобальную перестройку. К сожалению, сейчас приоритет другой — выбора поставщика. Приоритет отдаётся тем поставщикам, которые ближе к телу. Есть какие-то предпочтения по используемым технологиям, что тоже неправильно. Регулятору какие-то технологии нравятся, какие-то нет, и он диктует, какие нужно использовать, тем самым затачивая конкурсы под конкретных поставщиков», поделился Абдрасилов.
По его мнению, МЦРИАП как курирующее ведомство несёт ответственность за утечки данных.
Цифровизация важнее безопасности
Олжас Сатиев, глава Центра анализа и расследования кибератак, подчёркивает, что проблемы с кибербезопасностью в Казахстане усугубляются из-за приоритета цифровизации перед защитой данных.
«Одна из главных причин проблем с кибербезопасностью и утечками заключается в том, что мы делали более удобные сервисы, работали на скорость и запускали их очень быстро, KPI был на скорость и количество, а вопрос безопасности не стоял. И теперь мы, к сожалению, пожинаем плоды», объясняет Сатиев.
Он указывает, что многие системы, созданные более пяти лет назад, сегодня становятся лёгкой мишенью для хакеров из-за устаревших технологий и недостаточной защиты:
Сатиев также анонсировал скорую публикацию отчёта ЦАРКи о серьёзной уязвимости: многие разработчики неправильно используют авторизацию через ЭЦП на многих порталах. На некоторые сервисы можно было зайти под любым юридическим и физическим лицом. Спикер считает, что для населения всё пытаются сделать более удобным, например, авторизацию через SMS и облачные ЭЦП, но на самом деле из-за этого возникают и проблемы с безопасностью.
Читайте также:
Глава Центра подчеркнул необходимость изменить подход к разработке IT-проектов. Кибербезопасность нужно внедрять уже в процессе разработки, а не рассматривать как последующее добавление.
«У нас сначала сдаётся система в эксплуатацию, а уже потом — и то, если закажут, — проводится аудит безопасности. Но по сути это лечение симптомов, а не болезни. Пора предусматривать всё с самого начала работы над проектом, привлекать специалистов по кибербезопасности с первых стадий разработки», рассказал спикер.
Также очень не хватает профессиональных кадров.
«У нас очень много начинающих специалистов, много уровня Junior или Middle, но если говорить о более продвинутых, Senior или Team Lead, архитекторах в области кибербезопасности, то их катастрофически мало. Они вырастают и потом уезжают из страны. Поэтому нам лучше делать ориентир на хороших специалистов, и тогда они поднимут всю отрасль», — резюмировал Сатиев.
Он отметил, что интерес хакеров и киберпреступников к Казахстану сильно вырос в последние годы. Это связано в первую очередь с бурными темпами роста цифровизации.
Некомпетентность и бюрократия
Основатель компании Nitro Team и специалист по кибербезопасности Батыржан Тютеев обеспокоен уровнем защиты информационных систем в Казахстане. Он подчеркнул, что основные уязвимости связаны с недостаточной компетенцией персонала и неблагоприятными условиями для разработчиков.
«В своей практике я столкнулся с ситуацией, когда клиент требует реализацию сложного функционала в кратчайшие сроки. Это часто приводит к тому, что качество кода становится второстепенным, что увеличивает риск уязвимостей. Что касается портала eGov, он подвержен аналогичным проблемам: задачи ставятся с приоритетом на скорость, а не на безопасность, что приводило к критическим ошибкам в реализации некоторых функций, например, в реализации 42 500 или временной регистрации по месту жительства. Серьёзная проблема в eGov слишком частая смена команды разработчиков, нет ничего хуже, чем читать чужой код», рассказывает Батыржан Тютеев.
По его словам, государственные системы, как правило, менее защищены по причине бюрократии. Если частный бизнес может оперативно приобрести необходимое программное обеспечение, то в государственных структурах это требует длительной процедуры закупок и планирования бюджета. Это делает процесс обновления и усиления безопасности медленным и неэффективным, в результате страдает безопасность данных.
«Ответственность МЦРИАП в этих случаях неоднозначна, так как каждый проект проходит аттестацию на соответствие стандартам информационной безопасности. Однако аттестация проводится лишь однажды, тогда как изменения в код вносятся регулярно. К концу года проект, прошедший аттестацию, может значительно отличаться от своей первоначальной версии, что ставит под вопрос актуальность полученных сертификаций», — отметил он, комментируя новости о недавних утечках.
Спикер подчеркнул: для минимизации рисков подобных инцидентов необходимо усилить обучение персонала и внедрить чёткие регламенты действий при инцидентах информационной безопасности.
Проблема не в количестве кадров, а в их компетенции и излишней бюрократии, которая мешает эффективной работе. Необходимо сосредоточить усилия на повышении квалификации и оптимизации процессов, чтобы улучшить защиту данных.
Он добавил, что дело не только в защите государственных ресурсов, но в целом в сервисах, которые используют казахстанцы.
«Злоумышленники могут использовать данные казахстанцев, организовывая кол-центры для мошенничества и "обработки" граждан. Они могут знать много личной информации о целях: от марки автомобиля до школьных друзей. Важно понимать, что источниками данных часто становятся не только государственные ресурсы, но и социальные сети, а также утечки из различных сервисов, например, из баз данных Яндекс Еда, ВКонтакте, базы данных перелётов, львиную долю данных люди сами отдают мошенникам. Это позволяет злоумышленникам создавать детализированные досье на людей», резюмировал спикер.
Человеческий фактор и уязвимости системы
Виталий Пустовойтенко, руководитель комитета услуг регионального совета НПП «Атамекен» Астаны, один из разработчиков приложения Ashyq, поделился мнением о главных причинах утечек информации в Казахстане. По его словам, основные причины — это человеческий фактор и технические уязвимости системы безопасности.
Официальные данные указывают на то, что инсайдерские угрозы, исходящие от сотрудников, составляют более 35 % причин утечки данных.
Разработчик также отметил, что иногда утечек может и не быть, но пользователи различных сервисов публикуют свои персональные данные в открытом доступе, что упрощает задачу злоумышленникам.
«Достаточно провести анализ социальных сетей, чтобы узнать дату рождения, телефон и имейл, а иногда люди публикуют и ИИН в открытом доступе», указал Пустовойтенко.
Спикер также подчеркнул важность защиты данных как для государственного сектора, так и для частного бизнеса, где каждая сфера сталкивается со своими вызовами.
Разработчик рассказал о мерах, которые принимала его компания для внедрения проекта Ashyq в государственные системы: «При разработке Ashyq мы ограничили использование персональных данных до минимума, фокусируясь на проверке личности и статуса ПЦР-тестов. Мы внедрили продукт с соблюдением всех необходимых мер безопасности, включая шифрование данных и использование защищённых серверов».
»Диалог между государственными органами и бизнесом в области информационной безопасности существует, но он не всегда бывает эффективным. Сложности возникают при попытках интеграции и обмена данными, так как существует строгое регулирование как публичной, так и персональной информации. Важно понимать, что излишние ограничения на доступ к данным могут серьёзно замедлить развитие цифровых сервисов и инноваций в стране. Нам нужно найти баланс между безопасностью и оперативностью, чтобы поддерживать развитие технологий при соблюдении норм безопасности», — резюмировал Виталий Пустовойтенко.
Читайте также:
Лента новостей
- В Туркестанской области задержаны организаторы нелегальной миграции
- Новая железнодорожная авария: столкновение тепловоза и локомотива у разъезда Сарысу
- Казахстан увеличивает импорт из России: лидируют металлы и техника
- Между Канадой и Индией разгорается дипломатический скандал
- Казахстанцы смогут влиять на зарплаты чиновников через онлайн-оценку их работы
- Пиво ни при чём? Полицейские прокомментировали видео с кадрами убийства подростка в Талгаре
- «Мы казахи — у всех амбиции»: Назарбаевы — оппозиционеры? Убийство в Талгаре. АЭС от РФ — не угроза?
- Казахстанцу заплатили два миллиона тенге за 21 год страданий
- Шутка или неуважение? С Черчесовым потребовали провести разъяснительную работу по поводу казахского языка
- Брат Хасана Касымбаева, которого связывают с предположительной ОПГ «Хуторские», уволен из акимата Талгарского района
- Интим без согласия: казахстанцев осудили за распространение личных фото
- В Хромтау в морозильнике нашли голову пропавшего мужчины
- «Занимайтесь строительством»: инвесторы Кашагана резко ответили QazaqGaz
- Мост через Есиль для ЛРТ достроили в Астане
- Посредничество в мирных процессах, тёплое отношение к армянам, исторические корни: что Токаев сказал Хачатуряну
- Скандал вокруг спецкомплекса для сирот «Жануя»: чиновники отрицают, что меняли детям диагнозы
- Казахстан продаст Китаю уран почти на полтора триллиона тенге
- Бывший начальник отдела управделами президента получил высокую должность в МЧС
- Bereke Business: особое отношение к предпринимателям
- В Кыргызстане запретили роскошные надгробия