Была ли утечка личных данных клиентов из ЕНПФ и «Эйр Астаны»

В Казахстане обсуждают утечку личных данных миллионов граждан, которую случайно обнаружили на открытом ресурсе. Ситуация затронула и другие страны.

Редакция медиапортала Сaravan.kz рассказывает, что происходит.

Центр анализа и расследования кибератак (ЦАРКА) сообщил, что «китайская хакерская группировка контролировала критические объекты IT-инфраструктуры Казахстана».

«16 февраля 2024 года на ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) — одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 — структура, контролируемая киберразведкой КНР, известная как APT41», - пояснили в компании.

Специалисты центра также рассказали, какие именно данные казахстанцев можно было обнаружить в открытом доступе.

«Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков», - сообщили в ЦАРКА.

В публикации упомянуты все крупные игроки казахстанского рынка связи – «Казахтелеком», Belline, Kcell, Tele2.

Далее сообщается, что утечка коснулась и Единого национального пенсионного фонда.

«enpf.kz — 1.92gb — 2019.12 — Интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д.», - приводит информацию ЦАРКА.

Далее приводятся скриншоты, которые, предположительно, демонстрируют закрытые данные клиентов Air Astana и рабочую переписку с почтового сервера Министерства обороны РК.

«Мы проверили, кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались в том числе и на сотрудников силовых структур», - добавили в центре.

Выводы эксперты сделали неутешительные.

«Китайская APT-группировка сидела в казахстанской инфраструктуре около 2 лет, и это только верхушка айсберга. Сколько еще невыявленных хакеров и утечек наших данных, неизвестно никому», - подытожили в ЦАРКА.

Реакция предположительно пострадавших от утечки организаций

Министерство обороны, Air Astana и операторы связи официальных комментариев по ситуации на данный момент не предоставили. ЕНПФ отрицает, что к данным клиентов фонда получила доступ третья сторона.

«АО «ЕНПФ» (далее - ЕНПФ, Фонд) в связи с распространением в Сети информации об утечке персональных данных казахстанцев из базы ЕНПФ, которые якобы размещены неизвестными лицами в документах на сайте GitHub, делает официальное заявление, что это не соответствует действительности.

Службы безопасности ЕНПФ провели детальный анализ данных, размещенных на сайте GitHub. В результате установлено, что в опубликованном каталоге приведено лишь описание сайта enpf.kz. При этом сайт является открытым источником информации и не содержит персональных данных вкладчиков и получателей», - сообщили в фонде.

В комментарии подчеркивается, что фонд тщательно заботится об информационной безопасности и регулярно проходит соответствующий аудит.

Реакция государства

Власти быстро подключились к ситуации.

«В связи с распространяющейся информацией в сети Интернет по утечке персональных данных сообщаем, что на сегодняшний день министерством совместно с Комитетом национальной безопасности Республики Казахстан проводится анализ полученных материалов.

По итогу анализа будут проведены внеплановые проверки в соответствующих организациях на предмет соблюдения требований законодательства Республики Казахстан о персональных данных и их защите, а также информационной безопасности», - сообщили в Министерстве цифрового развития, инноваций и аэрокосмической промышленности.

«В Минцифры при этом существует управление по защите персональных данных, которое осуществляет защиту прав всех граждан Казахстана. Однако штатная численность управления - 4 единицы», - говорится на странице депутата Екатерины Смышляевой.

Сегодня во время брифинга депутат сообщила, что будет поднят вопрос об увеличении штата данного управления.

«У нас утечек из госсистем достаточно мало», - также заявила госпожа депутат, заметив, что у частных компаний есть проблемы с информационной безопасностью.

«В частном секторе у нас такого энтузиазма нет, особенно со стороны владельцев компаний. Мы видим это, например, при заключении фиктивных договоров на подобные услуги. Не только в частном секторе, но и в квазигосударственном», – пояснила она.

Далее Екатерина Смышляева сказала, что будет подниматься вопрос об ужесточении ответственности за допущенные утечки, в частности, речь пойдет о повышении штрафов до сумм, сопоставимых с годовыми тратами компаний на информационную безопасность. Ранее планировалось поднять штрафы в 2-3 раза, однако теперь рост может быть и больше.

Кроме того, депутат отметила, что гражданам, которые хотят, чтобы их данные были защищены, также стоит проявлять бдительность, следить за тем, кому он доверяют свои данные, и при необходимости – обращаться в суды, потому что «когда начнутся суды, тогда начнутся траты».

Ситуацию также прокомментировал Руслан Абдикаликов, председатель комитета по информационной безопасности Министерства цифрового, инноваций и аэрокосмической промышленности РК.

«Мы не можем обвинять какую-либо страну или спецслужбу в том, что она нарушала наше законодательство. Прямых доказательств нет. В нашем понимании ситуация выглядит достаточно просто: есть хакерская группировка, которая, несомненно, работала на спецслужбу иностранного государства», - сказал он, отдельно подчеркнув, что оснований обвинять в чем-либо Китай нет и что КНР является стратегическим партнером нашей страны.

Также господин Абдикаликов пояснил, что казахстанские специалисты с помощью отечественного оборудования обнаружили и ликвидировали уязвимость инфраструктуры операторов еще несколько лет назад, поэтому в данных, которые оказались обнародованы в последнее время, есть только старые данные.

Он также пояснил, что хакеров интересовали не любые данные всех казахстанцев подряд, а вполне конкретный круг лиц и их связи, то есть преступники работали точечно, что объясняет скриншоты с контактами, подписанными как сотрудники органов.

«Они в любом случае будут к нам проникать, это неизбежно. Наша главная задача – вовремя это обнаружить и пресечь присутствие, чтобы избежать ущерба», - заявил Абдикаликов.

Что еще

Любопытно, что 21 февраля суд Актау приговорил к 3 годам лишения свободы казахстанца, который «осуществлял неправомерный доступ к государственным информационным системам, являющимся критически важными объектами информационно-коммуникационной инфраструктуры страны. Мужчина незаконным образом получил личные данные сограждан «для дальнейшей их передачи третьим лицам за денежное вознаграждение», что является уголовным правонарушением.

Данный случай может стать важным прецедентом, если в результате проверок Министерства цифрового развития и КНБ обнаружится, что хакеры получили личные данные казахстанцев благодаря помощи кого-то, кто работает в предположительно пострадавших госструктурах и частных компаниях.