Персональные данные казахстанцев массово утекают: что происходит

Проблема утечки персональных данных стоит особенно остро в Казахстане в силу нескольких причин. Во-первых, наша страна быстро оцифровывается, и все больше и больше услуг переходят в онлайн. Да, это, безусловно, имеет множество преимуществ, но в то же время означает и то, что существует больший риск компрометации личных данных. Во-вторых, широкая общественность по большому счету не осведомлена о том, как защитить личные данные. Многие люди попросту не понимают, что простые действия, такие как использование надежных паролей или избегание общедоступных сетей Wi-Fi, могут иметь существенное значение для обеспечения безопасности их информации.

Другой, более ключевой фактор заключается в том, что правовая база защиты данных в Казахстане еще не полностью разработана. Хотя в стране действует закон о защите данных, в законодательстве все еще есть пробелы, а потому существует потребность в более эффективных механизмах правоприменения. По сути, это означает, что компании, организации и госорганы могут по факту не нести ответственности за утечку данных, а жертвы таких нарушений вряд ли добьются справедливости в борьбе за свои права. И один из таких примеров произошел относительно недавно с жительницей Алматы. "Сейчас никто не заинтересован искать мошенников": в Казахстане обманутые граждане могут подать коллективный иск против банков

Пожелавшая остаться анонимной девушка рассказала, как в ЦОНе Жетысуского района неизвестный человек оформил ЭЦП (электронная цифровая подпись – Прим. ред.) на ее имя – пришло соответствующее SMS-уведомление от 1414. При том, что проживает она в другом районе и, соответственно, прикреплена к совсем другому ЦОНу. И тот, кто оформил ЭЦП на ее имя, ей, разумеется, не знаком.

Девушка попыталась сама разобраться в этой ситуации – сначала непосредственно с сотрудниками Центра обслуживания населения, а после – оставив заявление в полиции. Вечером того же дня ей позвонила руководитель ЦОНа с просьбой забрать заявление и удалить публикацию об этом инциденте в соцсетях. Даже заверила, что сотрудницу обязательно уволят. Что интересно – девушка не обменивалась телефонами с руководителем ЦОНА. Выходит, та в своих личных интересах открыла персональные данные человека, откуда, судя по всему, и узнала ее контактный номер телефона.

Чем же закончилась эта история? С точки зрения справедливости, ничем положительным. В полиции девушке сказали, что этот эпизод не тянет не то что на уголовное дело, но даже и на «административку».

Для выяснения подробностей этой истории, а также для того, чтобы узнать, случались ли другие подобные инциденты, редакция медиапортала Caravan.kz обратилась в госкорпорацию «Правительство для граждан», под чьим управлением и функционируют ЦОНы по всей стране.

Ответ поступил следующий:

«НАО «Государственная корпорация «Правительство для граждан», рассмотрев Ваш запрос, сообщает, что за 2022-2023 годы было выявлено два случая, когда по ошибке оператора ЦОНа были оформлены ЭЦП на третье лицо. При этом клиенты обратились в ЦОН с доверенностью, и сотрудник Госкорпорации оформил услугу на получателя, не отметив доверенность и доверенное лицо.

Отметим, что инциденты произошли в ЦОНе Жетысуского района г.Алматы. В обоих случаях была некорректно внесена информация в базу данных, в связи с чем гражданам приходило SMS о получении ЭЦП.

Госкорпорацией были проведены внутренние расследования по технической части, а также человеческому фактору. Сотрудников ЦОНа, допустивших ошибки, привлекли к ответственности.

Добавим, что Госкорпорацией усилены меры безопасности в части биометрической идентификации и/или проверочного SMS-кода, по номеру, зарегистрированному на этого гражданина. То есть теперь, чтобы получить ЭЦП в ЦОНе, необходимо пройти биометрическую идентификацию или получить SMS-код (one time password) от 1414.

В целях безопасности Госкорпорация настоятельно призывает после получения ЭЦП менять пароль на сложный, используя знаки и символы, и никогда никому не передавать свои ЭЦП, как для физических лиц, так и для юридических лиц».

Теперь же давайте узнаем мнение экспертной среды. Президент интернет-ассоциации Казахстана Шавкат Сабиров в беседе с журналистом Caravan.kz отметил, что сама по себе и в целом утечка персональных данных всегда была проблемой первоочередной важности.

«Мы сталкиваемся с этим, например, на уровне электронных почт, когда нам приходит огромное количество спама. Или утечка личных фотографий, места проживания и т.д., что дает возможность мошенникам пользоваться этим в своих корыстных и преступных целях. Или же с точки зрения финансов – угроза, что ваши деньги могут утечь очень легко и быстро, что выяснить, как это произошло и куда они исчезли – просто невозможно. Потерял флэшку с ЭЦП: мошенники за сутки оформили на казахстанца более 40 млн тенге кредитов

К счастью, каких-то глобальных утечек данных в нашей стране не было. Наверняка, имели место быть некоторые казусы – кто-то поставил пароль 1234, либо админ большой компании упустил какую-то вещь. А вот говоря о более масштабных инцидентах, можно вспомнить новость за 2021 год, когда данные более трех миллионов казахстанских пользователей Facebook утекли в Сеть. А в общем количестве в одном из хакерских форумов тогда были опубликованы базы данных более чем 533 миллионов пользователей Facebook из 106 стран мира. Цифру в три миллиона казахстанцев озвучили в ГТС (Государственная техническая служба – Прим. ред.), но в реальности, по-моему, утечка произошла меньше чем на миллион. Причем я сам проверял и смотрел – там были настоящие данные реальных людей.

Персональные данные всегда будут интересны не только мошенникам, но и маркетинговым компаниям. Они очень хорошо продаются и покупаются. «Продам данные из 100 тысяч электронных ящиков» – таких объявлений в Интернете полным-полно.

А добыть номер человека – вообще не проблема. Когда только-только появилась мобильная связь, буквально через некоторое время на барахолках продавались компакт-диски с номерами. А еще до появления мобильной связи были телефонные справочники в каждой телефонной будке с подробной информацией по каждому абоненту.

По сути, личные данные, связанные с телефоном, никогда не представляли из себя какой-то великой тайны, особенно для маркетинговых компаний. Но надо четко разделять: против одной позитивной вещи в какой-либо инновации найдется пять негативных, которые как раз и будут интересны мошенникам.

Да, всем нам звонят мошенники. И если раньше их можно было вывести на чистую воду или отвязаться от них простым вопросом «қазақша сөйлейсің бе?», то сейчас уже звонят казахскоязычные. Подскажу свой метод, которым я пользуюсь при звонках мошенников: когда они говорят, что хотят «защитить мои средства», я отвечаю им, что, мол, у меня лежит 100 миллионов на счету в «Крамдс банке» – крупнейшем банке, который развалился еще в 1996-м. Любой настоящий сотрудник банка, конечно же, это знает. А вот у мошенников загораются глаза, они стараются и дальше выудить из тебя информацию, ведутся на эту уловку и уверяют, что помогут тебе. Я делаю это, так сказать, по фану, чтобы повеселить себя и позлить их.

Важно понимать, что многие мошенники как раз этим и живут, относятся к этому, как к настоящей работе и источнику доходов. Смотрите, если обзвонить 100 тысяч человек, то, по теории вероятности, найдутся 3 %, которые клюнут, и 1 %, которые реально попадут на деньги. 1 % от 100 тысяч – это тысяча человек. И один попадет на 500 долларов, второй – на 1000, третий может попасть на 10 000.

Вопрос ответственности за утечку данных – самый больной, особенно в Казахстане. Привлечь к ответственности частную компанию или бизнес – не проблема. По суду ты спокойно можешь это истребовать, доказать, получить компенсацию, возмещение морального и материального ущерба. А когда наши с вами персональные данные теряет какой-то государственный орган – тогда добиться компенсации невозможно. Хотя государство должно в 10 раз больше отвечать за огрехи по сравнению с тем же бизнесом, как это делается на Западе. Если там по вине государства происходит какое-либо происшествие, оно выплачивает очень приличные компенсации. А у нас вся система и вся судебная власть построена таким образом, что, если ты пытаешься бороться с каким-то госорганом, то это заканчивается известным выражением – «себе дороже».

В свое время проблемы с утечкой данных у нас возникали вокруг ЦОНов – когда данные из них становились известны посторонним. Но при этом никто по-серьезному не страдал. Потому что достаточно было бы для примера наказать 2-3 человек, действительно по делу, чтобы распиарить и предупредить людей, чтобы в следующий раз ни один сотрудник ЦОНа не вздумал с этим связываться, потому что он бы знал, что наказание неотвратимо. А сейчас за слив данных вынесут выговор, уволят или переведут в соседний ЦОН. И все на этом. В остальном спасение утопающих – дело рук самих утопающих», - сказал нам Шавкат Сабиров.

Безусловно, серьезность проблемы утечки персональных данных в Казахстане едва ли можно переоценить. От мелкомасштабных попыток фишинга до крупномасштабных утечек данных — безопасность и конфиденциальность нашей с вами личной информации находятся под постоянной угрозой. Это проблема, которая затрагивает всех нас, от частных лиц до крупных организаций, и которая требует многогранного решения.

Еще одним из наиболее сложных аспектов этого вопроса является отсутствие подотчетности, что и подтвердили выше рассказанная история и мнение специалиста. Несмотря на растущее число утечек данных в Казахстане, виновные крайне редко сталкиваются с реальными последствиями. В лучшем случае провинившийся сотрудник того же ЦОНа может получить выговор, а организация может столкнуться с негативной реакцией общественности. Но и это, как мы видим, не послужило тем триггером, чтобы уполномоченные структуры схватились за головы и искали пути решения.   

Итак, выходит, что пока единственным способом защитить свои персональные данные для нас послужат лишь простые, самые базовые правила: использование надежных уникальных паролей для каждой учетной записи в Интернете, избегание общедоступных сетей Wi-Fi при доступе к конфиденциальной информации и осторожность при обмене личными данными в Интернете.

Но все мы понимаем, что, конечно же, это не будет представлять серьезной преграды для мошенников, желающих завладеть нашими контактами, ИИНами и сведениями о банковских счетах.