Казахстан снова столкнулся с одной из крупнейших утечек персональных данных в своей истории. По данным Центра анализа и расследования кибератак (ЦАРКА), в открытый доступ попали более 16,3 миллионов записей, охватывающих практически всё население страны. В слитой базе оказались: ФИО, ИИН, адреса, номера телефонов (мобильные, рабочие, домашние), гражданство, национальность и дата начала проживания. Во всем разобралась корреспондент медиапортала Caravan.kz.
«Это действительно пугающий масштаб, — прокомментировал ситуацию Даулет Бакытов, сеньор-лектор Международного университета информационных технологий, — Пока официально никто не говорит, откуда именно произошла утечка. Но если верить цифрам, то это либо объединённая база из предыдущих утечек, либо, что хуже, слив с какой-то государственной платформы, например, eGov. Уж слишком всё масштабно. Просто сложно представить, чтобы такая база оказалась у частной компании».
Телеграм-канал Securixy.kz, специализирующийся на кибербезопасности, проанализировал слитый CSV-файл с персональными данными казахстанцев и обнаружил интересную деталь. В графе «адрес» были часто указаны стамотологии, поликлиники, университеты, а также отделения Налогового комитета. Это может свидетельствовать о том, что в утечку попали фрагменты из разных источников — государственных, образовательных и медицинских баз. Всё это больше похоже на объединение нескольких ранее слитых баз.
Что характерно, по данным Securixy.kz, файл был упакован аж 13 июня 2024 года. То есть файл с миллионами записей был собран и выгружен еще год назад. Возможно, это был момент подготовки данных к продаже или распространению. И все это время злоумышленники могли иметь доступ к данным казахстанцев.
Так или иначе, на каждого казахстанца теперь потенциально можно оформить кредит, подделать документы, использовать ИИН и номер телефона для мошенничества. Всё, что нужно — немного фантазии и доступ к чёрным рынкам данных, где эта информация, по словам киберэкспертов, уже начала продаваться.
«Злоумышленники могут использовать эти данные, как угодно. Если информации достаточно, они легко оформят кредит на ваше имя, будут рассылать сообщения якобы от вашего лица или звонить вам, представляясь сотрудниками банка или госорганов. При этом они назовут вашу личную информацию, например, дату рождения или адрес, чтобы вызвать доверие и выманить другие данные, например, СМС-коды или сведения о банковской карте», — объясняет Даулет Бакытов.
По его мнению, эта ситуация ясно показала, что система защиты персональных данных в стране нуждается в серьёзных изменениях. И сейчас настало время для реформ.
«Необходимо чётко прописать в законах, кто и за что несёт ответственность. При разработке информационных систем и программ нужно обязательно привлекать специалистов по кибербезопасности. А сами системы должны регулярно проходить тестирование на устойчивость к современным видам атак», — подчёркивает он.
Кроме того, по мнению Даулета Бакытова, в любой большой компании должны появиться не только отделы информационной безопасности, но и так называемые «красные хакеры». Это специалисты, которые пытаются легально взломать систему, чтобы выявить её уязвимости. В IT-среде их называют пентестерами, от слова «penetration testing». Помимо «красных хакеров» должны быть «синие», которые, наоборот, фокусируются на защите данных.
«Сейчас важно опережать злоумышленников. А для этого нужны ресурсы, кадры и политическая воля. К сожалению, о подобных мерах у нас начинают задумываться только после вот таких случаев», — подытожил эксперт.
Реформа системы хранения и защиты персональных данных — это уже не рекомендация, а необходимость. Потому что в цифровую эпоху защита информации — это защита человека.