Казахстанским бизнесменам может грозить банкротство из-за небезопасных ЭЦП

Цифровые государственные и коммерческие сервисы в Казахстане активно развиваются. Но это развитие сопровождается регулярными утечками персональных данных граждан как из частных, так и из государственных информационных систем. Откуда чаще всего крадут данные казахстанцев, как обезопасить личную информацию и чем такие утечки чреваты для предпринимателей, обсуждали эксперты на конференции по вопросам киберустойчивости бизнеса в Астане.

Участники конференции напомнили, что в разные годы происходили утечки из баз eGov, Центральной избирательной комиссии, Генеральной прокуратуры, "Казпочты". В открытый доступ также попадали данные клиентов микрофинансовых организаций и крупных сервисных платформ.

Что "утекает" и откуда

Профессор Высшей школы права Maqsut Narikbayev University, директор Digital Rights Center Qazaqstan в МФЦА Дана Утеген прокомментировала риски цифровизации и практику обработки персональных данных в стране. По ее словам, утечки затрагивали как частные компании, – включая микрокредитную организацию Zaymer, сервисы "Яндекс.Еда" и "Спортмастер", – так и государственные ресурсы. Уязвимости этих систем привели к тому, что персональные данные граждан Казахстана оказались в так называемом "теневом интернете".

Многие утечки затрагивали преимущественно мужскую аудиторию – в том числе пользователей онлайн-казино, сервисов ставок и спортивных платформ. При этом казахстанцы могут самостоятельно проверить, какие именно данные о них оказались скомпрометированы, через специальные электронные сервисы и базы. Но почему-то редко пользуются этим правом.

"Можно запросить информацию о самом себе. Сколько информации обработано, кому эта информация была передана. Это и называется правом на доступ к информации о самом себе", – пояснила Дана Утеген.

По словам эксперта, в Казахстане цифровизация опережает развитие механизмов контроля и защиты информации. Значительная часть согласий на обработку данных – фактически "добровольно-принудительная". Дана Утеген напомнила, что в период пандемии казахстанцы массово соглашались на биометрическую идентификацию для получения онлайн-услуг – от выдачи справок до оформления водительских удостоверений.

Как закон защищает данные казахстанцев

При этом частные организации, в отличие от государственных, не могут требовать биометрические данные без добровольного согласия, а родители имеют законное право отказаться от сбора биометрии у детей, в том числе в детских садах и школах. Граждане вправе не предоставлять копии удостоверений личности в бумажном виде, поскольку цифровые документы по действующим правовым нормам приравнены к бумажным.

"Это государственный орган, у них все прописано, есть специальное постановление по обработке биометрических данных при получении государственных услуг. Если какие-то частные организации у вас запрашивают персональные данные, вы имеете право отказаться и не предоставлять ту же биометрию. У детей собирали в садиках, недавно был случай, в школах собирали: "Ладошку сдай и оплати в столовой". Родители, как законные представители, могут сказать: я отказываюсь", – разъяснила Дана Утеген.

Кроме того, законодательство позволяет казахстанцам запрашивать у организаций информацию о том, какие персональные данные о них собирают, кому передают и на каком основании, а также требовать удалить устаревшие или недостоверные сведения (в том числе влияющие на кредитную историю).

Одной из ключевых проблем остается низкий уровень цифровой грамотности и кибергигиены населения. Нередко сами граждане передают свои данные третьим лицам – от паролей и банковских карт до контактных данных знакомых – не осознавая правовых последствий.

От накрутки голосов до кражи миллионов

Техническую сторону угроз раскрыл специалист по информационной безопасности команды RedTeam компании TSARKA Диас Абдигазизов. По его словам, в 2024 году были выявлены критические уязвимости в механизмах авторизации через электронную цифровую подпись на примере создания онлайн-петиций.

"Мы могли просто взять 50 тысяч валидных ИИН и просто накручивать голоса на петиции, подменив во время подписания ЭЦП", – заявил Абдигазизов.

Подобные уязвимости позволяют получать доступ не только к базовым персональным данным, но и к такой чувствительной информации, как наличие денег на пенсионном счету, адрес проживания, номер телефона.

Отдельную угрозу, по словам эксперта, представляет человеческий фактор и низкий уровень кибергигиены. Если сотрудники частных компаний недостаточно тщательно проверяют входящие письма и переходят по сторонним ссылкам, это открывает доступ для фишинговых атак или утечек важной деловой информации.

Диас Абдигазизов подчеркнул, что последствия таких утечек могут быть критическими для бизнеса. А значит, уже сейчас казахстанским предпринимателям следует активно инвестировать в защиту от киберугроз.

"Любая утечка, как показывает практика, может привести даже к банкротству организации. Вы не только потеряете доверие или понесете репутационные и регуляторные риски. Это может просто привести к тому, что ваша компания просто закроется", – резюмировал эксперт.