«От избирателей до госсекретов». Какие данные казахстанцев утекают в интернет и сколько на этом зарабатывают

Опубликовано
корреспондент отдела General News
Рекомендации эксперта по информационной безопасности Руслана Абдикаликова / shutterstock

Председатель Комитета по информационной безопасности МЦРИАП РК Руслан Абдикаликов в интервью «Курсиву» рассказал о крупнейших утечках данных в Казахстане, причинах и последствиях таких инцидентов.

Какие крупные утечки данных были в Казахстане. По словам Руслана Абдикаликова, одна из первых и самый масштабных утечек персональных данных произошла в 2019 году, когда в сети появились данные почти 12 млн избирателей Казахстана, то есть практически всего активного населения страны.  

«Утекли фамилия, имя, отчество, избирательный участок и адрес места жительства людей», — рассказал Абдикаликов.

Он также отметил утечку данных сервиса «Яндекс.Еда» — она была на территории России, но там была информация и о казахстанцах.

«Затем был Сhocofamily, по-моему. Но это вообще был единственный раз, когда к нам поступила одна жалоба, и мы по ней выявили утечку. Во всех остальных случаях происходили массовые утечки данных, были бурные обсуждения, но жалоб от пользователей не поступало», — уточнил глава Комитета.

Почему происходят утечки. Абдикаликов считает, что утечки зачастую происходят непреднамеренно. К примеру, данные из ЦИК оказались в интернете случайно, но теперь различные Telegram-боты знают адреса и другие данные казахстанцев. Он объяснил, что работа таких сервисов как раз и строится на том, чтобы по крупицам собирать всю информацию, и с помощью технологий Big Data объединять их в цифровые профили на каждого пользователя.

«Такие утечки происходят постоянно, а работа этих сервисов как раз и строится на том, что они по крупицам собирают со всего интернета личную информацию и с помощью новых технологий Big Data объединяют их. Сейчас у крупных IT-корпораций, как и у преступного мира, есть фактический цифровой профиль каждого гражданина на планете, который использует интернет, и с каждым годом он становится все больше», — отметил он.

Почему Telegram-боты знают адреса даже арендованных когда-то квартир. 

«Как правило, человек ищет квартиру в аренду на тематических сайтах объявлений или через риелторов, которые ведут свою базу клиентов. И вы думаете, ни у кого из них нет соблазна дополнительно заработать на ней, продать другому риелторскому агентству? Или базу могли просто украсть у риелтора, если компьютер не был защищен», — подчеркнул Абдикаликов.

Сколько зарабатывают на продаже баз данных. Он отметил, что цена базы данных зависит от ее объема и качества — в среднем от пары сотен до нескольких тысяч долларов, но основной доход украденная информация приносит тогда, когда ее персонализируют. 

«У таких программ, как «глаз бога», есть специальные группы аналитиков, которые скупают краденые базы данных, имплементируют их к себе и продают. Почему бессмысленно бороться с Telegram-ботами, потому что они только провайдеры большой системы. Они платят деньги за то, чтобы получить доступ к этой базе, а потом перепродают в розницу эту информацию пользователям. По заявлениям одного из разработчиков, один такой Telegram-бот в день приносит около 2-3 млн тенге, то есть это бизнес и чей-то заработок. Обычно цена базы зависит от количества записей. Как правило, от пары сотен до нескольких тысяч долларов. Но это только стоимость перепродажи», — рассказал председатель Комитета по информационной безопасности.

Кто и как «сливал» госсекреты в интернет. Спикер напомнил, что введенный в 2016 году запрет на использование смартфонов в зданиях госорганов как раз был связан с утечкой секретных документов, которые фотографировались и распространялись между госслужащими через интернет.

«После отмены запрета (в 2020 году. — прим. ред.) крупных фактов утечки данных пока не встречалось, потому что все это повлияло на работу госслужащих. Теперь каждый из них знает, что документы «для служебного пользования» фотографировать нельзя, секретные — тем более», — отметил Абдикаликов.  

Как утечки изменили поведение госслужащих. Утечки, по его словам, повлияли в первую очередь на руководителей высшего звена, которые стали более ответственно относиться к работе с документами. 

«На самом деле, это сильно повлияло на руководителей высшего звена. Скажем так, на тот момент проблема была связана именно с ними. Потому что у простого госслужащего, когда он заходил в секретную часть, изымали телефон. И он в любом случае не мог эти документы фотографировать. А допустим, руководители высшего звена работали с документами в личном кабинете. И у них возникал от непонимания серьезности соблазн сфотографировать их, чтобы кому-то по работе отправить. По этому поводу были уголовные дела, люди понесли серьезное наказание, но тем не менее запрет на смартфоны отменили не для всех и не во всех ведомствах», — подчеркнул он.

Как государство борется с интернет-мошенниками. Как сообщил Руслан Абдикаликов, в этом году была запущена антифрод-программа с участием операторов сотовой связи, которая позволяет оценивать и блокировать мошеннические звонки с подменой номера. В скором времени такая же программа будет запущена в финансовом секторе. Она будет блокировать счета, операции и номера телефонов мошенников, которые обманывают жертв по известным схемам.

«К примеру, если произошел обман по определенной схеме, то информация о номере телефона мошенника и счету, куда он просил жертву отправить деньги, поступает в общую систему, которая сразу блокирует эти действия. Мошенник, грубо говоря, там успеет обмануть одного-двух человек, а дальше система его заблокирует», — разъяснил Абдикаликов.

Если персональные данные утекли в сеть, то можно ли будет поменять ИИН. Абликаликов считает, что это бессмысленно.

«Действующим законодательством изменения ИИН не предусмотрено. И, как я ранее говорил, задача не в том, чтобы попытаться сменить документы. Если персональная информация утекла в сеть, то нужно быть готовым к тому, что ею могут воспользоваться злоумышленники. Если вы поменяете документы, то где гарантия, что снова не произойдет утечка, тогда для чего это делать? Такой опции не будет, потому что это бессмысленно», — добавил он.

Сколько жалоб на утечки данных поступает в комитет. По его словам, в год поступает всего 200 жалоб, проводится около 20–30 проверок, но фактов утечки гораздо больше. По его словам, это связано с пассивностью граждан, которые не подают жалобы на нарушения своих прав в интернете. Например, на распространение их личных данных через Telegram-бот.

«Допустим штраф сейчас на организацию 120 тыс. тенге за утечку. Если бы миллион человек пожаловалось на «Яндекс.Еда», то представьте, какой огромный штраф был бы. Но на деле граждане проявили пассивность, возмущались в соцсетях, но никто жалобу не написал. По недавнему случаю с Telegram-ботом тоже не проступило ни одной жалобы. Хотя, на самом деле, когда все воспользовались ботом, то поняли, что согласие на распространение своих персональных данных владельцу этого сервиса не давали. Поэтому мы призываем граждан, если вы сталкиваетесь с нарушением прав, то надо обязательно подавать жалобы», — призвал Руслан Абдикаликов.        

Госконтроль в сфере хранения информации

Пассивность граждан, по словам Абдикаликова, одна из проблем, которая мешает развитию сферы контроля. С этим связано и то, что в комитете всего пять сотрудников занимаются кибербезопасностью, а защитой персональных данных — четыре. 

«Мы уже несколько лет пытаемся поднять штраф за утечку данных, но сталкиваемся с тем, что когда говорим о том, что растет количество угроз, много утечек происходит, то нас просят показать статистику. А она показывает всего 20–30 административных дел и 200 жалоб. И это как-то не тянет на проблему целой страны. А утечки идут, люди страдают, но никто не пишет обращения и не жалуется. В итоге я не могу сейчас показать на уровне государства, что у нас есть проблема, потому что любое отображение проблемы — это цифры. Если нет статистики, то нет и проблемы», — пожаловался глава Комитета по информационной безопасности.

Контекст. Напомним, недавно в Telegram обнаружили два чат-бота, которые три года собирали, а затем распространяли персональные данные казахстанцев. Так, любой пользователь теперь в один клик может узнать по номеру телефона ИИН интересующего казахстанца, место работы и даже место проживания. В Минцифры РК пообещали разобраться в ситуации.

Ранее сообщалось, что казахстанские банки совместно с мобильными операторами предупредили граждан о новом виде мошенничества. Теперь злоумышленники пытаются убедить казахстанцев перейти в WhatsApp или другой мессенджер. Мошенники уверяют, что у клиента пытаются похитить средства и убеждают перевести их на «безопасный счет», после чего исчезают вместе с деньгами.

Читайте также