Қазақстандықтардың жеке деректерін таратқаны үшін «Қазақтелеком» мен Air Astana компаниялары жауапкершілікке тартылды

«Қазақтелеком» және Air Astana қызметкерлері қазақстандықтардың деректерін таратқаны үшін жауапқа тартылды. Цифрлық даму министрлігі ақпан айындағы жеке деректердің тарап кетуіне қатысты аудит нәтижелерін жариялады.

Биыл 16 ақпанда белгісіз біреулер GitHub ресурсында қазақстандықтардың 2019-2022 жылдардағы жеке деректері көрсетілген хакерлер топтарының бірінің материалдарын жариялаған болатын. Жарияланған ақпаратта қазақстандық байланыс операторларының абоненттері туралы ресми ақпараттары бар, сондай-ақ «Қазақтелеком» АҚ, «Бірыңғай жинақтаушы зейнетақы қоры» АҚ, «Эйр Астана» АҚ аталды.

«Министрлік Ұлттық қауіпсіздік комитетімен және «Мемлекеттік техникалық қызмет» АҚ-мен бірлесіп инфрақұрылымында жаңа ымыраға келу фактілері анықталмаған ұялы байланыс операторларының ақпараттық қауіпсіздігінің жай-күйіне талдау жүргізді. Бүгінде компанияларды отандық ақпараттық қауіпсіздік операциялық орталықтары қорғайды», – делінген министрлік таратқан хабарламада.

Сонымен қатар министрлік «Қазақтелеком» АҚ, «Бірыңғай жинақтаушы зейнетақы қоры» АҚ, «Эйр Астана» АҚ-ға қатысты ақпараттық қауіпсіздік талаптарын сақтау бойынша жоспардан тыс тексерулер жүргізді.

«Нәтижесінде 2 заңды тұлға («Қазақтелеком» АҚ, «ЭйрАстана» АҚ) ҚР «Әкімшілік құқық бұзушылық туралы» Кодексінің 641-бабының 1-бөлігінің 2-тармағымен әкімшілік жауапкершілікке тартылып, бұзушылықтарды жою үшін бір жыл мерзімге нұсқама берілген. «БЖЗҚ» АҚ бойынша бұзушылықтар анықталған жоқ», – деп хабарлады ведомство.

Қазір аталған ұйымдардың ақпараттық-коммуникациялық инфрақұрылымы ақпараттық қауіпсіздік инциденттерін анықтау және болдырмау мақсатында тәулік бойы мониторингте тұрғанын атап өткен жөн.

Бұған дейін Цифрлық даму, инновациялар және аэроғарыш министрлігі қазақстандықтардың жеке деректері тарап кеткеннен кейін, БЖЗҚ, Air Astana мен «Қазақтелеком» жүйесіне тексеру жүргізгенін хабарлаған.

«Министрлік БЖЗҚ, «Эйр Астана», «Қазақтелеком» АҚ қатысты дербес деректер және оларды қорғау туралы Қазақстан Республикасы заңнамасының талаптарын сақтау бойынша жоспардан тыс тексерулер жүргізуде. Нәтижелері бойынша қосымша ақпарат беріледі», – делінген министрлік хабарламасында.

Бұған қоса, министрлік Ұлттық қауіпсіздік комитеті және «Мемлекеттік техникалық қызмет» АҚ-мен бірлесіп ұялы байланыс операторларының ақпараттық қауіпсіздігінің жай-күйіне талдауды аяқтаған. Компаниялар отандық жедел ақпараттық қауіпсіздік орталықтарымен қорғалып, «Мемлекеттік техникалық қызмет» АҚ Ақпараттық қауіпсіздік жөніндегі ұлттық үйлестіру орталығымен тығыз жұмыс жасайтыны айтылған.

Сонымен қатар министрлік қазақстандықтардың деректерінің таралып кетуіне байланысты ведомствоның мәлімдеме жасамағанын және бұл қылмысқа қатысты жеке бір ұлттың өкілдерін кінәлауға болмайтынын атап өткен.

Хакерлер шабуылы

Қытайлық хакерлер тобы екі жылдан астам уақыт бойы қазақстандық байланыс операторларының инфрақұрылымын бақылап отырған. 

CERT компьютерлік қауіпке жауап беру қызметінің хабарламасына сүйенсек, ақпан айында GitHub ресурсында белгісіз адамдар Қытайдың қоғамдық қауіпсіздік министрлігінің мердігері қытайлық Іsoon компаниясының құпия деректерін жариялаған. Құпия деректерге сай, бір қытайлық хакерлік топ 2 жылға жуық уақыт бойы қазақстандық байланыс операторларының маңызды инфрақұрылымына толық қол жеткізген. 

Ақпаратта ҚР Бірыңғай Ұлттық зейнетақы қоры (БЖЗҚ) туралы да жазылған. 2019 жылға enpf.kz жүйесінен алынған ақпарат көлемі 1.92 ГБ құрады. Бұдан басқа, ҚР Қорғаныс министрлігі мен Air Astana авиатасымалдаушысының деректері туралы да ақпарат бар.

Сарапшылар пікірі

Ал кибер шабуылдарды зерттеуші TSARKA ұйымы бұл елдегі деректерді қорғау жүйесінің осалдығы екенін жазады. Ұйымның ақпаратына сүйенсек, хакерлер операторлардың оқиғалар журналдарын, қоңыраулардың ұзақтығын, құрылғылардың IMEI коды мен қоңыраулардың есепшотын бақылаған. Байланыс операторларының абоненттері туралы ақпараты бар файлдар бар. 

«Қытайлық хакерлік топ қазақстандық инфрақұрылымда шамамен 2 жыл отырды және бұл айсбергтің ұшы ғана. Бұл белгілісі ғана, белгісіз хакерлер қаншама екенін білмейміз. Мұның бәрі жүйесіз әрекеттердің нәтижесі және ведомстволық мүдденің мемлекет мүддесінен басымдығы. Ақпараттық қауіпсіздік комитеті цифрландыру министрлігіне бағынатын мемлекеттің құрылымы ретінде әрқашан осал болады. Қазақстанға киберқауіпсіздікке жауапты үкіметтен тыс жеке тәуелсіз орган — киберқауіпсіздік жөніндегі агенттік қажет»,  – дейді сарапшылар.