Утечка персональных данных: что государство предпринимает для защиты граждан

Так, 5 марта стало известно, что произошла утечка более чем 2 млн персональных данных казахстанцев. Этот факт установила Государственная техническая служба РК. Как стало известно, все являются клиентами микрофинансовой организации МФО "Займер" (zaimerkz) (ТОО "МФО "Робокэш.кз"). В целом, обнаружено более 36 млн данных клиентов микрофинансовых организаций, функционирующих на платформе Robo finance. Из них в России – 23,6 млн; на Филиппины – 5 млн; Вьетнам – 2 млн. В Минцифры прокомментировали ситуацию, заявив, что уведомят всех казахстанцев, чьи персональные данные утекли в Сеть, посредством мобильного приложения EgovMobile.

Позже в министерстве рассказали, что делать пострадавшим от утечки данных казахстанцам, которые получили уведомление от МФО "Займер" (zaimerkz):

"Относительно утечки более двух миллионов персональных данных граждан в микрофинансовой организации zaimerkz. По результатам установления личностей клиентов ведомство направило соответствующее уведомление пострадавшим от утечки гражданам в мобильном приложении EgovMobile".

Что же следует предпринять после получения уведомления?

"Если вам поступило уведомление, но при этом вы не давали согласия на сбор и обработку персональных данных ТОО "МФО "Робокэш.кз" и ранее не взаимодействовали с указанной микрофинансовой организацией, то в этом случае просим вас обратиться в Комитет по информационной безопасности МЦРИАП для полноценного рассмотрения и принятия необходимых мер, предусмотренных законодательством Казахстана, в отношении виновных лиц", – заявили в Минцифры.

Грешат этим и госслужащие. 11 марта стало известно, что сотрудник налоговой воровал персональные данные и оформлял на людей кредиты. Совершал налоговик это под предлогом сдачи деклараций, получая биометрические данные казахстанцев. Как уточнили в прокуратуре Акмолинской области, мошенника уже привлекли к ответственности.

Поэтому необходимо быть бдительными, даже оплачивая налоги в госорганизации, где также можно встретить недобросовестных сотрудников и быть обманутым.

Что же делается для обеспечения безопасности наших данных?

Редакция обратилась в Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана, чтобы узнать, как государство защищает наши личные данные и как решается проблема утечки конфиденциальной информации.

С июня 2020 года министерство в лице Комитета по информационной безопасности определено уполномоченным органом в сфере защиты персональных данных. Мы обратились в ведомство, чтобы узнать, как в Казахстане работают с конфиденциальностью и борьбой с утечкой личных данных.

Известно, что проблема безопасности персональных данных обострилась во всем мире. Этому способствует колоссальный рост объемов информации о гражданах, которую собирают всевозможные организации. При этом обостряет эту проблему в Казахстане стремительная цифровизация государственных и коммерческих структур.

"На сегодняшний день влияние информационно-коммуникационных технологий усиливается во всех сферах деятельности государства, организаций, гражданского общества. В соответствии с системой государственного планирования в республике 28 марта 2023 года утверждена Концепция цифровой трансформации, развития отрасли информационных технологий и кибербезопасности на 2023-2029 годы с отдельными целями и задачами, а также отдельным направлением по развитию кибербезопасности", – отметили в МЦРИАП РК
На укрепление кибербезопасности страны в данной Концепции предусмотрены дополнительные меры, сообщили в министерстве. Для усиления кибербезопасности совершенствуется нормативно-правовое регулирование его обеспечения, в том числе, для повышения человеческого капитала и развития информационно-коммуникационных технологий на отечественном рынке.

Кроме того, министерством на постоянной основе проводятся работы по совершенствованию законодательства в сфере защиты персональных данных и принимаются меры по привлечению лиц к ответственности. Также проводятся внеплановые проверки по соблюдению мер защиты персональных данных в электронных информационных ресурсах.

"За 2023 год по вопросам электронной цифровой подписи (ЭЦП) и защиты персональных данных возбуждено и рассмотрено 63 административных дела, по итогам которых наложены штрафы на общую сумму более 2 млн тенге", - МЦРИАП РК.

Вместе с тем функционирует государственный сервис контроля доступа к персональным данным (КДП). Он предназначен для того, чтобы предоставлять доступ к персональным данным после получения соответствующего согласия со стороны гражданина. Именно он занимается отправкой SMS-сообщений (или иным путем) с запросом на доступ к персональным данным субъекта персональных данных.

По информации ведомства, непосредственно сервис КДП позволяет гражданам отслеживать использование их персональных данных, которые содержатся в государственных хранилищах, через отказ или разрешение доступа к ним.

Что создано на данное время?

В рамках исполнения поручения президента Республики Казахстан касательно разработки и внесения законодательных изменений по усилению ответственности за утечку персональных данных граждан (пункт 1.5.5 Протокола совещания заседания Комиссии при Президенте Республики Казахстан по вопросам внедрения цифровизации в Республике Казахстан № 21-01-7.21 от 27 октября 2021 года) 11 декабря 2023 года подписан Закон Республики Казахстан "О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов" (далее – Закон).

Подписанный президентом Закон направлен на усиление защиты персональных данных и определение новых механизмов взаимодействия при обеспечении информационной безопасности объектов информатизации, в том числе государственных органов.

Закон предусматривает следующие нововведения в части:

‒ наделения уполномоченного органа в сфере защиты персональных данных функцией государственного контроля за соблюдением законодательства Республики Казахстан о персональных данных и их защите;

‒ установления запрета на сбор, обработку копий документов, удостоверяющих личность, содержащих персональные данные, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан;

‒ информирования граждан о фактах утечки персональных данных. В настоящее время, понимая важность проведения комплексной работы, а также в целях минимизации последствий при утечке персональных данных, нами проводятся работы по установлению обязанности собственника и (или) оператора по уведомлению уполномоченного органа по фактам утечки персональных данных, по итогам которой информация будет направлена пользователю для предотвращения дальнейшего несанкционированного доступа к персональным данным;

‒ создания программы взаимодействия с исследователями информационной безопасности (BugBounty), регулирующей институт "белых хакеров";

‒ трансформации процедуры испытаний информационных систем;

‒ установления добровольного отказа от получения банковских займов;

‒ установления процедуры приостановления, возобновления действия лицензии на осуществление деятельности по цифровому майнингу и лишения (отзыв) лицензии.

Какая работа проводится в этом направлении?

Министерством инициированы поправки в Кодекс РК "Об административных правонарушениях", предусматривающие увеличение срока давности привлечения к административной ответственности за совершение правонарушений в сферах защиты персональных данных, электронного документа и электронной цифровой подписи. Кроме того, об увеличении в три раза размеров административных штрафов в сферах защиты персональных данных и информатизации. Указанные поправки находятся на рассмотрении в Мажилисе Республики Казахстан.

"В рамках Концепции стоит задача по рассмотрению вопроса присоединения к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера. Считаем, что последующая ратификация этой Конвенции даст возможность гражданам Республики Казахстан защищать свои права и интересы при сборе и обработке их персональных данных операторами стран, ратифицировавших эту Конвенцию", - МЦРИАП РК.

В Министерстве цифрового развития напомнили, что за нарушение требований законодательства о персональных данных и их защите предусмотрена административная, а также уголовная ответственность.

Кроме того, в Казахстане существует Национальная служба реагирования на компьютерные инциденты (KZ-CERT). Это единый центр для пользователей национальных информационных систем и сегмента интернет, обеспечивающий сбор и анализ информации по компьютерным инцидентам, консультативную и техническую поддержку пользователям в предотвращении угроз компьютерной безопасности.

В компетенцию службы входит обработка следующих компьютерных инцидентов с целью их выявления и нейтрализации:

- захват паролей и другой аутентификационной информации;
- взлом систем защиты информационных сетей;
- сканирование информационных сетей и хостов;
- несанкционированный доступ к информационным ресурсам;
- распространение вредоносного ПО, незатребованной корреспонденции (спама);
- атаки на узлы сетевой инфраструктуры и серверные ресурсы.

С рекомендациями в отношении безопасности граждан в сети Интернет можно ознакомиться на сайте KZ-CERT.

В свою очередь в МВД РК сообщили, что со стороны министерства также принимаются меры по профилактике и раскрытию указанных преступлений.

Ведется активное взаимодействие с операторами связи по блокировке "зарубежных" фрод-звонков. Так, за прошлый год пресечено 44 млн попыток таких соединений.

В регионах действуют специализированные группы "Киберпол", которыми в 2023 году раскрыто более 3,7 тыс. таких преступлений, гражданам возмещено 850 млн тенге.

Кроме того, при мониторинге Сети выявлено и передано в Министерство культуры и информации РК для блокирования 6,1 тыс. интернет-ресурсов.

Повсеместно проводится разъяснительная работа среди населения.

В министерстве отметили, что наибольшее количество интернет-мошенничеств совершается в сфере онлайн-торговли путем размещения заведомо ложных объявлений. Таким способом в 2023 году совершено 1334 из 3645 преступлений.

Чтобы люди не попадались на удочку онлайн-преступников, важным аспектом работы государственных структур в противодействии интернет-мошенничествам является проведение широкой разъяснительной работы с населением по повышению правовой и финансовой грамотности, информирование о видах интернет-мошенничеств, способах и мерах предосторожности.

Но, несмотря на комплексную работу, ежегодно такой вид мошенничества только набирает обороты.