Где только казахстанцы не оставляют свои персональные данные. И как только мошенники не пытаются их добыть. Например, в 2023 году на ресурсы государственных органов и стратегически важных объектов инфраструктуры страны пришлось 86,3 млн кибератак. Впрочем, иногда для того, чтобы личные данные разом стали общедоступными, и мошенников не надо.
13 февраля в открытом доступе оказалась информация о студентках КазНУ им. аль-Фараби, включающая не только их имена, ИИН, номера телефонов, но и данные о том, являются ли они девственницами. Предположительно, файлы отправила медсестра медцентра, с которым сотрудничает вуз. Министерство высшего образования и науки взяло ситуацию под свой контроль, а прокуратура Алматы начала по этому факту досудебное расследование. Виновным грозит лишение свободы на срок от 3 до 7 лет.
Закон «О персональных данных и их защите» был принят в Казахстане еще в 2013 году, однако конкретного списка того, что относится к персональным данным, в нем нет. Говорится лишь, что персональные данные – это «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе» и делятся они на общедоступные данные и данные ограниченного доступа. По словам юриста Эльвиры Хайруллиной, к последним относятся данные удостоверения личности, ИИН, номер телефона, место жительства, национальность, место работы, условия трудового договора и т.д.
Проблема в том, что сами казахстанцы оставляют эти сведения не только в государственных органах, но и на довольно сомнительных ресурсах. Наш автор Мадина Алимханова разбиралась, каким образом утекают персональные данные граждан, и можно ли с этим бороться.
Где казахстанцы оставляют свои персональные данные
Где казахстанцы оставляют свои персональные данные
Чем активнее идет цифровизация в стране, тем больше становится электронных баз данных, содержащих персональные данные казахстанцев. В принципе, ничего нового в плане доступа к таким сведениям не произошло. Раньше они были на бумажных носителях, теперь на электронных. Однако бумажные базы данных было сложнее скопировать…
Кто собирает персональные данные:
ЦОНы: здесь хранятся данные о гражданских состояниях - рождение, брак, развод, смерть, место регистрации, место фактического проживания, наличие имущества, судимости, постановка на наркологический и психиатрический учет и т.д.;
налоговые службы: хранят информацию о налогоплательщиках, включая доходы и налоговые отчисления;
пенсионные фонды: собираются данные о трудовом стаже, пенсионных отчислениях и выплатах;
миграционные службы: информация о паспортах, визах и миграционном статусе;
банки: сведения о займах, кредитах и их погашении, информация о движении средств по счетам, ФИО, контактная информация, данные документов, удостоверяющих личность;
микрокредитные организации: ФИО, контактная информация, номера банковских счетов;
обменные пункты: при обменных операциях получают доступ к данным удостоверений личности граждан, включая ИИН;
медицинские учреждения: личные данные, истории болезней, результаты осмотров и анализов, назначения врачей, информация о медицинской страховке;
образовательные учреждения: оценки, посещаемость, квалификационные работы, ФИО, дата рождения, контактная информация учащихся и их родителей;
коммерческие компании: данные о покупках, предпочтениях, история обращений, ФИО, контактные данные покупателей;
страховые компании: данные о страховых полисах, истории страховых случаев, медицинскиезаписи, личная информация клиентов;
некоммерческие организации: собирают данные о своих членах, донорах и участниках мероприятий;
исследовательские организации: демографические данные, мнения и отзывы участников;
регистрация на мероприятия и конференции: данные о регистрации, участии в мероприятиях, предпочтениях и интересах участников;
гостиничный бизнес и туризм: собирают данные о бронированиях, проживании, путешествиях и личные данные клиентов;
управление недвижимостью и ЖКХ: данные о владельцах и арендаторах недвижимости, платежах за коммунальные услуги и обслуживание;
работодатели и кадровые службы: личные данные сотрудников, включая резюме, трудовые договоры, заработную плату, налоги и соцотчисления;
профсоюзы и ассоциации: данные о своих членах, их профессиональной деятельности и участии в мероприятиях;
провайдеры услуг связи: собирают и хранят данные об истории интернет-сессий, телефонных звонках, текстовых сообщениях и использовании услуг связи;
социальные сети: при создании личной страницы часто спрашивают образование, место работы, номер телефона и пр.;
компании, предоставляющие в аренду автомобили: хранят данные водительских прав, платежную информацию и историю аренды;
логистические и курьерские службы: собирают информацию о посылках и отправлениях, включая адреса доставки и получателей;
системы электронной идентификации и авторизации: хранят данные о цифровых удостоверениях личности, логинах и паролях, электронных подписях;
платёжные системы и электронные кошельки: собирают данные о транзакциях, банковских картах и платёжной активности пользователей;
службы безопасности и правоохранительные органы: хранят информацию, связанную с расследованиями, надзором и безопасностью граждан;
риэлторы и агентства недвижимости: собирают личные данные клиентов, финансовую информацию и предпочтения в недвижимости;
парки развлечений, туристические аттракционы, сервисы по продаже билетов: могут собирать данные о посетителях для бронирования билетов и предоставления услуг.
Остаются персональные данные и во многих других местах, где просят ввести номер банковской карты, ИИН, ФИО и дату рождения, данные удостоверения личности, номер телефона и пр.
Откуда утекают персональные данные
Государственная техническая служба (ГТС) не так давно опубликовала исследование под названием «Цифровой щит: Обзор 2023 года в кибербезопасности». В документе приводятся интереснейшие примеры (не)сохранности персональных данных.
Так, в начале 2023 года в сеть утекли данные более 260 тыс. казахстанских покупателей сети спортивных магазинов «Спортмастер». Злоумышленникам стали известны имена, даты рождения, контактная информация клиентов за период с 2012 по 2018 годы. Администрация торговой сети заверила, что доступ к паролям и платежной информации покупателей украден не был. Согласно результатам предварительного расследования, виноват стрелочник один из подрядчиков, имевший доступ к этой информации. Похищенная информация может быть использована не только для взлома личных аккаунтов в социальных сетях, но и для рассылки фишинговых сообщений с целью получения конфиденциальных и банковских данных.
В сентябре прошлого года был выявлен поддельный сайт NCAlayer. Эта программа необходима для использования ЭЦП и получения доступа к госуслугам. Фишинговый сайт маскировался под обновления NCALayer и заражал компьютеры пользователей вирусом типа «троян», через который уже устанавливалась вредоноснаяпрограмма-кейлоггер Venom RAT v6.0.1. Она дает злоумышленникам возможность дистанционно управлять компьютером и красть личные, в том числе банковские, данные.
В ноябре 2023 года количество инцидентов, связанных с утечкой персональных данных, увеличилось. По информации ГТС, это было вызвано появлением большого числа инфостилеров(info – информация, steal– воровать). Такие вирусы крадут с зараженных компьютеров учетные записи, пароли, номера кредитных карт и другие конфиденциальные сведения.
Один из таких инцидентов даже стал предметом обсуждения в мажилисе. ФИО, места жительства, ИИНы стали доступны в зарубежном Telegram-боте. Вице-министр цифрового развития, инноваций и аэрокосмической промышленности Малик Олжабеков предположил, что данные утекли либо из ранее похищенной базы, т.к. были не свежими, либо из сервисов по доставке еды или товаров, либо были собраны в социальных сетях. Мажилисвумен Екатерина Смышляева заверила тогда, что ботов, «питающихся» слитыми в сеть персональными данными, будут выявлять и наказывать.
В феврале этого года у мошенников нашелся новый источник «питания». В Instagram появилась фальшивая страница министерства финансов. Мошенники от имени минфина обещали всем желающим по 3 млн тенге, а сами просто разживались их ИИНами.
А на этой неделе в утечке китайских правительственных документов обнаружилисьданные казахстанцев, в том числе конфиденциальные данные операторов связи Beeline, Kcell, Tele2, «Казахтелеком» и даже ЕНПФ (хотя он занимается вовсе не связью). МЦРИАП и КНБ пообещали все проанализировать и проверить.
Как воруют данные
Помимо продажи баз данных, создания фейковых сайтов и использования шпионского программного обеспечения существует огромное множество способов кражи персональных данных.
Фишинг: мошенники отправляют электронные письма, в которых выдают себя за официальные организации, банки, интернет-магазины и т. д., с просьбой предоставить личную информацию, такую как пароли, номера кредитных карт или номера социального страхования.
Мальварь (Malware): мошенники могут заразить компьютеры и устройства вредоносным программным обеспечением (мальварью), котораяможет перехватывать данные пользователя без его ведома. Это могут быть шпионские программы, трояны и другие виды вредоносных программ.
Кража личных документов: мошенники могут физически красть личные документы, такие как паспорта, водительские права или кредитные карты, для получения доступа к конфиденциальной информации. Но с развитием цифровизации такие методы уходят в прошлое.
Социальная инженерия: мошенники могут использовать социальную инженерию, чтобы обмануть людей и получить доступ к их личной информации. Например, они могут представиться работниками технической поддержки или представителями компаний, чтобы получить доступ к аккаунтам или персональной информации.
Кража учетных записей: мошенники могут взломать аккаунты в онлайн-сервисах или социальных сетях, чтобы получить доступ к персональным данным пользователя.
Скимминг: метод, при котором мошенники устанавливают на банкоматах, платежных терминалах или другом оборудовании устройства для считывания информации с магнитных полос карт или чипов.
Дамп баз данных: мошенники могут взламывать базы данных компаний и организаций для доступа к большим объемам персональной информации, такой, как имена, адреса, номера телефонов и т. д.
Файловые трояны и кейлоггеры: это вредоносные программы, которые могут быть установлены на компьютер пользователя без его ведома. Они могут записывать все, что пользователь вводит с клавиатуры или копировать и пересылать файлы с персональной информацией.
Кража информации через общедоступные Wi-Fi сети: мошенники могут использовать открытые Wi-Fi сети в кафе, аэропортах и других общественных местах для перехвата трафика и получения доступа к чувствительным данным, передаваемым через эти сети.
Мошенничество через социальные сети: мошенники могут использовать социальные сети для обмана пользователей и получения их личной информации, например, через фишинговые ссылки или поддельные профили.
Фейковые веб-сайты и приложения: мошенники могут создавать фейковые веб-сайты или приложения, которые выглядят как официальные, чтобы получить личную информацию от пользователей, когда те пытаются зарегистрироваться или войти.
Распространение ложных уведомлений и предупреждений: мошенники могут использовать лживые уведомления, например, о выигрыше приза или угрозах блокировки аккаунта, чтобы выманить личную информацию от пользователей.
Вредоносные вложения в электронной почте: мошенники могут отправлять вредоносные вложения в электронной почте, которые при открытии устанавливают вредоносное программное обеспечение на компьютер получателя.
Взлом мобильных устройств: мошенники могут физически красть или взламывать мобильные устройства, чтобы получить доступ к личной информации, хранящейся на них.
Вредоносные ссылки в текстовых сообщениях (SMS): мошенники могут отправлять текстовые сообщения с вредоносными ссылками, которые могут перенаправлять пользователей на фишинговые сайты или заставлять загружать вредоносное программное обеспечение на их устройства.
Кража информации через общедоступные базы данных и социальные сети: мошенники могут использовать общедоступные базы данных и информацию, доступную в социальных сетях, чтобы собрать достаточно данных о человеке и затем использовать их для мошеннических целей.
Мошенничество через телефонные звонки: мошенники могут звонить людям, выдают себя за представителей банков, правительственных организаций или других надежных источников, и запрашивать личную информацию, такую как номера кредитных карт или пароли.
Мошенничество с помощью технической поддержки: мошенники могут позвонить или отправить сообщение, выдают себя за представителей технической поддержки, и убедить пользователей предоставить им доступ к своему компьютеру или аккаунту, что может привести к краже данных.
Сканирование отпечатков пальцев и распознавание лиц: современные устройства, такие, как смартфоны, могут использоваться мошенниками для сканирования отпечатков пальцев или распознавания лиц без согласия владельца устройства.
Мошенничество с использованием уязвимостей в программном обеспечении и операционных системах: мошенники могут использовать уязвимости в программном обеспечении и операционных системах для получения доступа к компьютерам и устройствам пользователей и кражи их персональных данных.
Кража через несанкционированный доступ к облачным хранилищам: мошенники могут использовать слабые пароли или уязвимости в системах безопасности облачных хранилищ данных для получения доступа к личной информации пользователей.
Использование слабых мер безопасности в интернете вещей (IoT): мошенники могут использовать уязвимости в устройствах интернета вещей, таких как умные термостаты, камеры видеонаблюдения и умные замки, для получения доступа к домашним сетям и персональным данным пользователей.
К каждому компьютеру полицейского не приставишь
Специалист по информационной безопасности Дмитрий Бурминский считает, что вместо того, чтобы усиливать защиту персональных данных, лучше сделать их кражу бессмысленной.
- Проблема не в том, что очень многоперсональных данных сейчас находится в открытом доступе. Это одно из веяний нашего времени. Вы ничего не сможете сделать, если не будете раскрывать персональные данные. Вас не запишут на прием к врачу, вам не продадут валюту, даже в электронную очередь встать не сможете. Вопрос не в том, что люди разглашают свои персональные данные, а в том, что этими персональными данными могут потом воспользоваться мошенники.
Приведу такой пример из нашей же истории. В 1990-х в Южно-Казахстанской области были повальные кражи цветных металлов. Тащили его отовсюду, в том числе воровали электрокабель, оставляя без света целые районы. Правоохранительные органы заявляли, что возле каждого столба полицейского не поставишь. Но проблема решилась и очень-очень просто. Когда полиция разогнала базы по приёму цветного металла и поставила их под жёсткий контроль, воровство сразу же прекратилось.
То же самое можно сделать и с персональными данными. Например, злоумышленник каким-либо способом добывает номер телефона жертвы и оформляет микрокредит. И сразу же возникает вопрос: как он узнал номер телефона, как оформил кредит. Значит, есть связи в сотовой компании, связи со злоумышленниками в микрокредитных организациях. Нельзя уберечь казахстанцев от того, чтобы они сорили персональными данными, но можно выйти на тот уровень, когда мошенники не смогут воспользоваться украденными данными, - считает эксперт.
При этом он уверен, что помечать базы данных, чтобы впоследствии проследить, откуда они «утекли», большого смысла не имеет.
- Даже если ввести такую систему, чтобы метить файлы каких-то баз данных, например, как базу данных такой-то поликлиники или полицейской службы, смотреть из какого компьютера они «утекли», а потом наказывать виновных, ничего, кроме морального удовлетворения это не даст. Данные обратно уже не вернешь, - отметил Бурминский.
По его мнению, чтобы все же защитить персональные данные граждан хотя бы от получения мошенниками кредитов, нужно усилить идентификацию при оформлении таких сделок и активно проводить разъяснительную работу.
Кстати, на Egov.kz о том, как защитить свои персональные данные, написано довольно подробно и понятно. Советы в принципе те же, что и у большинства экспертов в области компьютерной безопасности:
завести отдельную платежную карту для покупок в интернете;
не отправлять по мессенджерам и электронной почте фото своих документов;
ничего не говорить людям, которые звонят и представляются сотрудниками банков;
не вводить свои персональные данные на подозрительных сайтах, и в любом случае внимательно смотреть, настоящий это сайт или созданный мошенниками клон;
использовать сложные пароли и регулярно их менять;
не производить финансовые операции через открытые wi-fi сети и т.д.
Впрочем, от человеческого фактора это защитить не сможет. По словам эксперта Дмитрия Бурминского, «все равно найдется упырь, который сольет данные».
Подписывайтесь на https://t.me/politprosvet_kz
Comments