top of page
  • Фото автораПолитпросвет.kz

Можно ли защитить персональные данные казахстанцев?


 

Где только казахстанцы не оставляют свои персональные данные. И как только мошенники не пытаются их добыть. Например, в 2023 году на ресурсы государственных органов и стратегически важных объектов инфраструктуры страны пришлось 86,3 млн кибератак. Впрочем, иногда для того, чтобы личные данные разом стали общедоступными, и мошенников не надо.

 

13 февраля в открытом доступе оказалась информация о студентках КазНУ им. аль-Фараби, включающая не только их имена, ИИН, номера телефонов, но и данные о том, являются ли они девственницами. Предположительно, файлы отправила медсестра медцентра, с которым сотрудничает вуз. Министерство высшего образования и науки взяло ситуацию под свой контроль, а прокуратура Алматы начала по этому факту досудебное расследование. Виновным грозит лишение свободы на срок от 3 до 7 лет.  

 

Закон «О персональных данных и их защите» был принят в Казахстане еще в 2013 году, однако конкретного списка того, что относится к персональным данным, в нем нет. Говорится лишь, что персональные данные – это «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе» и делятся они на общедоступные данные и данные ограниченного доступа. По словам юриста Эльвиры Хайруллиной, к последним относятся данные удостоверения личности,  ИИН, номер телефона, место жительства, национальность, место работы, условия трудового договора и т.д.

 

Проблема в том, что сами казахстанцы оставляют эти сведения не только в государственных органах, но и на довольно сомнительных ресурсах. Наш автор Мадина Алимханова разбиралась, каким образом утекают персональные данные граждан, и можно ли с этим бороться.

 

Где казахстанцы оставляют свои персональные данные


Где казахстанцы оставляют свои персональные данные

 

Чем активнее идет цифровизация в стране, тем больше становится электронных баз данных, содержащих персональные данные казахстанцев. В принципе, ничего нового в плане доступа к таким сведениям не произошло. Раньше они были на бумажных носителях, теперь на электронных. Однако бумажные базы данных было сложнее скопировать…

 

Кто собирает персональные данные:

 

  • ЦОНы: здесь хранятся данные о гражданских состояниях - рождение, брак, развод, смерть, место регистрации, место фактического проживания, наличие имущества, судимости, постановка на наркологический и психиатрический учет и т.д.;

 

  • налоговые службы: хранят информацию о налогоплательщиках, включая доходы и налоговые отчисления;

 

  • пенсионные фонды: собираются данные о трудовом стаже, пенсионных отчислениях и выплатах;

 

  • миграционные службы: информация о паспортах, визах и миграционном статусе;

 

  • банки: сведения о займах, кредитах и их погашении, информация о движении средств по счетам, ФИО, контактная информация, данные документов, удостоверяющих личность;

 

  • микрокредитные организации: ФИО, контактная информация, номера банковских счетов;

 

  • обменные пункты: при обменных операциях получают доступ к данным   удостоверений личности граждан, включая ИИН;

 

  • медицинские учреждения: личные данные, истории болезней, результаты осмотров и анализов, назначения врачей, информация о медицинской страховке;

 

  • образовательные учреждения: оценки, посещаемость, квалификационные работы, ФИО, дата рождения, контактная информация учащихся и их родителей;

 

  • коммерческие компании: данные о покупках, предпочтениях, история обращений, ФИО, контактные данные покупателей;

 

  • страховые компании: данные о страховых полисах, истории страховых случаев, медицинскиезаписи, личная информация клиентов;

 

  • некоммерческие организации: собирают данные о своих членах, донорах и участниках мероприятий;

 

  • исследовательские организации: демографические данные, мнения и отзывы участников;

 

  • регистрация на мероприятия и конференции: данные о регистрации, участии в мероприятиях, предпочтениях и интересах участников;

 

  • гостиничный бизнес и туризм: собирают данные о бронированиях, проживании, путешествиях и личные данные клиентов;

 

  • управление недвижимостью и ЖКХ: данные о владельцах и арендаторах недвижимости, платежах за коммунальные услуги и обслуживание;

 

  • работодатели и кадровые службы: личные данные сотрудников, включая резюме, трудовые договоры, заработную плату, налоги и соцотчисления;

 

  • профсоюзы и ассоциации: данные о своих членах, их профессиональной деятельности и участии в мероприятиях;

 

  • провайдеры услуг связи: собирают и хранят данные об истории интернет-сессий, телефонных звонках, текстовых сообщениях и использовании услуг связи;

 

  • социальные сети: при создании личной страницы часто спрашивают образование, место работы, номер телефона и пр.;

 

  • компании, предоставляющие в аренду автомобили: хранят данные водительских прав, платежную информацию и историю аренды;

 

  • логистические и курьерские службы: собирают информацию о посылках и отправлениях, включая адреса доставки и получателей;

 

  • системы электронной идентификации и авторизации: хранят данные о цифровых удостоверениях личности, логинах и паролях, электронных подписях;

 

  • платёжные системы и электронные кошельки: собирают данные о транзакциях, банковских картах и платёжной активности пользователей;

 

  • службы безопасности и правоохранительные органы: хранят информацию, связанную с расследованиями, надзором и безопасностью граждан;

 

  • риэлторы и агентства недвижимости: собирают личные данные клиентов, финансовую информацию и предпочтения в недвижимости;

 

  • парки развлечений, туристические аттракционы, сервисы по продаже билетов: могут собирать данные о посетителях для бронирования билетов и предоставления услуг.

 

Остаются персональные данные и во многих других местах, где просят ввести номер банковской карты, ИИН, ФИО и дату рождения, данные удостоверения личности, номер телефона и пр.

 

Откуда утекают персональные данные

 

Государственная техническая служба (ГТС) не так давно опубликовала исследование под названием «Цифровой щит: Обзор 2023 года в кибербезопасности». В документе приводятся интереснейшие примеры (не)сохранности персональных данных.

 

Так, в начале 2023 года в сеть утекли данные более 260 тыс. казахстанских покупателей сети спортивных магазинов «Спортмастер». Злоумышленникам стали известны имена, даты рождения, контактная информация клиентов за период с 2012 по 2018 годы. Администрация торговой сети заверила, что доступ к паролям и платежной информации покупателей украден не был. Согласно результатам предварительного расследования, виноват стрелочник один из подрядчиков, имевший доступ к этой информации. Похищенная информация может быть использована не только для взлома личных аккаунтов в социальных сетях, но и для рассылки фишинговых сообщений с целью получения конфиденциальных и банковских данных.

 

В сентябре прошлого года был выявлен поддельный сайт NCAlayer. Эта программа необходима для использования ЭЦП и получения доступа к госуслугам. Фишинговый сайт маскировался под обновления NCALayer и заражал компьютеры пользователей вирусом типа «троян», через который уже устанавливалась вредоноснаяпрограмма-кейлоггер Venom RAT v6.0.1. Она дает злоумышленникам возможность дистанционно управлять компьютером и красть личные, в том числе банковские, данные.

 

В ноябре 2023 года количество инцидентов, связанных с утечкой персональных данных, увеличилось. По информации ГТС, это было вызвано появлением большого числа инфостилеров(info – информация, steal– воровать). Такие вирусы крадут с зараженных компьютеров учетные записи, пароли, номера кредитных карт и другие конфиденциальные сведения.

 

Один из таких инцидентов даже стал предметом обсуждения в мажилисе. ФИО, места жительства, ИИНы стали доступны в зарубежном Telegram-боте. Вице-министр цифрового развития, инноваций и аэрокосмической промышленности Малик Олжабеков предположил, что данные утекли либо из ранее похищенной базы, т.к. были не свежими, либо из сервисов по доставке еды или товаров, либо были собраны в социальных сетях. Мажилисвумен Екатерина Смышляева заверила тогда, что ботов, «питающихся» слитыми в сеть персональными данными, будут выявлять и наказывать.

 

В феврале этого года у мошенников нашелся новый источник «питания». В Instagram появилась фальшивая страница министерства финансов. Мошенники от имени минфина обещали всем желающим по 3 млн тенге, а сами просто разживались их ИИНами.

 

А на этой неделе в утечке китайских правительственных документов обнаружилисьданные казахстанцев, в том числе конфиденциальные данные операторов связи Beeline, Kcell, Tele2, «Казахтелеком» и даже ЕНПФ (хотя он занимается вовсе не связью). МЦРИАП и КНБ пообещали все проанализировать и проверить.

 

Как воруют данные

 

Помимо продажи баз данных, создания фейковых сайтов и использования шпионского программного обеспечения существует огромное множество способов кражи персональных данных.

 

Фишинг: мошенники отправляют электронные письма, в которых выдают себя за официальные организации, банки, интернет-магазины и т. д., с просьбой предоставить личную информацию, такую как пароли, номера кредитных карт или номера социального страхования.

 

Мальварь (Malware): мошенники могут заразить компьютеры и устройства вредоносным программным обеспечением (мальварью), котораяможет перехватывать данные пользователя без его ведома. Это могут быть шпионские программы, трояны и другие виды вредоносных программ.

 

Кража личных документов: мошенники могут физически красть личные документы, такие как паспорта, водительские права или кредитные карты, для получения доступа к конфиденциальной информации. Но с развитием цифровизации такие методы уходят в прошлое.

 

Социальная инженерия: мошенники могут использовать социальную инженерию, чтобы обмануть людей и получить доступ к их личной информации. Например, они могут представиться работниками технической поддержки или представителями компаний, чтобы получить доступ к аккаунтам или персональной информации.

 

Кража учетных записей: мошенники могут взломать аккаунты в онлайн-сервисах или социальных сетях, чтобы получить доступ к персональным данным пользователя.

 

Скимминг: метод, при котором мошенники устанавливают на банкоматах, платежных терминалах или другом оборудовании устройства для считывания информации с магнитных полос карт или чипов.

 

Дамп баз данных: мошенники могут взламывать базы данных компаний и организаций для доступа к большим объемам персональной информации, такой, как имена, адреса, номера телефонов и т. д.

 

Файловые трояны и кейлоггеры: это вредоносные программы, которые могут быть установлены на компьютер пользователя без его ведома. Они могут записывать все, что пользователь вводит с клавиатуры или копировать и пересылать файлы с персональной информацией.

 

Кража информации через общедоступные Wi-Fi сети: мошенники могут использовать открытые Wi-Fi сети в кафе, аэропортах и других общественных местах для перехвата трафика и получения доступа к чувствительным данным, передаваемым через эти сети.

 

Мошенничество через социальные сети: мошенники могут использовать социальные сети для обмана пользователей и получения их личной информации, например, через фишинговые ссылки или поддельные профили.

 

Фейковые веб-сайты и приложения: мошенники могут создавать фейковые веб-сайты или приложения, которые выглядят как официальные, чтобы получить личную информацию от пользователей, когда те пытаются зарегистрироваться или войти.

 

Распространение ложных уведомлений и предупреждений: мошенники могут использовать лживые уведомления, например, о выигрыше приза или угрозах блокировки аккаунта, чтобы выманить личную информацию от пользователей.

 

Вредоносные вложения в электронной почте: мошенники могут отправлять вредоносные вложения в электронной почте, которые при открытии устанавливают вредоносное программное обеспечение на компьютер получателя.

 

Взлом мобильных устройств: мошенники могут физически красть или взламывать мобильные устройства, чтобы получить доступ к личной информации, хранящейся на них.

 

Вредоносные ссылки в текстовых сообщениях (SMS): мошенники могут отправлять текстовые сообщения с вредоносными ссылками, которые могут перенаправлять пользователей на фишинговые сайты или заставлять загружать вредоносное программное обеспечение на их устройства.

 

Кража информации через общедоступные базы данных и социальные сети: мошенники могут использовать общедоступные базы данных и информацию, доступную в социальных сетях, чтобы собрать достаточно данных о человеке и затем использовать их для мошеннических целей.

 

Мошенничество через телефонные звонки: мошенники могут звонить людям, выдают себя за представителей банков, правительственных организаций или других надежных источников, и запрашивать личную информацию, такую как номера кредитных карт или пароли.

 

Мошенничество с помощью технической поддержки: мошенники могут позвонить или отправить сообщение, выдают себя за представителей технической поддержки, и убедить пользователей предоставить им доступ к своему компьютеру или аккаунту, что может привести к краже данных.

 

Сканирование отпечатков пальцев и распознавание лиц: современные устройства, такие, как смартфоны, могут использоваться мошенниками для сканирования отпечатков пальцев или распознавания лиц без согласия владельца устройства.

 

Мошенничество с использованием уязвимостей в программном обеспечении и операционных системах: мошенники могут использовать уязвимости в программном обеспечении и операционных системах для получения доступа к компьютерам и устройствам пользователей и кражи их персональных данных.

 

Кража через несанкционированный доступ к облачным хранилищам: мошенники могут использовать слабые пароли или уязвимости в системах безопасности облачных хранилищ данных для получения доступа к личной информации пользователей.

 

Использование слабых мер безопасности в интернете вещей (IoT): мошенники могут использовать уязвимости в устройствах интернета вещей, таких как умные термостаты, камеры видеонаблюдения и умные замки, для получения доступа к домашним сетям и персональным данным пользователей.

 

К каждому компьютеру полицейского не приставишь

 

Специалист по информационной безопасности Дмитрий Бурминский считает, что вместо того, чтобы усиливать защиту персональных данных, лучше сделать их кражу бессмысленной.

 

- Проблема не в том, что очень многоперсональных данных сейчас находится в открытом доступе. Это одно из веяний нашего времени. Вы ничего не сможете сделать, если не будете раскрывать персональные данные. Вас не запишут на прием к врачу, вам не продадут валюту, даже в электронную очередь встать не сможете. Вопрос не в том, что люди разглашают свои персональные данные, а в том, что этими персональными данными могут потом воспользоваться мошенники.

 

Приведу такой пример из нашей же истории. В 1990-х в Южно-Казахстанской области были повальные кражи цветных металлов. Тащили его отовсюду, в том числе воровали электрокабель, оставляя без света целые районы. Правоохранительные органы заявляли, что возле каждого столба полицейского не поставишь. Но проблема решилась и очень-очень просто. Когда полиция разогнала базы по приёму цветного металла и поставила их под жёсткий контроль, воровство сразу же прекратилось.

 

То же самое можно сделать и с персональными данными. Например, злоумышленник каким-либо способом добывает номер телефона жертвы и оформляет микрокредит. И сразу же возникает вопрос: как он узнал номер телефона, как оформил кредит. Значит, есть связи в сотовой компании, связи со злоумышленниками в микрокредитных организациях. Нельзя уберечь казахстанцев от того, чтобы они сорили персональными данными, но можно выйти на тот уровень, когда мошенники не смогут воспользоваться украденными данными, - считает эксперт.

 

При этом он уверен, что помечать базы данных, чтобы впоследствии проследить, откуда они «утекли», большого смысла не имеет.

 

- Даже если ввести такую систему, чтобы метить файлы каких-то баз данных, например, как базу данных такой-то поликлиники или полицейской службы, смотреть из какого компьютера они «утекли», а потом наказывать виновных, ничего, кроме морального удовлетворения это не даст. Данные обратно уже не вернешь, - отметил Бурминский.  

 

По его мнению, чтобы все же защитить персональные данные граждан хотя бы от получения мошенниками кредитов, нужно усилить идентификацию при оформлении таких сделок и активно проводить разъяснительную работу.

 

Кстати, на Egov.kz о том, как защитить свои персональные данные, написано довольно подробно и понятно. Советы в принципе те же, что и у большинства экспертов в области компьютерной безопасности:

 

  • завести отдельную платежную карту для покупок в интернете;

 

  • не отправлять по мессенджерам и электронной почте фото своих документов;

 

  • ничего не говорить людям, которые звонят и представляются сотрудниками банков;

 

  • не вводить свои персональные данные на подозрительных сайтах, и в любом случае внимательно смотреть, настоящий это сайт или созданный мошенниками клон;

 

  • использовать сложные пароли и регулярно их менять;

 

  • не производить финансовые операции через открытые wi-fi сети и т.д.

 

Впрочем, от человеческого фактора это защитить не сможет. По словам эксперта Дмитрия Бурминского, «все равно найдется упырь, который сольет данные».

 

Подписывайтесь на https://t.me/politprosvet_kz

 

 

Похожие посты

Смотреть все

У медали две стороны

История главного спортивного ведомства Казахстана в лицах и олимпийских скандалах

Comments


bottom of page