Дербес деректеріңізге салақ болмаңыз: банктер жеке деректерді сыртқа шығарады

«Зерде» холдингіне басқарма төрағасы болып жаңа тағайындалған Арман Әбдірасылов азаматтардың жеке деректеріне қол сұғу өршіп бара жатқанын айтқан болатын. Кибер шабуылдар жылына мыңдаған адамның жеке басының құпия мәліметтері мен дербес деректерін жалпақ жұртқа жария етеді. Мысалы биылдың өзінде qamqor.gov.kz ақпараттар базасына бірнеше рет қауіп төнген. Бұл туралы Кибер шабуылдарды талдау және тергеу орталығы (ЦАРКА) әлеуметтік желіде жиі дабыл қағады. Орталық тіпті ҚР Бас прокуратурасының ақпараттық жүйесінен 11 млн қазақстандықтың жеке мәліметі сыртқа шығып кеткенін анықтаған болатын.

Азаматтардың жеке басына қатысты ақпараттар үшінші қолға өтіп, алаяқтар осылайша астартын пиғылдарын жүзеге асыруды тоқтатар емес. Әсіресе, банк жүйесіндегі мәліметтер базасына қол салатын «қара хакерлер» туралы Кибер шабуылдарды талдау және тергеу орталығы ақпараттар жариялап отырады.

ЦАРКА биыл Қазақстан банктерінің кибер тәуекелділігіне байланысты зерттеулерінің қортындысын жария еткен болатын. Web Totem AI деп аталатын жеке өнімдерінің көмегімен елде тіркелген барлық банктің ақпараттық қауіпсіздігін тексерген. Сіз бен біздің жинағымыз сақталатын қаржы институттары хакерлік шабуылдарға қалай төтеп беретіні жайында рейтинг жасалды. Банктердің ресми сайттары арқылы сырттай жүргізілген зерттеу 23 беттен тұрады.

КИБЕР ШАБУЫЛДАРҒА ТӨТЕП БЕРМЕЙТІН БАНКТЕР РЕЙТИНГІ БАР  

Ашық дереккөздеріндегі ақпаратқа сенсек, отандық банктер қаскүнемдердің жымысқы ойын жүзеге асыруына бейім. Бұл туралы қазақстандық қаржы институттарының топ-менеджерлері кездесетін дәстүрлі «CFO Summit 2020» саммитінде де ескертілген.

Төмендегі кесте бойынша, барлық банктің 23 пайызы ғана мәліметтер базасын қорғау тұрғысынан алғанда жоғары дайындыққа ие. Ал, орташа қорғалғаны 58 пайыз. Қалған 19 пайызында жағдай мәз емес. Кибер шабуылдарға төтеп беретін банктердің алғашқы бестігінен Халық Банкті, Kaspi Bank, Altyn Bank, Альфа Банк пен АТФ Банкті көруге болады. Қазақстан Ұлттық Банкі орташа қорғалатын санатта болса, қорғанышы әлсіздер қатарынан Қазақстандағы Қытай банкін, ВТБ Банкі, Тұрғын үй құрылыс жинақ банкі мен Сити банкті көруге болады.

Ал ақпараттар базасынан құпия мәліметтердің сыртқа шығып кету деректері бойынша да елдегі екінші деңгейлі банктердің тізімі бар. Кибер шабуылдарды талдау және тергеу орталығы жасаған рейтингте тиісті мәліметтерге ие бола алмайтын қаржы институттарының сапында Сбербанк, АТФ Банк, Еуарзиялық банк, Халық Банкі, Нұрбанк және Хоум Кредит банктері бар. АТФ Банкінен 155 рет құпия ақпарат сыртқа шығып кеткен. Жалпы, барлығы 386 рет ақпараттың үшінші бір тұлғаның қолына өтіп кету дерегі тіркелген. Бұл ретте тек Kaspi Bank, Altyn Bank және ҚР Ұлттық Банкінде мұндай бірде бір жағдай байқалмаған.

ҚҰПИЯ ДЕРЕКТЕР МЕН ЖЕКЕ БАС ДЕРЕКТЕРДІҢ АЙЫРМАШЫЛЫҒЫН БІЛЕМІЗ БЕ?

Қазақстан Республикасының кейбір заңнамалық актілеріне цифрлық технологияларды реттеу мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы 2020 жылғы 25 маусымдағы заңы қабылданған. Ерікті киберсақтандыру, дербес деректер және оларды қорғау туралы, сонымен қатар жеке бастың құпиясы туралы жаңа өзгерістерді осы құжаттан оқып білуге болады.

«Дербес деректер және оларды қорғау туралы» ҚР Заңының 1-бабының 2-ші тармағы: дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер деп түсіндіреді. Яғни, былайша айтқанда: тегі, есімі, әкесінің аты, туған жері мен күні туралы мәліметтер, жеке басын куәландыратын құжаттар туралы мәліметтер, мекен-жайы және телефон номеры, меншік құқығы туралы ақпарат, кірістер туралы ақпарат, коммерциялық және коммерциялық емес ұйымдарға қатысу туралы ақпарат деген секілді күнделікті өмірде, жұмысқа тұрарда, салық комитетіне есеп берерде, әділет органдарында тіркелген кездегі жағдайларда сізден талап етіліп және сіз ұсынып жүрген сіз туралы жеке ақпараттар.

Десе де, дербес деректер мен адамның жеке басына қатысты құпия ақпараттарды шатастырмау керек. Жас заңгер Ғабдул-Ғани Әбутәліп цифрлық сауаттылыққа байланысты «Телеграм» мессенджеріндегі арнайы парақша иесі. Цифрлық құқықтар аясында түрлі бейнесюжеттер салып отырады. Ол жеке мәліметтер дегеніміз не, жеке мәліметтер қандай принциптерге негізделеді деген тақырыпта бейнеролик жариялаған.

Видео Ғабдул-Ғани Әбутәліп парақшасынан алынды.

Кейбір кезде біздің санамызда «Неге менің жеке мәліметтерім жария болып кеткен? Неге менен ешкім рұқсат алмады? Неге мен бұларға өз мәліметтерімді беруім керек?» деген біршама сұрақ туындайды және бұл дұрыс дейді ол.

«Соңғы уақытта пандемия салдарынан, ұзақ мерзімді карантиннің жалғасуының салдарынан қызмет түрлерін онлайн жүзеге асыру бірнеше есеге артты. Төтенше жағдайдың кезінде үйге тамақты онлайн тапсырыс беріп алдыру, киімді онлайн сатып алу, оқуды онлайн оқу деген секілді үйреншікті өмірімізде өзіміз физикалық тұрғыда барып істейтін ұсақ-түйек тірліктерімізді де онлайн жасауды үйреніп алдық. Соған машықтанып, тіпті әуес те болып алдық. Алайда, онлайн әрекеттерді еш алаңсыз, сақтықсыз, ерсілі-қарсылы істей берудің салдары не боларын ойланбаған болуыңыз мүмкін», - дейді Ғабдул-Ғани.

Ал, Сулеймен Демирел Университетінің аға оқытушысы, дата журналистика маманы Асхат Еркімбайдың айтуынша, журналистердің өзі дербес деректер мен адамның жеке басына қатысты құпия мәліметтерді ажырата алмайды. Қазіргі қоғамды адамадардың өзінде сауат жағы жетпегендіктен, құпия деректер мен жеке бас деректердің ара жігін білмеу ұят, дейді ол. 

«Құпия деректер деген дәрігердің компьютеріндегі біздің денсауылққа қатысты ақпараттары. Ол е-gov ішіндегі сіздің қандай мүліктерге иелік ететініңіз туралы, сот жүйесіне қатысты мәліметтеріңіз. Ал жеке бас деректері деген өз басыңызға қатысты. Яғни оны сіздің рұқсатыңызсыз ешкімнің қолдануына, пайдалануына рұқсаты жоқ мәліметтер. Осы екі түрлі дерек қалай жиналады, оған рұқсат бар ма? Олар қай жерде сақталып жатыр, кім көре алады, кім көре алмайды, сол жағы көпшілікке беймәлім. Себебі онымен қызығатындар аз», - дейді А.Еркімбай.

ХАЛЫҚТЫҢ ЦИФРЛЫҚ САУАТТЫЛЫҒЫ ӨТЕ ТӨМЕН

Мысалы, бізде жеке деректер сыртқа шығып кетсе, сол органда отырған адамды жұмыстан шығарумен шектеледі. Бірақ, ол мәселенің шешімі емес дейді мамандар. Оның қайталанбасына кепілдік жоқ. Бізде тіпті, оны басқа елдердің хакерлері бұзып алып кетсе, мәліметтердің қайтарылмайтыны белгілі. Ақпарат жабық күйінде мекеменің өз ішінде қалады. Есеп те берілмейді. Сондықтан ең дұрысы, әр адам «Цифрлық гигиенаға» өзі сақ болуы керек. Келісімшартқа қол қойған кезде нақтылап, біліп жүруі керек.

«Бір жылдары тіпті телефонды, оның номерін тіркеңдер деген заң қабылдады. Жоғалып кетсе, тауып береміз деген сылтау айтылды. Адамдардың жеке бас деректерін қорғауымыз керек деп, оны адамдардың өзін аңду, әрбір адамның жүрген-тұрғанына қатысты бүкіл деректерді жинақтау жағдайлары кездеседі. Ол мына Қытайда да белең алған. Ол елде әр адамды камерамен суретке түсіріп, бақылап отырады. Бірақ, жеке деректерді ертең өзіңе қарсы қолданбай ма деген сұраққа жауап жоқ. Мемлекет те адамдар арасында түсіндіру жұмыстарын дұрыс жүргізбейді. Сол себепті халық арасында цифрлық сауттылық деген жоқ. Азаматтардың дербес мәліметтері мен құпия мәліметтердің қайсысы екенін білмеуінің себебі осы»,- дейді Асхат Еркімбай.

Фотода Асхат Еркімбай

Әр қазақ өз датасын, интернеттегі өз ізін білуі керек. Әрқайсымыз интернеттегі өзіміздің ізімізді қалдырып жатырмыз. Қазір әрбір адам туралы интернетте жеке мәліметтер базасы бар. Сіздің туған күніңіз, айыңыз жылыңыздан бастап, сіз туралы есептеуге көнетін мәліметтің барлығы дата деп аталады. Мәселен, электрондық сауда саттық жасадыңыз, такси шақыртып отырдыңыз, Facebook-те кімге лайк бастыңыз, қанша комментарий жаздыңыз, банктен біреуге ақша аудардыңыз - мұның барлығы дата. Ең өкінштісі, осыған өзіміз ие емеспіз. Яғни менің цифрлық ізіме басқа біреулер ие болып отыр, дейді маман.

«Болашақта осының барлығы ұрпағымыздың алдынан шығады. Қазір біз офлайннан бөлек онлайнда өмір сүріп жатырмыз. Онда да эмоцияларымыз бар. Қазір Facebook-ке кірсеңіз, «қайтыс болғаннан кейін ФБ-дағы барлық мұраңызды кімге қалдырасыз» деген функция бар. Яғни сіз қазір оны белгілеп қойсаңыз болады. Ондағы барлық деректерімді, датама осы адам иелік етеді дегенді мұраға қалдыра аласыз. Олай істемесеңіз де болады. Бірақ ертең оны басқа біреулер пайдаланды. Кейбір әрекеттеріңізді бұрмалап, манипулияцияға пайдаланып, ұрпағыңыздың бетіне басуы мүмкін», - дейді СДУ оқытушысы.

«Қазақтелеком» АҚ Ақпараттық  технологиялар  жөніндегі  бас директоры Марат Әбділдәбеков Azattyq Rýhy ақпарат агенттігіне берген сұқбатында «Қазақтелеком» АҚ ақпаратты сақтау бойынша қызмет көрсету нарығында жетекші ойыншы болып қала беретінін айтады. Өйткені елдің ірі облыс орталықтарында (11 облыс) орналасқан 17 деректерді өңдеу орталығының желісі бар. Олардың екеуі модульді ДӨО болып табылады, олар Нұр-Сұлтан және Алматы қалаларында орналасқан.

«Республикадағы барлық дата-орталықтар желісінің ішіндегі ең ірісі - Павлодар қаласындағы ДӨО. Оның жобалық сыйымдылығы - 320 тірек немесе 13440 бірлік (1 бірлік ~ 1 жабдық). Бұл ДӨО бүкіл нысанды тоқтатпай жөндеу-алдын алу жұмыстарын жүргізуге мүмкіндік беретін жоғары сенімділік куәлігі ретінде Tier 3 санатындағы UPTIME халықаралық ұйымымен сертификатталған. Аталған ДӨО базасында «АХД есептеу және жоспарлаудың бұлттық жүйесі», «Қазақстан медицинасының цифрлық картасы», бұлттық бейнебақылау, ақылды үй, фискалдық деректер операторы және тауарларды таңбалау мен қадағалау бойынша жоба сияқты әлеуметтік маңызы бар жобалар іске қосылды», - дейді Марат Мұхтарұлы.

Фотода Марат Әбділдәбеков

Жеке бас деректері өзгенің қолына өтіп кетпес үшін қандай шаралар қолданылады және қауіпсіздік қалай қорғалады деген сауалға Әбділдәбеков Қазақтелекомға Қазақстаннан тыс шетелден келген 100-ден астам компания сенім артып отырғанын айтады. Олардың ішінде Goole, Mail.ru, NetFlix, Wargaming (G-Core Labs) сияқты әлемдік алпауыттар бар. Әлемдік тәжірибеге сәйкес, ақпараттық қауіпсіздікті қамтамасыз ету үшін біз бағдарламалық-аппараттық кешенді әзірлеп енгіздік, оның көмегімен деректер орталығында деректерді сенімді оқшаулауға және толық қауіпсіздікті қамтамасыз етуге мүмкіндік беретін көптеген контурлық желі сызбасы іске асырылғанын, дейді АТ жөнінідегі директор.  

«Корпоративтік желі және ДМЗ түрлі қорғау механизмдерін, соның ішінде вирусқа қарсы қорғауды және басып кіруді болдырмау жүйесін қамтитын толық функционалды желіаралық экрандармен қорғалған. Біздің клиенттеріміздің ДӨО-да орналастырылған ақпараттық жүйелерінің өзіндік қорғаныс жүйелері бар. Қажет болған жағдайда, клиенттердің ақпараттық жүйелері қосымша қызмет ретінде "Қазақтелеком" АҚ қаражатымен қорғалуы мүмкін», - дейді Әбділдәбеков.

ПАНДЕМИЯ ДАТА-ОРТАЛЫҚТАРДЫҢ ЖҰМЫСЫНА ӘСЕР ЕТТІ МЕ?

Биылғы пандемия кезінде «Қазақтелеком» АҚ деректерді беру желілеріне, әсіресе ірі контент ұстаушылар: Google, YouTube, MEGOGO, mail.ru және басқаларға жүктеме едәуір артты. Бұл тұтынушылардың осы ресурстарға деген сұраныстарының өсуімен байланысты. Сонымен қатар, көптеген пайдаланушы қашықтан жұмыс режиміне, қашықтықтан оқытуға көшті, интернет-индустрия (ойындар, бағдарламаларды қарау және т.б.) танымал бола бастады. Осының салдарынан желілік жүктеме артты.

«Компания өкілдері Қазақстанда бар сақтау жүйелерінің қуаттары осы жүктемеге төтеп беру үшін жеткілікті. Біз ірі компания болып табыламыз және жауапкершілікті сезінеміз, осыған байланысты беріктік қоры бар жүйелерді жобалаймыз. ДӨО архитектурасы резервтеу N+1 қағидаты бойынша қамтамасыз етілетіндей құрылған. Яғни, дата-орталықтың әрбір элементі, оның ішінде сақтау жүйесі істен шыққан кезде резервтік құраушы «ұстап қалады».

Төтенше жағдайдың енгізілуімен және елдегі пандемияға байланысты дата-орталықтардың жұмысына қатысты ескерту немесе, ақпараттардың сыртқы шығуына байланысты ескертулер болған жоқ», - дейді Марат Әбділдәбеков. 

Ақпарат үшін:

Елде «Ашық үкімет» тұжырымдамасы қабылданған. Яғни үкімет data.egov.kz порталы арқылы даталардың қолжетімділі қамтамасыз етілген. Қазір елде 3000 түрлі ашық мәліметтер базасына әлемнің кез-келген жерінен кіріп, тиісті ақпаратты алуға болады. Ол үш тілде берілген. Оны кез-келген адам алып, ашық зерттеп, өз мақсатына қарай пайдаланса болады. Мәселен,  ата-ана баласын жақсы мектепке бергісі келгенде осы қызметті пайдаланды.

Ришат Асқарбекұлы, Алматы