ВНЕ ЗОНЫ ДОСТУПА

В рубрике Анонсированные материалы - 2021-04-20

Как защититься от интернета
Алла Иванилова

С развитием интернета и повсеместной глобальной цифровизации актуальным вопросом становится обеспечение информационной безопасности. Персональные данные казахстанцев находятся в открытом доступе в сети, а электронной цифровой подписью могут воспользоваться третьи лица. Чтобы пресекать такие нарушения, в Казахстане разработали проект поправок по персональным данным

Утечка “личной информации” в интернет - сегодня дело привычное и в то же время наказуемое. Этим зачастую грешат коммерческие интернет-ресурсы. Достаточно в поисковике ввести ФИО человека, и в ответ выводятся ссылки на сайты, где содержится вся информация о нем: ИИН, дата и место рождения, а при наличии - даже судебные решения. Такие сведения не должны быть в открытом доступе, и госорганы борются с этим. Принимают меры как в отношении госорганов, так и частных интернет-ресурсов. В частности, отрегулировано функционирование сервиса Комитета государственных доходов Министерства финансов “Поиск налогоплательщика” в части предоставления ИИН при наборе ФИО и наоборот. Сегодня сервис доступен только для поиска ИП и юридических лиц. Интернет-ресурсы, распространяющие незаконно полученные персональные данные, привлекают к административной ответственности путем наложения штрафа в размере 20 МРП.

Кроме того, распространением персональных данных казахстанцев занимаются жилищно-строительные кооперативы, объединение собственников имущества и коммунальные службы, которые зачастую размещают списки должников в подъездах или распространяют в чатах. Указывают не только ФИО, но и адрес и телефоны владельцев имущества. Эту информацию, если попадет в руки мошенников и других злоумышленников, могут использовать в целях причинения вреда. В этой связи управляющие организации жилых комплексов также привлекают к адмответственности за распространение персональных данных.
На основании обращений казахстанцев неправомерно распространенные персональные данные изымают из общедоступных источников.
Сегодня электронная цифровая подпись равнозначна собственноручной подписи и влечет одинаковые юридические последствия. Однако ЭЦП легко заполучить. Наиболее распространенные случаи - когда руководители организаций, в том числе госорганов, оставляют свои ЭЦП без присмотра или передают их другим сотрудникам, не отзывают цифровые подписи уволившихся работников. В итоге третьи лица на основании чужого “автографа” оформляют доверенности, подписывают финансовые документы. В 2020 году установили более 30 фактов незаконной передачи ЭЦП и ненадлежащей защиты электронной подписи, а с начала 2021 года рассмотрели шесть таких дел, в производстве находятся еще три дела.
В целом в прошлом году зарегистрировали более 24 тысяч инцидентов информационной безопасности. Из них более 1,5 тысячи классифицировали как фишинг в сети. С помощью обращений казахстанских пользователей выявили более 500 фишинговых интернет-ресурсов. Служба KZ-CERT совместно с зарубежными хостинг-провайдерами и регистраторами доменов прорабатывает угрозы и инциденты информационной безопасности. Так, в 2020 году в адрес международных партнеров направили 2212 сообщений, а также получили 1728 входящих сообщений от зарубежных служб. В результате такого сотрудничества большая часть иностранных фишинговых интернет-ресурсов сегодня недоступна на территории страны.
В целях обеспечения безопасности казнета посредством отечественной системы Web Totem предоставляют услугу по защите интернет-ресурсов. Чиновники отмечают, что этот сервис набирает популярность за границей. К примеру, на рынках США за последний месяц продали услугу по защите доменных имен на 100 тысяч долларов США, а у нас в республике ее предоставляют бесплатно.
Глава государства поручил усилить защиту персональных данных и внести соответствующие изменения в национальное законодательство. В этой связи на основании поступивших предложений от общественности разработали проект поправок по персональным данным. Документ был размещен для публичного обсуждения на портале открытых НПА. Поступило около 40 предложений. Сейчас законопроект обсуждают на разных площадках с представителями бизнес-сообщества и экспертами-правозащитниками, а также он повторно размещен на портале открытых НПА для ознакомления и предложений. В частности, ключевыми направлениями поправок определены: внедрение сервиса обеспечения персональных данных; отнесение соблюдения законодательства к сфере госконтроля; запрет на сбор и распространение персональных данных, полученных из общедоступных ресурсов без согласия. Сервис обеспечения безопасности персональных данных позволит гражданам контролировать использование их личной информации путем разрешения или отказа в доступе к ней. Он также даст возможность просматривать действия над данными, получать уведомление при обращении к ним, воспользоваться правом на “забвение”. Иными словами, этот ресурс станет инструментом для граждан, с помощью которого они смогут реализовать права в отношении своих персональных данных, а также он обеспечит принципы законности и прозрачности их сбора и хранения.
Уровень осведомленности населения об угрозах кибербезопасности невысок и, согласно социологическому исследованию, составляет 78 процентов. Между тем внедряют механизм общественного (профессионального) контроля по информационной безопасности на объектах информатизации BugBounty. Общественные организации при поддержке Министерства цифрового развития, инноваций и аэрокосмической промышленности запустили пилотный проект, который предоставляет возможность сообщать и отправлять отчеты о найденных уязвимостях в безопасности сервисов и приложений за вознаграждение. Уже зарегистрировали 275 участников-исследователей и с декабря прошлого года получили 172 отчета с сообщениями об уязвимостях. По 11 отчетам оплатили один миллион тенге. Подобную систему для работы с банками отрабатывают совместно с Национальным банком. Стоит отметить, что программы BugBounty существуют во многих организациях - mail.ru, Yandex. GOOGLE, UBER.
Также специалисты выработали ряд рекомендаций по недопущению возникновения инцидентов информационной безопасности. Они советуют регулярно проверять свои учетные данные, использовать надежные пароли, не доверять общедоступным точкам доступа Wi-Fi и не вводить аутентификационные данные через незащищенные беспроводные сети, не отправлять по интернету копии своих документов, содержащих персональные данные, данные удостоверения личности, банковских карт.

Нур-Султан

Поделиться