Насколько казахстанцы защищены от утечки персональных данных

Digital.Report

Каждый госорган-владелец баз данных самостоятельно отвечает за их сохранность и соблюдение норм и правил по использованию и конфиденциальности хранящейся там информации.

На прошлой неделе казахстанские СМИ всколыхнула новость о том, что специалисты частного казахстанского центра реагирования на компьютерные инциденты (ЦАРКА) обнаружили в сети одну из крупнейших утечек персональных данных. База с полной информацией 11 млн человек, то есть все совершеннолетнее население страны, находилась в общем доступе сети интернет. Любой желающий мог свободно получать доступ к системе или загрузить ее локально. В связи с этим редакция Zakon.kz направила запрос в Министерство цифрового развития, оборонной и аэрокосмической промышленности (МЦРОАП) РК с просьбой разъяснить ситуацию. Вскоре от Комитета по информационной безопасности МЦРОАП был получен официальный ответ.

Так, на вопросы о том, почему данный факт был выявлен частным казахстанским центром реагирования на компьютерные инциденты (ЦАРКА), а не соответствующими госорганами, в Комитете по информационной безопасности МЦРОАП сообщили, что в связи с произошедшим инцидентом комитетом были направлены запросы в государственные органы для выяснения принадлежности утраченных персональных данных к имеющимся государственным информационным системам.

После определения источника утечки персональных данных в отношении государственного органа - их владельца будут проведены мероприятия по государственному контролю и виновные должностные лица будут привлечены к административной ответственности в соответствии с подпунктами 1 и 2 пункта 1 статьи 641 Кодекса РК об административных правонарушениях.

Также в комитете отметили, что интернет-ресурс, на котором были размещены файлы с персональными данными, в настоящее время недоступен, доступ из кэша поисковых систем к нему также отсутствует.

- Кроме того, сообщаем, что Концепцией кибербезопасности "Киберщит Казахстана" предусмотрено создание сети ведомственных и отраслевых оперативных центров по информационной безопасности и служб реагирования на компьютерные инциденты. Изначально было понимание того, что силами одних государственных органов в Казахстане невозможно справиться с большим потоком информации в части информационной безопасности, требуются усилия всего профессионального сообщества, как это сделано в зарубежных странах. В этой связи деятельность службы реагирования на компьютерные инциденты ОЮЛ "ЦАРКА" выполняет свою роль и в целом помогает нашему комитету в вопросах обеспечения информационной безопасности. Более того, мы работаем над тем, чтобы таких субъектов в сфере обеспечения информационной безопасности было как можно больше в нашей стране. Аналогичным видом деятельности уже начали заниматься АО "Транстелеком" и АО "Национальные информационные технологии", до конца года ожидаем появления еще 5 подобных субъектов, – говорится в ответе ведомства.

Что касается вопроса о том, ведется ли сотрудниками МЦРОАП РК подобный мониторинг в сети интернет, в комитете сообщили, что на данный момент в стране отсутствует уполномоченный государственный орган по защите персональных данных.

- В связи с этим вопросы централизованного мониторинга Интернет в части нарушения законодательства в сфере персональных данных и их защиты в настоящее время не входят в компетенцию ни одного государственного органа. Вместе с тем отметим, что каждый государственный орган - владелец баз данных самостоятельно отвечает за сохранность своих баз и соблюдения норм и правил по использованию и конфиденциальности хранящейся там информации, - пояснили в ведомстве.

На вопрос о том, могли ли персональные данные казахстанцев, выложенные в сети интернет, использовать потенциальные злоумышленники в криминальных или иных целях, в комитете ответили, что исходя из характера данных, обнаруженных в свободном доступе (ФИО, ИИН, адрес места прописки), в настоящее время непросто предположить, каким образом они могут быть использованы.

Кроме того, на прошлой неделе в своем обращении в соцсети Facebook министр цифрового развития, оборонной и аэрокосмической промышленности РК Аскар Жумагалиев инициировал вопрос о наделении комитета функциями по защите персональных данных (по аналогии с Data Protection Agency в Европе). Это позволит проводить проверки владельцев информационных систем, в которых обрабатываются персональное данные, в том числе, по жалобам граждан. Поэтому в направленном в министерство запросе мы поинтересовались, ведется ли уже эта работа.

- Касательно информации, озвученной Министром цифрового развития, инноваций и аэрокосмической промышленности Жумагалиевым А.К. по вопросу создания Агентства по защите данных на базе нашего комитета сообщаем, что действительно такая работа проводится. На первом этапе уже имеющиеся функции в части защиты персональных данных будут сконцентрированы в нашем комитете, параллельно будут подготовлены законодательные поправки, необходимые для того, чтобы в полном объеме развернуть деятельность аналогичную европейским Агентствам по защите персональных данных. Будет определен уполномоченный государственный орган по защите персональных данных, создан реестр всех операторов персональных данных в стране, налажен мониторинг состояния защиты персональных данных и многое другое, – сообщили в ведомстве.

Что же касается вопросов о том, приходилось ли ранее сотрудникам МЦРОАП РК сталкиваться со случаями взлома тех или иных информационных систем как коммерческих, так и государственных, и всегда ли удается выявить взломщиков, в комитете сообщили, что для получения ответа необходимо обратиться в специальные и правоохранительные органы, так как комитет не является субъектом оперативно-розыскной деятельности и не занимается расследованием уголовных правонарушений.

Подготовил Владимир Демидов