Опубликовано первое масштабное исследование по кибербезопасности “Защита персональных данных в Казахстане: статус, риски и возможности”. Его автор – директор Центральноазиатского института стратегических исследований (ЦАИСИ) Анна ГУСАРОВА. Она поделилась с “КАРАВАНОМ” итогами работы.
“Письма счастья” – уже на казахском
Как-то раз Анна Гусарова заполняла платежное поручение на клиентском компьютере в крупнейшем банке Казахстана.
– Я открыла систему и увидела платежные поручения, которые оформлялись до меня: название компаний, номера банковских счетов, суммы переводимых денег. Представьте, какой кладезь информации накапливается на сервере компьютера за день, год, его можно сфотографировать (воспользоваться флешкой на компьютере нельзя было), а после шантажировать людей, использовать в других криминальных целях! – рассказывает она. – С одной стороны, банк идет навстречу людям и создает удобства, а с другой – это звено не защищено, и у самих клиентов ничего в голове не срабатывает, что после заполнения нужно удалить документ с общего компьютера!
Из-за подобного отношения к кибергигиене Казахстан и Центральная Азия в целом чрезвычайно привлекательны для киберпреступников, которые среди прочего взламывают аккаунты в финансовом секторе, банкоматы, платежные терминалы.
Нередко они требуют, чтобы жертва заплатила выкуп за прекращение атаки. Несколько лет назад одному из отечественных банков пришлось это сделать в обмен на то, чтобы хакеры разблокировали его IТ-системы.
– Сетевые преступники слишком хорошо понимают, что 95 процентов нарушений кибербезопасности происходят вследствие человеческой ошибки. И поэтому концентрируют усилия на простейших проникновениях, в том числе через электронную почту. И если раньше в Казахстане письма с вредоносными программами приходили на английском и русском языках, то сейчас уже на казахском. При этом в нашей стране только 3 процента онлайн-преступлений преследуется по закону, – говорит Анна Гусарова.
Чужие грабли
Эксперт решила исследовать вопрос кибербезопасности в Казахстане и сравнить ситуацию с другими странами.
– В 35 государствах уже есть соответствующий закон. В 2018 году в ЕС приняли общий регламент защиты персональных данных (GDPR), который унифицировал данный вопрос для всех участников Союза, а гражданам предоставил контроль. Всего за один год действия GDPR органы защиты данных из 31 страны ЕС сообщили о более чем 206 тысячах дел, в том числе 94 тысячах жалоб. Сумма штрафов за утечки данных превысила 55 миллионов евро, – рассказывает Анна.
А в Эстонии разработали уникальную национальную модель по защите персональных данных.
Платформа для безопасного обмена данными работает на основе технологии блокчейн, благодаря которой все входящие и исходящие транзакции проходят проверку подлинности и шифруются.
– Также граждане получают уведомление, когда к их файлам обращаются госорганы (за исключением случаев продолжающихся расследований). Подобная система обеспечивает более надежную защиту по сравнению с теми странами, где данные граждан хранятся в незашифрованном виде на разрозненных серверах (как в Казахстане) и не применяется механизм информирования о том, кто владеет информацией или как она используется, – говорит собеседница “КАРАВАНА”.
В США некоторые штаты создали свои собственные законы о конфиденциальности личных данных. В Калифорнии в этом году планируется введение закона, аналогичного GDPR, который предоставит потребителям право запрашивать записи о том, какие типы данных о них хранятся в компаниях и как они используются.
Подделки и суверенный интернет
Китай и Россия применяют свою альтернативу GDPR.
КНР закон о кибербезопасности запрещает поставщикам онлайн-услуг собирать и продавать личную информацию пользователей без их согласия, а сетевым операторам – собирать данные, не относящиеся к их услугам.
– Известная суровость законов Поднебесной не мешает регулярному появлению скандальных кейсов, как это было с приложением FaceApp, позволявшим пользователям обмениваться лицами со знаменитостями в фильмах или телешоу. Приложение стало инструментом для создания глубоких подделок (deep fakes), но вскоре люди заметили, что пользовательское соглашение Zao предоставило приложению глобальные права на бесплатное использование любого изображения или видео, созданных на платформе, – рассказывает эксперт.
После публичного протеста по поводу противоречивых условий конфиденциальности пользователей компания заявила: приложение не будет хранить личную информацию, и, как только человек удалит Zao или свою учетную запись, приложение аннулирует его данные.
– Еще один пример связан с Ant Financial, финансовым подразделением Alibaba. Они запустили онлайн-сервис для кредитного скоринга, который предлагает кредиты на основе цифровой активности пользователей, записей транзакций и присутствия в социальных сетях. Пользователи обнаружили, что они были зачислены в систему кредитного скоринга по умолчанию и без согласия. Под давлением общественности Alibaba извинились, – рассказывает Гусарова.
Что касается России, она пытается создать суверенный интернет и файерволы (специальные защитные компьютерные программы), аналогичные тому, что использует Пекин.
– Закон Яровой 2016 года обязал телекоммуникационные компании хранить контент текстовых сообщений, телефонных разговоров, изображений и видео в течение шести месяцев, а также их метаданные (“данные о данных”) в течение трех лет на территории России, а также предоставлять эту информацию службам безопасности по запросу.
А так называемый закон о “суверенном Интернете”, принятый Госдумой в ноябре прошлого года, предоставляет чиновникам широкие полномочия по ограничению трафика в российской Сети. Плюс ко всему Москва пытается пролоббировать концепцию “суверенного Интернета” на площадке ООН и пространстве ЕАЭС, а также разработать Евразийский аналог GDPR, – продолжает эксперт.
Сапожники без сапог
В Казахстане Закон “О персональных данных и их защите” был принят в 2013 году. Директор ЦАИСИ оценивает его как достаточно прямолинейный и комплексный, однако некоторые аспекты на практике провисают.
– В 2019 году произошли крупнейшие утечки личных данных казахстанцев из баз данных ЦИК (11 миллионов граждан) и Генпрокуратуры, которая является уполномоченным органом в сфере защиты персональных данных! Как при таких кейсах государство может гарантировать защиту личной информации (статья 20 упомянутого закона)?..
МВД, в свою очередь, приостановило дело об утечке данных за отсутствием состава преступления, ссылаясь на то, что якобы указанные сведения с данными граждан РК в Интернете не обнаружены, – говорит Анна Гусарова.
По факту нет никакой правовой статистики по защите персональных данных, а только технологии не смогут обеспечить конфиденциальность личной информации, отмечает эксперт.
– Большинство протоколов защиты конфиденциальности по-прежнему уязвимы для уполномоченных лиц, которые могут получить доступ к данным. Возникают вопросы о том, кто имеет доступ и контролирует безопасность сбора, обработки и хранения личной информации, полученной с помощью, к примеру, камер “Сергек”. И насколько госорганы будут соблюдать права граждан на защиту персональных данных? Здесь, прежде всего, речь идет о функциях и возможностях силовых структур, в частности КНБ, – продолжает Гусарова. – А в условиях внедрения КНБ Национальной системы видеомониторинга (НСВМ) возникает главный вопрос: каким образом будет достигаться баланс между правом на частную жизнь и вмешательством в нее для обеспечения нацбезопасности?
Человеческий фактор
В Казахстане каждый госорган – владелец баз данных – самостоятельно отвечает за их сохранность и соблюдение норм по использованию и конфиденциальности хранящейся там информации. Однако при этом ни у одного из них нет компетенций и полномочий заниматься мониторингом Интернета в части нарушения законодательства в сфере персональных данных и их защиты, констатирует эксперт.
– Как гласит официальная информация от комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности РК, вопросы защиты оставлены на усмотрение собственников и операторов персональных данных (владельцы интернет-ресурсов, интернет-магазины, микрофинансовые и другие организации), – говорит Анна Гусарова. – При этом технические требования по защите информации в информационных системах, содержащих персональные данные, установлены только для госсектора. Складывается парадоксальная ситуация, когда госорганы пытаются обезопасить себя от потенциальной утечки личной информации (апгрейднуть свои возможности), однако упомянутые выше кейсы свидетельствуют об обратном. То есть проблема заключается не столько в техническом, сколько в человеческом факторе, и, как следствие, тесно связана с построением правовой культуры вокруг ценности персональных данных.
При этом среди функций комитета по информбезопасности нет никакого упоминания об этом.
– Скорее наоборот, речь идет о введении реестра операторов персональных данных и контроле за соблюдением требований по защите персональных данных. И как бы ни стремились госведомства априори обеспечить собственную безопасность, чтобы быть менее уязвимыми перед лицом новых угроз, очень часто они забывают о своих гражданах, которых также необходимо обучать и повышать их осведомленность по этим вопросам, – говорит эксперт.
Цифровую грамоту – в массы
А осведомленность оставляет желать лучшего. Это показали итоги опроса, проведенного в рамках исследования. В нем участвовали 500 респондентов, активных пользователей социальных сетей и различных мобильных приложений. Также прошли фокус-группы в 6 городах страны на казахском и русском языках, проведенные социологом Сериком Джаксылыковым.
Как выяснилось, 62 процента казахстанцев не знают, что такое кибергигиена, не в курсе они и о функциях госорганов в этих вопросах. Госслужащих и народ будут наказывать за несоблюдение информационной гигиены
24 процента респондентов не верят, что их персональные данные защищены, поскольку убеждены в теории заговора и слежке собственного государства за своими гражданами.
– Почти четверть опрошенных не намерена тратить время на регулярную смену паролей от соцсетей и услуг онлайн-банкинга из-за навязчивой идеи о том, что “наше государство и так следит за нами”. Чуть более трети респондентов ни разу не меняли свои пароли с момента регистрации, а 37 процентов поменяли только после взлома аккаунта! – приводит результаты опроса Анна Гусарова.
Несмотря на достаточно пессимистичные результаты опроса, 81 процент казахстанцев хотели бы повысить свой уровень знаний по защите персональных данных.
– Создать культуру защиты персональных данных за месяц или год невозможно. Европейскому союзу потребовалось несколько лет, чтобы значительно повысить уровень осведомленности среди своих граждан, объяснить, почему это важно и что для этого необходимо делать. А масштабное поощрение и продвижение этой правовой культуры позволило повысить уровень доверия и коммуникаций между госорганами, бизнесом и гражданами. А именно эти составляющие являются неотъемлемой частью цифрового общества, создание которого предусмотрено казахстанским Законом “О персональных данных и их защите”, – заключила Анна Гусарова.
P.S. В рейтинге кибербезопасности среди 175 стран Казахстан в 2019 году находился на 40-й позиции, Россия – 26-й, Кыргызстан – 111-й, Таджикистан – 107-й, Узбекистан – 52-й, Азербайджан – 55-й, Беларусь – 69-й, Украина – 54-й, Туркменистан – на 143-й.
НУР-СУЛТАН