В местные исполнительные органы Казахстана планируется
передать 12 функций из министерства цифрового развития, инноваций и
аэрокосмической промышленности. Об этом сообщил вице-премьер Роман Скляр в
своем ответе на депутатский запрос, передает центр деловой информации Kapital.kz.
«В соответствии с осуществляемой административной реформой
рассматривается вопрос перераспределения 55 функций из центральных
государственных органов в местные исполнительные органы (МИО), в том числе 12
функций из МЦРИАП. Так, МИО предлагается предоставить компетенции по проведению
государственного контроля в сфере информатизации, в части обеспечения
информационной безопасности, защиты персональных данных, а также электронного
документа и электронной цифровой подписи. Таким образом, МИО в пределах своей
территориальной единицы будут осуществлять государственный контроль в отношении
субъектов частного предпринимательства, включая квазигосударственный сектор», -
сообщил замглавы правительства.
Он отметил, что указанные меры позволят усилить контроль над
операторами баз, содержащих персональные данные, и повысят их ответственность.
«В ходе ежегодного правового мониторинга особое внимание
будет уделено вопросам проверки подзаконных нормативных правовых актов,
содержащих положения о защите персональных данных в соответствии с
законодательными актами высокого уровня. О результатах данной работы будет
сообщено дополнительно до конца текущего года», - проинформировал Роман Скляр.
По его словам, в процессе разрабатываемого Цифрового кодекса
МЦРИАП будут предложены новые механизмы, направленные на усиление защиты
персональных данных и определение новых способов взаимодействия при обеспечении
информационной безопасности объектов информатизации государственных органов.
Также до конца 2024 года планируется запустить единый портал
по осведомленности граждан по вопросам защиты персональных данных и обеспечения
информационной безопасности, на котором будут размещены рекомендации для
граждан, требования к операторам базы, содержащей персональные данные, и владельцам
объектов информатизации.
Спикер отметил, что внедренный государственный сервис контроля доступа к
персональным данным, который является обязательным при доступе к
персональным данным на объектах информатизации госорганов, позволил выявить
системные проблемы при доступе персональных данных.
«На сегодняшний день с сервисом КДП интегрировано 125
информационных систем: из них 47 государственный орган, 24 квазигосударственный
сектор, 54 частный сектор. Ежедневно обрабатывается около 1 млн запросов по
доступу к персональным данным, содержащимся в информационных системах
государственных органов. Наряду с этим в 2023 году уполномоченным органом в
области защиты персональных данных рассмотрено 777 обращений, что в два раза
больше, чем в 2022 году. На основании обращений граждан и писем
заинтересованных государственных органов с июня 2020 года по настоящее время
проведено 37 внеплановых проверок по требованиям законодательства Республики
Казахстан о персональных данных и их защите, по итогам которых привлечено к
ответственности 31 должностное и юридическое лицо, наложены штрафы на общую
сумму 5 314 065 тенге», - сообщил вице-премьер.
Вместе с тем за указанный период без выезда на место
возбуждено и рассмотрено 76 административных дел, из них по различным составам
статьи 79 Кодекса Республики Казахстан «Об административных правонарушениях»
привлечено к ответственности 65 физических, юридических и должностных лиц,
наложены штрафы на общую сумму 5 132 272 тенге (2020 год – 7, 2021 год – 13;
2022 год – 20; 2023 год – 25). С учетом указанных проблемных вопросов,
выявленных при реализации государственной политики и правоприменении,
разрабатываются новые механизмы защиты прав субъектов персональных данных,
сообщил Роман Скляр.
Он добавил, что Законом Республики Казахстан от 11 декабря
2023 года «О внесении изменений и дополнений в некоторые законодательные акты
Республики Казахстан по вопросам информационной безопасности, информатизации и
цифровых активов» уполномоченный орган в сфере защиты персональных данных
наделен функцией государственного контроля, которая позволит проводить
эффективное и полноценное администрирование в указанной сфере.
В 2023 году
было проведено социологическое исследование осведомленности населения об
угрозах кибербезопасности. Исследование показало, что уровень
осведомленности населения об угрозах информационной безопасности
(кибербезопасности) составил 80,4%. Как известно, 90,52% опрошенных получают
знания о защите личной информации при использовании социальных сетей. По итогам
исследования были выработаны рекомендации по кибербезопасности, которые
направлены во все государственные органы и местные исполнительные органы,
высшие учебные заведения и организации для ознакомления и использования в
работе.
В 2023 году разработаны видеоролики по вопросам
кибербезопасности и защиты персональных данных. Они размещены в средствах массовой информации, включая социальные
сети, а также для общего пользования населением опубликованы на портале
«электронного правительства».
Напомним, ранеев Службе
реагирования на компьютерные инциденты ЦАРКА в феврале текущего года заявили,
что Китайская хакерская группировка контролировала критические объекты
IT-инфраструктуры Казахстана. По данным ЦАРКА, 16 февраля 2024 года на ресурсе GitHub неизвестными
был опубликован слив секретных данных китайской компании iSoon (ака Anxun) —
одного из подрядчиков Министерства общественной безопасности Китая (MPS).
Сообщается, что она связана с Chengdu 404 — структура, контролируемая
киберразведкой КНР, известная как APT41.
«Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для
Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации
пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много
информации о методике проникновения и получения информации», - отмечается в
заявлении.
Целью атакующих были как общая информация, такая как базы данных, так и
точечная информация конкретных лиц: контроль переписки, звонков и передвижения.
Анализ данных показал, что объем украденной информации измеряется терабайтами.
Источник данных — критические объекты инфраструктуры Казахстана, Кыргызстана,
Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции,
Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и
Афганистана.
Объем и характер данных указывает на системные ошибки в системе защиты
информации в Казахстане, констатируют эксперты.
«Доступные материалы утечки свидетельствуют о том, что как минимум одна
хакерская группировка более двух лет имела полный доступ к критической
инфраструктуре казахстанских операторов связи. Ясно, что в нашем распоряжении
неполный объем информации, который Казахстан позволил украсть у себя», -
пояснили в ЦАРКА.
Хакеры контролировали журналы событий операторов, продолжительность
звонков, IMEI устройств и биллинг звонков. В утечке имеются файлы с
информацией об абонентах операторов связи. Также опубликованы данные
пользователей IDNET и IDTV c персональными данными абонентов, их логинами и
паролями.
«В утечке также упоминается ЕНПФ (Единый накопительный пенсионный фонд РК)
за 2019 год enpf.kz — 1.92gb — 2019.12 — интрасеть полностью контролируется, и
пользовательские данные могут быть проверены на наличие имени, идентификатора,
адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и
т. д. В одном из скринов фигурирует предположительно информация по почтовому
серверу Министерства обороны РК. Некоторые скрины включают в себя данные об
авиаперевозчике Air Astana», - сообщили в Службе реагирования на
компьютерные инциденты.
Эксперты проверили, кто является жертвами данной хакерской группировки и кем
они больше всего интересовались. Результаты проверки номеров через различные
утечки и GetContact выявили, что целенаправленные атаки совершались, в том
числе и на сотрудников силовых структур, добавили в ЦАРКА.
АО «ЕНПФ» в связи с распространением в сети информации об утечке
персональных данных казахстанцев из базы ЕНПФ, которые якобы размещены
неизвестными лицами в документах на сайте GitHub, сообщили, что сведения не
соответствуют действительности.
В Air Astana также сообщили, что проведенная авиакомпанией
проверка не подтвердила утечки конфиденциальных данных.
В марте, стало известно об утечке персональных данных
микрофинансовой организации Zaimer.kz.
«В целом
обнаружены более 36 млн данных клиентов микрофинансовых организаций,
функционирующих на платформе Robo.finance - РФ – 23,6 млн: zaimer.ru – 16,8
млн, adengi.ru – 6,8 млн; Филиппины – 5 млн (digido.ph), Вьетнам – 2 млн
(vietloan.vn)», - говорится в сообщении ведомства.
Государственная
техническая служба провела анализ этих данных. После установления личностей
клиентов МЦРИАП направит соответствующие уведомления гражданам через мобильное
приложение EgovMobile.
«Непосредственно
по данному факту планируется провести внеплановые проверки в отношении
операторов баз данных, в которых произошла утечка персональных данных
казахстанцев. По результатам проверок при обнаружении нарушений требований
законодательства в отношении операторов баз данных будут выданы предписания об
устранении выявленных нарушений, а также выписаны административные штрафы в
размере от 100 до 1 000 МРП в зависимости от категории субъекта и состава
правонарушения», - подчеркнули в министерстве.
В Минцифры
отметили, что за нарушение требований законодательства Республики Казахстан о
персональных данных и их защите предусмотрены административная и уголовная
ответственность.
Позже стало известно, что в Комитет по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности поступило более 1400 жалоб и обращений от клиентов Zaimer.kz.
«В свете выявленных событий и в рамках своей компетенции в области защиты персональных данных МЦРИАП РК среагировало оперативно. С использованием мобильного приложения EgovMobile было проведено информирование граждан и предоставление рекомендаций по минимизации возможных рисков, связанных с данной утечкой. С 7 марта по сегодняшний день в Комитет по информационной безопасности МЦРИАП поступило более 1400 жалоб и обращений от граждан. Комитет проводит тщательные проверки по фактам нарушений, в соответствии со статьей 79 Кодекса об административных правонарушениях. При подтверждении нарушений будут приняты соответствующие меры, включая административные штрафы», - сообщили в министерстве.
Фактов компрометации не установлено, сообщили в ведомстве
При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.