Акиматам планируют передать функции госконтроля в сфере информатизации

В местные исполнительные органы Казахстана планируется передать 12 функций из министерства цифрового развития, инноваций и аэрокосмической промышленности. Об этом сообщил вице-премьер Роман Скляр в своем ответе на депутатский запрос, передает центр деловой информации Kapital.kz.

«В соответствии с осуществляемой административной реформой рассматривается вопрос перераспределения 55 функций из центральных государственных органов в местные исполнительные органы (МИО), в том числе 12 функций из МЦРИАП. Так, МИО предлагается предоставить компетенции по проведению государственного контроля в сфере информатизации, в части обеспечения информационной безопасности, защиты персональных данных, а также электронного документа и электронной цифровой подписи. Таким образом, МИО в пределах своей территориальной единицы будут осуществлять государственный контроль в отношении субъектов частного предпринимательства, включая квазигосударственный сектор», - сообщил замглавы правительства.  

Он отметил, что указанные меры позволят усилить контроль над операторами баз, содержащих персональные данные, и повысят их ответственность.

«В ходе ежегодного правового мониторинга особое внимание будет уделено вопросам проверки подзаконных нормативных правовых актов, содержащих положения о защите персональных данных в соответствии с законодательными актами высокого уровня. О результатах данной работы будет сообщено дополнительно до конца текущего года», - проинформировал Роман Скляр.

По его словам, в процессе разрабатываемого Цифрового кодекса МЦРИАП будут предложены новые механизмы, направленные на усиление защиты персональных данных и определение новых способов взаимодействия при обеспечении информационной безопасности объектов информатизации государственных органов.

Также до конца 2024 года планируется запустить единый портал по осведомленности граждан по вопросам защиты персональных данных и обеспечения информационной безопасности, на котором будут размещены рекомендации для граждан, требования к операторам базы, содержащей персональные данные, и владельцам объектов информатизации.  

Спикер отметил, что внедренный государственный сервис контроля доступа к персональным данным, который является обязательным при доступе к персональным данным на объектах информатизации госорганов, позволил выявить системные проблемы при доступе персональных данных.

«На сегодняшний день с сервисом КДП интегрировано 125 информационных систем: из них 47 государственный орган, 24 квазигосударственный сектор, 54 частный сектор. Ежедневно обрабатывается около 1 млн запросов по доступу к персональным данным, содержащимся в информационных системах государственных органов. Наряду с этим в 2023 году уполномоченным органом в области защиты персональных данных рассмотрено 777 обращений, что в два раза больше, чем в 2022 году. На основании обращений граждан и писем заинтересованных государственных органов с июня 2020 года по настоящее время проведено 37 внеплановых проверок по требованиям законодательства Республики Казахстан о персональных данных и их защите, по итогам которых привлечено к ответственности 31 должностное и юридическое лицо, наложены штрафы на общую сумму 5 314 065 тенге», - сообщил вице-премьер.

Вместе с тем за указанный период без выезда на место возбуждено и рассмотрено 76 административных дел, из них по различным составам статьи 79 Кодекса Республики Казахстан «Об административных правонарушениях» привлечено к ответственности 65 физических, юридических и должностных лиц, наложены штрафы на общую сумму 5 132 272 тенге (2020 год – 7, 2021 год – 13; 2022 год – 20; 2023 год – 25). С учетом указанных проблемных вопросов, выявленных при реализации государственной политики и правоприменении, разрабатываются новые механизмы защиты прав субъектов персональных данных, сообщил Роман Скляр.

Он добавил, что Законом Республики Казахстан от 11 декабря 2023 года «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» уполномоченный орган в сфере защиты персональных данных наделен функцией государственного контроля, которая позволит проводить эффективное и полноценное администрирование в указанной сфере.

В 2023 году было проведено социологическое исследование осведомленности населения об угрозах кибербезопасности. Исследование показало, что уровень осведомленности населения об угрозах информационной безопасности (кибербезопасности) составил 80,4%. Как известно, 90,52% опрошенных получают знания о защите личной информации при использовании социальных сетей. По итогам исследования были выработаны рекомендации по кибербезопасности, которые направлены во все государственные органы и местные исполнительные органы, высшие учебные заведения и организации для ознакомления и использования в работе. 

В 2023 году разработаны видеоролики по вопросам кибербезопасности и защиты персональных данных. Они размещены в средствах массовой информации, включая социальные сети, а также для общего пользования населением опубликованы на портале «электронного правительства».

Напомним, ранее в Службе реагирования на компьютерные инциденты ЦАРКА в феврале текущего года заявили, что Китайская хакерская группировка контролировала критические объекты IT-инфраструктуры Казахстана. По данным ЦАРКА, 16 февраля 2024 года на ресурсе GitHub неизвестными был опубликован слив секретных данных китайской компании iSoon (ака Anxun) — одного из подрядчиков Министерства общественной безопасности Китая (MPS). Сообщается, что она связана с Chengdu 404 — структура, контролируемая киберразведкой КНР, известная как APT41.

«Утечка проливает свет на формы и методы китайской разведки. ПО, трояны для Windows, Mac, iOS и Android, сервисы для DDoS, системы деанонимизации пользователей соцсетей, оборудование для взлома Wi-Fi и многое другое. Много информации о методике проникновения и получения информации», - отмечается в заявлении.

Целью атакующих были как общая информация, такая как базы данных, так и точечная информация конкретных лиц: контроль переписки, звонков и передвижения. Анализ данных показал, что объем украденной информации измеряется терабайтами. Источник данных — критические объекты инфраструктуры Казахстана, Кыргызстана, Монголии, Пакистана, Малайзии, Непала, Турции, Индии, Египта, Франции, Камбоджи, Руанды, Нигерии, Гонконга, Индонезии, Вьетнама, Мьянмы, Филиппин и Афганистана.

Объем и характер данных указывает на системные ошибки в системе защиты информации в Казахстане, констатируют эксперты.

«Доступные материалы утечки свидетельствуют о том, что как минимум одна хакерская группировка более двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи. Ясно, что в нашем распоряжении неполный объем информации, который Казахстан позволил украсть у себя», - пояснили в ЦАРКА. 

Хакеры контролировали журналы событий операторов, продолжительность звонков, IMEI устройств и биллинг звонков. В утечке имеются файлы с информацией об абонентах операторов связи. Также опубликованы данные пользователей IDNET и IDTV c персональными данными абонентов, их логинами и паролями. 

«В утечке также упоминается ЕНПФ (Единый накопительный пенсионный фонд РК) за 2019 год enpf.kz — 1.92gb — 2019.12 — интрасеть полностью контролируется, и пользовательские данные могут быть проверены на наличие имени, идентификатора, адреса и номера телефона. Основные поля образца: имя, номер телефона, адрес и т. д. В одном из скринов фигурирует предположительно информация по почтовому серверу Министерства обороны РК. Некоторые скрины включают в себя данные об авиаперевозчике Air Astana», - сообщили в Службе реагирования на компьютерные инциденты. 

Эксперты проверили, кто является жертвами данной хакерской группировки и кем они больше всего интересовались. Результаты проверки номеров через различные утечки и GetContact выявили, что целенаправленные атаки совершались, в том числе и на сотрудников силовых структур, добавили в ЦАРКА.

АО «ЕНПФ» в связи с распространением в сети информации об утечке персональных данных казахстанцев из базы ЕНПФ, которые якобы размещены неизвестными лицами в документах на сайте GitHub, сообщили, что сведения не соответствуют действительности.

В Air Astana также сообщили, что проведенная авиакомпанией проверка не подтвердила утечки конфиденциальных данных.   

В марте, стало известно об утечке персональных данных микрофинансовой организации Zaimer.kz. «В целом обнаружены более 36 млн данных клиентов микрофинансовых организаций, функционирующих на платформе Robo.finance - РФ – 23,6 млн: zaimer.ru – 16,8 млн, adengi.ru – 6,8 млн; Филиппины – 5 млн (digido.ph), Вьетнам – 2 млн (vietloan.vn)», - говорится в сообщении ведомства.

Государственная техническая служба провела анализ этих данных. После установления личностей клиентов МЦРИАП направит соответствующие уведомления гражданам через мобильное приложение EgovMobile.

«Непосредственно по данному факту планируется провести внеплановые проверки в отношении операторов баз данных, в которых произошла утечка персональных данных казахстанцев. По результатам проверок при обнаружении нарушений требований законодательства в отношении операторов баз данных будут выданы предписания об устранении выявленных нарушений, а также выписаны административные штрафы в размере от 100 до 1 000 МРП в зависимости от категории субъекта и состава правонарушения», - подчеркнули в министерстве.

В Минцифры отметили, что за нарушение требований законодательства Республики Казахстан о персональных данных и их защите предусмотрены административная и уголовная ответственность.

Позже стало известно, что в Комитет по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности поступило более 1400 жалоб и обращений от клиентов Zaimer.kz. 

«В свете выявленных событий и в рамках своей компетенции в области защиты персональных данных МЦРИАП РК среагировало оперативно. С использованием мобильного приложения EgovMobile было проведено информирование граждан и предоставление рекомендаций по минимизации возможных рисков, связанных с данной утечкой. С 7 марта по сегодняшний день в Комитет по информационной безопасности МЦРИАП поступило более 1400 жалоб и обращений от граждан. Комитет проводит тщательные проверки по фактам нарушений, в соответствии со статьей 79 Кодекса об административных правонарушениях. При подтверждении нарушений будут приняты соответствующие меры, включая административные штрафы», - сообщили в министерстве.