Госмонополия на изготовление водительских прав: кто понесет ответственность в случае утечки данных
Проблема утечки персональных данных стоит остро в Казахстане.
Недавно стало известно, что в Казахстане планируют узаконить госмонополию на изготовление водительских прав. При этом их изготовление связано с большим оборотом персональных данных. Обезопасит ли нововведение казахстанцев от утечки данных и кто понесет ответственность в случае слива, корреспондент inbusiness.kz узнал у главы ЦАРКА Олжаса Сатиева.
- Олжас, насколько госмонополия на изготовление водительских прав обезопасит от утечки данных? Ведь периодически мы слышим, что персональные данные казахстанцев массово воруются.
- Госмонополия может и решить проблему безопасности, потому что в этом случае вектор атак будет только на одну организацию, а не на несколько компаний, которые изготавливали бы водительские права. Другой момент, что тогда нужно ужесточить контроль безопасности этой организации. Она должна постоянно проводить аудит безопасности, к тому же она будет являться объектом КВОИК (критически важные объекты ИК-инфраструктуры). По закону она обязана подключаться к оперативным центрам информационной безопасности, которые 24/7 будут мониторить их на киберугрозы.
- Кто понесет ответственность в случае утечки данных?
- Это зависит от того, кто будет принимать систему на безопасность, кто отвечает за её надежность и как регулятор проводил её аудит.
Были случаи, когда данные утекали из ЦИК, генпрокуратуры, портала eGov, и никто не нес за это ответственность. Ещё наши граждане не пишут жалобы в случае утечки их данных. А писать нужно, через тот же E-Otinish, чтобы регулятор, в лице комитета информационной безопасности министерства цифрового развития, инициировал проверку этой системы и выяснил, почему произошла утечка.
- В Казахстане остро стоит проблема утечки персональных данных. Вы согласны с этим? С чем это связано?
- Да, в Казахстане есть острая проблема утечки персональных данных. Первое – данные утекают с частных и государственных сервисов. Второе – данные утекают с зарубежных информационных систем. Например, таких как Яндекс.Еда, Спортмастер, где были зарегистрированы тысячи казахстанцев. Эти данные находятся не на территории Казахстана. Также одна из проблем в том, что у нас маленький штраф за утечку персональных данных и редко когда привлекали кого-то за утечку, особенно чиновников, за то, что они приняли систему с проблемами, из-за которых и произошла утечка. Тут, скорее всего, нужны штрафы. Санкция за утечку должна быть, как процент от оборота. А так компания зарабатывает миллиарды, а штраф заплатит всего 100-200 тыс. тенге.
- Какие решения есть у Казахстана для предотвращения проблем с утечкой данных?
- Одно из решений — то, что все объекты КВОИК, а их больше 500, по закону должны подключаться к компаниям, которые будут обслуживать их на кибербезопасность. Идея хорошая, такая практика есть во всем мире. Другой момент, что у нас появилось 37 компаний, с лицензией от комитета национальной безопасности, которые могут обслуживать КВОИК на безопасность. Но из них хорошо работают лишь пять-шесть. Остальные либо пустышки, либо получили лицензию, чтобы отдавать работу другим на субподряд. Лицензию получила и одна из российских компаний, дочка Сбера. Получается, что она может обслуживать государственные органы Казахстана на безопасность. Тут есть риск того, что данные в этих системах могут утечь зарубеж, и обслуживаются они не гражданами Казахстана.
- В одном из интервью вы сказали, что что казахстанская сфера кибербезопасности сегодня находится в стадии активного роста. Можете сказать об этом больше?
- За пять лет мы хорошо выросли. В мировом индексе киберготовности мы были на 188-м месте, а сейчас на 31-м, то есть улучшили свой показатель в пять раз. В программе “Киберщит Казахстана”, которую ставила наша организация, одним из ключевых показателей было улучшение индекса киберготовности. Сейчас нас оценивают как страну, готовую к кибератакам. Но пока рост остановился. Казахстану необходима отдельная киберструктура по кибербезопасности и отдельное агентство, которое напрямую подчинялось бы либо президенту, либо совету безопасности. Происходит конфликт интересов. У нас есть министерство цифровизации, которое делает электронное правительство, государственные информационные системы. Внутри него есть комитет информационной безопасности. Согласно мировой практике, разработчики и аудиты информационной безопасности должны быть разделены. Поэтому для Казахстана важно, чтобы появилась отдельная независимая структура безопасности, которая делала бы проверки, проводила аудиты.
- Какие главные проблемы кибербезопасности текущего года вы можете обозначить?
- Одна из больших проблем сейчас - если хакеры попадут в промышленные системы страны, такие как управление электроэнергией, заводы, предприятия. Мы видим мировой тренд на то, что зарубежные хакерские группировки, атакуют большие промышленные системы, закидывают туда шифровальщика (вирус). Он шифрует все данные компании, и хакеры требуют выкуп в несколько миллионов долларов. Представьте, если наши систему завирусуют, то может случиться коллапс в промышленности или том же электронном правительстве. С бурным ростом цифровизации растут и проблемы в области кибербезопасности. Чем больше мы зависим от электронного правительства, e-commerce, финансового сектора, тем тяжелее нам будет справится с кибератаками.
- Как Казахстан защищает себя от кибератак?
- У нас есть государственная техническая служба при комитете национальной безопасности, у неё есть национальный координационный центр информационной безопасности, который курирует все оперативные центры информационной безопасности. Они консолидируют у себя всю информацию по атакам на казахстанский сектор Интернета. У нас есть программа “Киберщит Казахстана”, но, как я сказал, вопрос тормозится из-за агентства или отдельной структуры по кибербезопасности.
- Что делать, если выяснилось, что данные утекли? Как себя обезопасить?
- Если в этой утечке был ваш пароль, то его нужно будет сменить. Чаще всего один пароль применяется на разных серверах. Злоумышленники могут этим воспользоваться. Украв ваши данные из интернет-магазина, они попробуют применить их на ваши соцсети и банкинг. Затем обязательно нужно внедрить у себя двухфакторную авторизацию. Вы можете написать заявление в комитет информационной безопасности, через E-Otinish, чтобы они провели проверку, почему произошла утечка персональных данных. Главное – это соблюдать основы кибергигиены: не придумывать лёгкие пароли, иметь несколько паролей для разных сервисов (лёгкий для интернет-магазина и сложный для банкинга), смотреть ссылки, по которым переходите, обновлять операционную систему, обновлять антивирус, потому что зачастую хакеры взламывают через устаревшее программное обеспечение, где есть много уязвимостей.