Как возникла угроза?

О масштабной утечке персональных данных стало известно в середине июня. В интернете был обнаружен файл формата CSV, содержащий 16,3 миллиона строк данных. Уже по названию документа становилось ясно, что речь идёт о сведениях, касающихся граждан Казахстана: в его заголовке значилось «Данные жителей Казахстана за 2024 год».Содержимое файла включало в себя информацию об именах и фамилиях людей, их контактных номерах. Также были указаны индивидуальные идентификационные номера (ИИН), рабочие телефоны, а в некоторых случаях — даже год заселения по месту жительства. В целом в открытый доступ попало 15,8 миллиона ИИН и 16 миллионов телефонных номеров.

Как Telegram-канал SecuriXy.kz, одним из первых опубликовавший утечку, так и ответственное министерство, позднее подтвердившее ее достоверность, заявили, что данные действительно принадлежат гражданам Казахстана. Самое тревожное — это объём: 16 миллионов строк. Если предположить, что каждая строка соответствует одному человеку, можно утверждать, что данные примерно 70% населения страны оказались в открытом доступе.

Министерство цифрового развития, инноваций и аэрокосмической промышленности пояснило, что утечка произошла не из государственных структур, а из частного сектора или предпринимательских организаций:

— Наряду с анализом актуальности опубликованных данных в интернете, были проведены внеплановые проверки информационных систем. По результатам проверок фактов взлома государственных информационных систем не выявлено. Также было установлено, что в опубликованной в сети базе содержатся устаревшие данные, относящиеся к 2024 году, — сообщили в министерстве.

Штраф — государству, компенсация — гражданам

Если государственные информационные системы не были скомпрометированы, то откуда произошла утечка? Эксперт в области кибербезопасности Абылай Исин считает, что в случившемся могут быть замешаны микрофинансовые организации и бизнес-структуры. По его словам, частный сектор имеет право собирать информацию о клиентах и хранить её в собственных базах данных. Именно оттуда и могла произойти утечка.

Например, при оформлении микрокредита или при обращении в частную медицинскую клинику человек обязан предоставить свои персональные данные. Это требование закреплено на законодательном уровне. Получившая данные организация обязана их надлежащим образом защищать. Однако на практике это обязательство не всегда выполняется.

В этом году было зафиксировано более 43 случаев утечки персональных данных. По предварительным оценкам, каждый из них касался информации о 5-10 тысячах человек. Уровень кибергигиены в крупных компаниях оставляет желать лучшего. Некоторые даже не подозревают, что их данные уже были украдены — и это не преувеличение. Проблема усугубляется тем, что компании зачастую не информируют пострадавших граждан о произошедших утечках. Причина кроется в незначительных размерах штрафов, предусмотренных за подобные правонарушения. Это ведет к безответственному отношению к информационной безопасности. Бизнесу проще заплатить незначительный штраф, чем выйти на публику и признать факт утечки. Власти увеличили размер штрафов по данному направлению до 8 миллионов тенге. Полагаю, это может стать стимулом к более ответственному отношению к персональным данным и повысит уровень защиты информации, — считает Абылай Исин.

Следует откровенно признать: для крупных компаний штраф в размере 7-8 миллионов тенге — это сущие копейки. Именно поэтому они не торопятся ни усиливать защиту персональных данных, ни брать на себя реальную ответственность за их сохранность. Как считает эксперт в области информационной безопасности Ерболат Турсункожа, настало время пересмотреть сам подход к системе штрафных санкций. По его мнению, при назначении наказания важно не фиксировать конкретную сумму, а установить механизм, при котором штраф будет рассчитываться в виде определённого процента от годового финансового оборота компании. Только при таких условиях можно ожидать подвижек в этой критически важной сфере.

— В Европе действует подобная практика, известная как GDPR. Если компания не может обеспечить защиту персональных данных, она обязана выплатить штраф в виде установленного процента от своего оборота. В России уже введено понятие «оборотного штрафа». Казахстану также необходимо внедрить эту модель. Иначе незначительные финансовые потери не станут для бизнеса поводом изменить подход к защите данных, — подчеркнул специалист.

В последние годы штрафы стали исключительно инструментом урегулирования споров между государством и компаниями, и не приносят реальной пользы самим гражданам. В этой связи Ерболат Турсункожа предложил рассмотреть альтернативный подход: предусмотреть выплату прямой компенсации пострадавшим гражданам. По его мнению, компания должна возмещать ущерб не только государству, но и конкретным людям, чьи персональные данные оказались в открытом доступе.

— Такая инициатива выдвигалась уже не раз. Однако у ее реализации есть определенные препятствия. Прежде всего, крайне сложно установить единый размер компенсации за утечку данных. Мы неизбежно сталкиваемся с правовыми ограничениями. Объясню условно: допустим, группа граждан решит подать в суд на компанию, которая не обеспечила защиту их данных. Один может потребовать 100 тысяч тенге, другой — миллион. Разброс требований затянет процесс и усложнит расчёты. А если установить единый размер компенсации для всех, велика вероятность, что это вызовет недовольство общества и окажется несправедливым для части пострадавших, — отметил он.