После февральской утечки данных по вине китайских кибершпионов в стране до сих пор нет отдельного агентства по кибербезопасности и не видно усилений регулятора комитета информбезопасности, отмечают эксперты, сообщает inbusiness.kz.
Фото: pixabay.com
Сегодня Telegram стал настоящим оплотом инакомыслия, площадкой для оппозиционеров и людей, несогласных как с политическим курсом своих правительств, так и с доминирующими взглядами в обществе.
Задержание Павла Дурова во Франции напомнило о подобных обвинениях в отношении основателя Facebook Марка Цукерберга, которого также обвиняли в том, что пользователи соцсети распространяют наркотики, детскую порнографию и другие незаконные вещи. Можно ли проводить параллель между этими двумя случаями? Распространяется ли вина за действия, совершенные конечными пользователями, на держателя платформы в европейском законодательстве? Быть может, именно эта неподконтрольность Telegram европейской политике послужила причиной задержания Дурова? Или все же его связь с Россией послужила тому причиной? На эти и многие другие вопросы касательно утечки данных и кибербезопасности в Казахстане ответили IT-эксперты.
По мнению Олжаса Сатиева, президента Центра анализа и расследования кибератак (ЦАРКА), согласно последним изменениям законодательства в Европе, вина за действия, совершенные конечными пользователями, распространяется также и на держателей (владельцев) платформы. То есть если они не содействуют, не удаляют данный контент и не отрабатывают, то за неисполнение закона могут судить, как это сейчас происходит на примере Павла Дурова.
"Telegram в данное время является одной из ключевых площадок, где есть свобода и словоизлияние, также там очень много находится оппозиционных группировок, есть магазины, распространяются кардеры и наркотики. Помимо этого, те же военные Украины и России используют Telegram для передачи своей информации. Насколько я знаю, очень многие военные в России используют его для обсуждения каких-то вещей", – отметил глава ЦАРКА.
Ранее редакция в ходе проведенного эксперимента без особых проблем нашла в одном из Telegram-каналов сбытчиков наркотиков. Переписка между ними и корреспондентом подтвердила способ свободной доставки наркотика через курьера на дом.
Как мы убедились сами, сегодня действительно в открытом доступе через соцсеть можно приобрести наркотики любого вида. Тогда возникает вопрос – почему же модераторы мессенджеров и других подобных платформ не контролируют или не блокируют таких пользователей?
"Неофициально говорят, что в Telegram на основной работе работают 30 человек и 30 на особом подряде. Для того чтобы это все модерировать, мы должны понять, что большинство социальных сетей типа Facebook, Instagram, Twitter и прочее – у них сидят сотни, а то и тысячи людей, которые модерируют весь контент. Насколько известно в IT-среде, у Telegram такой поддержки нет, к тому же это и дорогостоящая штука", – считает Олжас Сатиев.
Президент Казахстанской ассоциации Big Data и аналитики Сергей Ахметов приводит несколько аргументов, почему модераторы Telegram не реагируют на незаконные действия пользователей.
Во-первых, модерация Telegram в основном осуществляется автоматически, с помощью систем, которые отслеживают подозрительный контент. Но те, кто занимается незаконными делами, тоже не сидят сложа руки. Они придумывают различные хитрости, чтобы обойти эти фильтры, например используют кодовые слова, намеренно делают ошибки в написании или отправляют информацию через изображения, чтобы алгоритмы не смогли их распознать.
Во-вторых, объем информации в Telegram просто колоссальный. Каждый день пользователи отправляют миллиарды сообщений. Проверить все вручную просто нереально, а автоматические системы не всегда срабатывают идеально, что позволяет некоторому нелегальному контенту пройти незамеченным.
Еще одна важная причина — это шифрование. В Telegram используется сквозное шифрование, по крайней мере, так заявляет сам Telegram, особенно в секретных чатах. Это означает, что только отправитель и получатель могут видеть содержание сообщений. Даже сама платформа не имеет доступа к этим данным, что делает обнаружение и блокировку незаконного контента крайне сложным.
Кроме того, те, кто занимается такими делами, очень изобретательны и прогрессивны. Даже если какой-то канал или аккаунт блокируют, они быстро создают множество клонов, меняя названия и детали, чтобы снова оставаться вне поля зрения модераторов. Каждый раз они придумывают новые способы обхода блокировок, что делает борьбу с такими аккаунтами особенно сложной.
И наконец, существуют юридические нюансы. В разных странах действуют разные законы, и не всегда Telegram может оперативно заблокировать аккаунт или канал, даже если он кажется подозрительным. Им нужно соблюдать правовые процедуры и действовать в рамках закона, что иногда занимает время.
Причем тут Марк Цукерберг?
В свое время различным компаниям данные пользователей Facebook продавал Марк Цукерберг, что также впоследствии наделало много шума, но до ареста не дошло. Если сравнивать соцсети и утечку данных от кибератак хакеров, то в чем разница? Что представляет большую опасность?
Как утверждает Олжас Сатиев, если социальные сети предоставляют доступ к персональным данным граждан, то там не просто ФИО, какой-то e-mail, номер телефона – социальные сети знают о людях очень многие вещи. То есть на базе этих данных можно создать психотип человека, увлечения, за кого он, скорее всего, голосует, что ему нравится, какие у него предпочтения, какой он ориентации и прочее. То есть в обычных сливах информации, если говорить о тех персональных данных, где это может быть пароль, логин, e-mail и прочее, таких данных нет. Поэтому социальные сети на самом деле обладают большой силой. Тот, кто имеет доступ к базе данных и к профилю человека, на базе этой информации может предлагать ему какую-то таргетируемую рекламу.
"Владелец соцсети может пробовать менять ваше мнение, он может давать вам именно тот контент, который вам интересен, который сформирует ваши политические взгляды. И на самом деле мы много уже таких случаев видели, когда используют социальные сети для продвижения каких-то своих политических кандидатов и идей. И, к сожалению, вот сейчас, кстати, с учетом выборов в США, мы видим, что одни социальные сети поддерживают Джо Байдена и Камалу Харрис. А, например, социальная сеть Twitter больше поддерживает Дональда Трампа. Мы видим, что в текущей ситуации идет битва в социальных сетях", – говорит глава ЦАРКА.
По мнению Сергея Ахметова, социальные сети, такие как Facebook, по сути, живут за счет данных пользователей. Они собирают огромное количество информации о нас: чем мы интересуемся, что лайкаем, где находимся, с кем общаемся. И все это не просто цифры, а целый массив данных, который можно использовать, чтобы продавать людям товары, услуги, а иногда и идеи.
"Вспомним скандал с Cambridge Analytica. Facebook передал данные миллионов пользователей этой компании, которая использовала их для таргетированной политической рекламы. Эти данные повлияли на результаты выборов в разных странах, и это вызвало огромный резонанс. Люди были в шоке: оказывается, их лайки и комментарии могут использоваться для манипуляции их же мнением. Но, несмотря на всю эту шумиху, до ареста Цукерберга дело не дошло, потому что с юридической точки зрения формально компания действовала в рамках закона", – привел пример IT-эксперт.
Кибератаки: быстрые и опасные
Эксперт рассмотрел ситуацию на примере и с кибератаками:
"Представьте, что данные компании как сейф, полный ценностей, но с замком, который можно вскрыть, если знать как. Хакеры делают именно это: они находят слабые места в системах безопасности и проникают внутрь, чтобы украсть данные.
Пример из реальной жизни — взлом Equifax в 2017 году. Хакеры получили доступ к личным данным почти 150 миллионов человек, включая номера социального страхования и финансовую информацию. Эти данные могли использоваться для кражи личности, что принесло пострадавшим серьезные проблемы на долгие годы вперед. Это как удар молнии: быстро, неожиданно и с разрушительными последствиями".
Что же опаснее, по мнению Сергея Ахметова, — это вопрос перспективы. Социальные сети как медленная отрава: данные продаются, и вы даже не замечаете, как вас начинают контролировать и манипулировать вашими предпочтениями. Но кибератаки — это быстрый и разрушительный удар. Вы не ожидаете, а потом вдруг оказывается, что ваши данные украли, и последствия могут быть очень серьезными.
По словам главы Казахстанской ассоциации Big Data и аналитики, не всегда данные уходят только через хитроумные хакерские атаки. Бывают случаи, когда уязвимость в системе позволяет злоумышленникам без особых усилий собрать данные. Например, случай с Facebook, когда в Сеть утекли данные миллионов пользователей, включая их электронные адреса и номера телефонов. Это произошло не из-за какой-то сложной хакерской атаки, а из-за уязвимости в системе безопасности. Очень изобретательные ребята просто нашли лазейку и собрали всю информацию, которая оказалась на поверхности.
В итоге оба пути утечки данных опасны, но по-разному. Один — медленный и системный, другой — быстрый и разрушительный. И в мире, где наши данные – это валюта, важно понимать, как они могут быть использованы и защищены.
Работа над ошибками – проделана или нет?
В феврале текущего года стало известно об утечке перcональных данных казахстанцев, собранных китайскими кибершпионами. Были ли предприняты меры и изменилось ли что-то с тех пор?
Со слов экспертов, утечка данных вызвала большой резонанс, но многие ожидали более публичных заявлений и конкретных действий от властей и компаний. К сожалению, широкомасштабных инициатив по повышению осведомленности или внедрению новых мер безопасности не последовало.
В значительной степени ситуацию тогда освещал Олжас Сатиев, представитель ЦАРКА, что логично, ведь это связано с их профессиональной деятельностью. Однако, как отмечают многие IT-эксперты, для простых пользователей ощутимых изменений или практических советов по защите данных не последовало. Не было ощущения, что ситуация изменилась кардинально или что государство и компании взяли ее под жесткий контроль. Все это создает впечатление, что безопасность персональных данных остается вопросом, который пока решается скорее в кулуарах, чем публично.
Как сообщил корреспонденту inbusiness.kz сам Олжас Сатиев, после этого случая ситуация никак не изменилась. В Казахстане до сих пор нет отдельного агентства по кибербезопасности, не видно усиления регулятора комитета информбезопасности, где присутствуют проблемы с кадрами.
На взгляд Сергея Ахметова, одним из самых позитивных моментов с тех пор стало то, что с поста ушел Багдат Мусин.
"Как министр, он был ответственен за всю эту сферу, включая вопросы кибербезопасности и защиту персональных данных. И, когда произошла утечка данных, это стало серьезным сигналом о том, что проблемы в управлении действительно существуют. Его уход можно расценивать как знак того, что, возможно, будут предприняты более решительные шаги для улучшения ситуации. Это в определенном смысле дает надежду на то, что кибербезопасности в стране будут уделять больше внимания и на уровне государственной политики, и в практическом плане", – поделился эксперт.
Чем грозит утечка данных казахстанцам?
Возьмем ситуацию, когда утечка персональных данных произошла. Чем это грозит обычному человеку? И какие могут быть последствия для юридических лиц? Для государства в целом?
"Чем больше мошенник знает про вас, тем легче ему вас обмануть. То есть он может притвориться, ну и уже притворяется сотрудником министерства юстиции, министерства внутренних дел, прокуратуры или банка и сообщает вам данные, которые, как вы полагаете, знают, например, государство либо банковский служащий. В случае с юридическими лицами это, естественно, банковские данные, счета, сколько у вас денег, кто у вас является продавцом или заказчиком, потому что очень много вариантов взлома, когда, скажем так, бухгалтер отправляет счет на оплату от компании, которой они платили, но на самом деле там другой счет на оплату и похожая компания создается мошенником. То есть на все эти мелочи на самом деле люди не реагируют, но из этих всех мелочей как раз складываются вот эти вот киберкраши, мошенничество и взлом ваших систем", – отметил представитель ЦАРКА.
Когда происходит утечка персональных данных, это означает, что информация, которая должна быть защищена и конфиденциальна, попадает в руки людей, которые могут использовать ее в своих интересах. Утечки могут касаться самых разных данных: от имен и адресов до номеров телефонов, электронной почты, паролей и даже финансовой информации.
IT-эксперт Сергей Ахметов привел случай с утечкой данных сервиса "Яндекс.Еда", когда в Сеть попали имена, фамилии, номера телефонов, адреса доставки и другие детали заказов миллионов пользователей (49,4 млн человек). Подобная информация крайне ценна для злоумышленников, которые могут использовать ее для мошенничества.
Другой пример — утечка данных социальной сети vk.com, где были скомпрометированы данные 100 млн пользователей. Утекшая информация включала в себя имена, контактные данные.
"Когда происходит утечка данных, последствия могут быть по-настоящему серьезными и даже опасными. Представьте, что ваши персональные данные, такие как номер телефона, домашний адрес или даже прописка, попадают в руки злоумышленников. В наше время на просторах Интернета существуют Telegram-боты, которые могут использовать эту информацию против вас. Кто-то вводит ваш номер телефона или ссылку на профиль в соцсетях, и такие боты мгновенно выдают ваш домашний адрес, электронную почту и другие данные. Эти боты становятся настоящим инструментом для мошенников и преследователей. Особенно это опасно для женщин, которые могут столкнуться с угрозами физической безопасности или шантажом. Зная ваш адрес, злоумышленники могут преследовать вас, отправлять угрозы или даже пытаться проникнуть в ваше жилье", – рассказал Сергей Ахметов.
Одним из ярких примеров того, как утечка данных может обернуться кошмаром, он назвал случай с мамой известного айтишника Алибека Нарибая. На ее имя был оформлен кредит без ее согласия, злоумышленники использовали утекшие данные. Алибек потратил много времени, чтобы разобраться в ситуации, и только после того, как этот случай стал публичным, один из крупнейших банков страны — Halyk начал свое расследование. Как такое могло произойти в столь крупной финансовой организации — это, конечно, отдельный вопрос, но он ясно показывает, насколько опасными могут быть утечки данных, особенно когда ими пользуются злоумышленники через такие инструменты, как Telegram-боты.
Между тем в Казахстане нарушение законодательства о защите персональных данных, включая утечку информации, может привести к серьезным штрафам и другим мерам. Это регулируется Кодексом РК об административных правонарушениях (КоАП РК).
Если говорить простыми словами, за утечку или неправильное использование персональных данных в стране можно получить штраф:
физическим лицам, например, если кто-то случайно или специально нарушил правила конфиденциальности, грозит штраф от 10 до 100 МРП.
Должностные лица, которые ответственны за соблюдение конфиденциальности данных на своих рабочих местах, могут быть оштрафованы на сумму от 50 до 500 МРП. Это касается тех, кто обязан следить за тем, чтобы данные не утекали и не использовались неправомерно.
Для юридических лиц штрафы могут достигать до 1 тыс. МРП и даже больше, если нарушение серьезное и затронуло множество людей.
Кроме того, если нарушение оказалось значительным, компанию могут временно приостановить, пока она не исправит все проблемы с защитой данных. В итоге правила по защите персональной информации в Казахстане достаточно строгие, и за их несоблюдение предусмотрены серьезные санкции.
"Я даже боюсь представить, что могло бы произойти, если бы данные из всеобщего декларирования попали в Сеть. Ведь в этих декларациях содержится огромное количество чувствительной информации: это не только доходы и расходы людей, но и подробности об их имуществе, финансовых обязательствах, членах семьи и многом другом. Если такая информация станет доступной для всех, последствия могут быть очень серьезными. Как пример – человеческий фактор, со "списком Айки", – подчеркнул глава ассоциации Big Data и аналитики.
Где присутствует слабина?
Мы задались вопросом: какие же казахстанские цифровые платформы на сегодняшний день являются слабо защищенными и почему?
В ответ эксперт Олжас Сатиев сообщил, что очень много утекает данных с государственных информационных систем. Кроме того, в микрофинансовых организациях не такой сильный контроль со стороны регулятора финансового рынка, как в сторону банков:
"Если в случае с банками нужно ежегодно проходить аудиты безопасности, внедрять security permission центры, у них есть собственный compliance, PCI DSS и прочее, то в случае микрофинансовых организаций, которых довольно много в Казахстане, через которые проходит, наверное, практически хоть раз каждый гражданин, у нас есть проблема. Поэтому, мне кажется, одни из самых опасных – это микрофинансовые организации и, к сожалению, еще медицинские системы. Мы очень много видим, что продаются медицинские данные наших граждан".
Персональные данные на казахстанских серверах – выход?
В стране действует закон о том, чтобы персональные данные в целях безопасности находились строго на серверах, расположенных в Казахстане. С недавних пор принят приказ об усилении этой нормы и наказания организаций за нарушения. Спасет ли это казахстанцев от последующих кибератак извне?
По мнению Сергея Ахметова, Казахстан является уникальным примером в мире, где финансовый сектор и государство работают в тесной интеграции. Этот подход, обсуждаемый даже в Оксфорде, имеет как свои плюсы, так и минусы. С одной стороны, такая интеграция позволяет быстрее и эффективнее реализовывать государственные инициативы, связанные с финансами. Государственный контроль над ключевыми процессами в экономике помогает поддерживать стабильность и управляемость. Но, с другой стороны, такая тесная связь также увеличивает уязвимость системы. Если возникает ошибка или уязвимость в одной области, она может легко распространиться на другие части системы, делая всю структуру более подверженной внешним атакам и нарушениям.
Вопрос хранения данных в Казахстане также вызывает много споров. Локализация данных внутри страны, хотя и кажется логичным шагом для повышения безопасности, сама по себе не является гарантией защиты от кибератак. Например, если государство использует зараженное оборудование, как это было с китайскими устройствами, то данные могут утекать за рубеж, несмотря на все меры по локализации. Это показывает, что просто размещение данных внутри страны не обеспечивает их безопасность.
"Как человек, который работает в IT-сфере уже более 15 лет, я могу отметить еще одну проблему: разница в стоимости серверов в Казахстане и Европе значительна. В Казахстане средний сервер может стоить около миллиона тенге, тогда как в Европе аналогичный сервер с гораздо лучшими характеристиками можно приобрести за 500-800 долларов. Это ставит под вопрос не только защиту данных, но и общую эффективность использования ресурсов в Казахстане. К сожалению, бизнесу приходится переплачивать большие деньги", – подчеркнул эксперт.
К слову, Казахстан недавно занял седьмое место в мире по количеству кибератак, согласно данным компании Kaspersky. В 2023 году в Казахстане было зафиксировано более 223 млн кибератак со стороны зарубежных хакеров. Этот факт подчеркивает, насколько серьезны угрозы в цифровом пространстве страны, и делает вопрос защиты данных крайне актуальным.
В Казахстане действует Закон "О персональных данных и их защите". Этот закон обязывает хранить персональные данные граждан на серверах, расположенных на территории Казахстана. Основная цель закона — минимизировать риски утечек данных за рубеж и обеспечить лучший контроль со стороны государственных органов.
Тем не менее, учитывая высокий уровень кибератак, возникает вопрос: достаточно ли хранение данных внутри страны для реальной защиты? Локализация данных важна для обеспечения юрисдикционного контроля, но она не решает проблему глобальных угроз, когда хакеры могут атаковать серверы независимо от их местоположения. Как считает Сергей Ахметов, это требует комплексного подхода к кибербезопасности, который должен включать как локализацию данных, так и современные технологии защиты, улучшение инфраструктуры и обучение персонала.
Автор Индира Кусаинова
Источник inbusiness.kz