Маңызды IT құрылымдарға жаппай кибершабуылдар жасалғаны анықталды

Наурызда zaimer.kz деген микроқаржы ұйымынан 2 млн-дай қазақстандықтың жеке жеке дерегі шығып кеткені белглі. Цифрлық даму министрлігі бұл ұйымның 2 млн теңгеге жуық айыппұл төлегенін де хабарлаған. Негізі 4 млн-дай айыппұл тағайындалған, қаржы ұйымы жеңілдікпен төлепті. Жеке дерегі шығып кеткендердің арасында аталған ұйымда займ рәсімдегендер де болды. Министрліктің ақпараттық қауіпсіздік комитеті бұл компания қазақстандықтардың дерегін заңсыз жинаған болуы мүмкін деген. Бұл енді тіпті сорақы әрекет. Айтпақшы осы оқиғаның алдында – ақпан айында аталған тақырыппен қабысатын тағы бір ақпарат шыққан. Еліміздің маңызды IT құрылымдарына жаппай кибершабуылдар жасалғаны анықталған. Тиісті органдар «Қазақтелеком», Beeline, Kcell және Tele2, Air Astana тағы басқа компания және мекемелерден мәліметтер шығып кеткенін айтты. Мұны бір деп қойыңыз. Екіншіден, Бас прокуратының статистикасы бойынша былтыр қазақстандықтар 140 млрд теңгесінен айырылған. Мұның бір ұшы адамдардың жеке деректеріне ие интернет алаяқтарға барып тірелетіні даусыз. Сонымен біз жауабын іздеген сұрақ: Азаматтардың мәліметтерінің шығып кетуінің зардабы қандай? Шығын тек ақша түрінде ме?

Аманкелді Сейтхан, тілші:

Биыл наурызда 2 млн Қазақстан азаматының жеке дерегі тарап кетті. Zaimer.kz микроқаржы ұйымы тұтынушыларының ақпараты «телеграмда» жарияланды. Онда телефон нөмірі, электрондық пошта, жеке куәлік, жұмыс орны, тіпті, банк шоттары туралы мәліметтер бар.

Ал, ақпанда Қазақстан азаматтарының жеке мәліметтері қытайлық кибертыңшылардың қолына түскен деген ақпарат тарады. Қытайдың қоғамдық қауіпсіздік министрлігімен бірлесетін iSoon компаниясы құпия құжаттардың тарауына жол бергені айтылды. Барлық файлдар GitHub қызметінде ашық жарияланған. Бір қызығы, біз бұл ақпаратты шетелдік сайтта жариялағаннан кейін бір-ақ білдік.

Арман Әбдірасылов, киберқауіпсіздік саласы бойынша сарапшы:

Ол біздің құзырлы органдардың жеткізген ақпараты емес, интернетте жаңағы хаккерлердың ақпараты орналасқаннан кейін, жаңалыққа шыққаннан кейін ғана біз біліп отырмыз. 2 жыл өткеннен кейін.+00:49 Одан басқа ақпарат жоғалып, азаматтарға белгісіз немесе жаңалықтарға көрінбей қалған ондай жағдайларда бар. Әрине, оны қазір ешкім білмейді де, анықтай алмаймыз да.

Бір қызығы, жаңағы кибертыңшыларҚазақстандық байланыс операторлары базасында 2 жылдайемін-еркін отырғаны айтылды.

Олжас Сәтиев, Кибершабуылдардыталдау және тергеу орталығының басшысы:

Олар 2 жылдақоңырауларды бақылаған. Негізінен құқық қорғау қызметкерлері туралы ақпараттар іздеген. Ол түсінікті. Себебі, бұлмақсатты хакерлік топ. Бюджеті көп. 100-деген адамы болған. Ал, біздегі телеоператорлар базасының қауіпсіздігін 2-3 адам қорғауы мүмкін.

Батыржан Шакманов, киберқауіпсіздік саласы бойынша сарапшы:

Негізінде бұл 2 жыл бұрын кіргенін біз 1 жарым жыл бұрын киберқауіпсіздік мамандары білетін. Олардың артынан түсу үшін, оларды тауып алу үшін және де оларға жауап қайтару үшін оны қатты жарияламайтынбыз.

Егер оларды бірден жарияласақ, үркітіп жіберер едік,-дейдіБатыржан. Мақсат сол топтың артында кім тұрғанын анықтау болған соң, бұл факт құпия ұсталған. Бірақ, Қазақстан азаматтарының мәліметтері тарағанын ескерсек, сонда не ұттық?

Батыржан Шакманов, киберқауіпсіздік саласы бойынша сарапшы:

Олардың қалай кіргенін, барлық схемаларын анықтадық. Сол шабуылды анықтап берген толықтай. Және де оның себептері емес, салдарымен күрескен.Соңында анықталмады бірақ иа. Жоқ, соңында анықталды. мемлекетке қатысы бар екені. Қытай мемлекетіне. Бұл жерде дәл осындай шабуылға біз ғана емес басқа елдер де бар.

Демек, бұл әлемдік деңгейдегіоперацияның бір бөлігіне ұқсайды. Ал, цифрландыру дамыған сайын осындай шабуылдар үдейтіні белгілі. Осы тұста одан қорғануға Қазақстан қаншалықты қауқарлы?

Арман Әбдірасылов, киберқауіпсіздік саласы бойынша сарапшы:

Өткен 25 жылдың ішінде құрастырып жатқан электронды үкімет деп жатырмыз. Инфрақұрылымды айтатын болсақ, ақпараттық көзқарасты дамытып жатқанына 5-ақ жыл болды. Ол ақпараттық қауіпсіздік маңызды 5 жыл болса, оның алдында 20 жыл ақпараттық қауіпсіздік маңызсыз болып дамыған уақытымыз бар.

Олжас Сәтиев, Кибершабуылдардыталдау және тергеу орталығының басшысы:

Иә, бізде әлемдегі ең үздік электронды үкіметтің бірі бар. Бірақ,ол жерде азаматтардың дербес деректері сақтаулы тұр. Оған түрлі хакерлік топтардың қызығушылығы көп.Біз барлық қызметтің ыңғайлы болғанына көңіл бөліп жатырмыз да, қауіпсіздікке мән бермей жатырмыз.

Арман Әбдірасылов, киберқауіпсіздік саласы бойынша сарапшы;

Саяси орындарға, лауазымдарға келетін адамдар 1-3 жылға жоспарлайды. Өйткені, 3 жылдың ішінде басқа жұмысқа ауысып кетем деп. Сондықтан, тез жеңімдік дейді. Тез жеңімдікке жүгіреді. 1 айда, 3 айда, жарты жылда істейтін әрекеттерді істейді. Ал,мысалы осындай 4-5-10 жылға істейтін стратегиялық проектілер болса, оларға жақындамайды. Біріншіден, оның саяси мерзімінде бітпейді, екіншіден жетістіктерге жететін болса ол басқа адам жетеді дегендей саяси тәрбиеміз.

Негізгі мәселенің бірізаң бойынша компаниялар жауапкершілігінің төмендігі-дейді мамандар. Мәселен, 2 млн адамның дерегі таралып кеткенде«МҚҰ «Робокэш.кз» ЖШС-іне 3 млн 600 мың теңге айыппұл салынып, компания 50 пайыз жеңілдікпен 1 млн 800 мың теңге төлеген.Бұл айыппұлдың заңда қарастырылған ең көп сомасы. Ал, бұл киберқауіпсіздікке жұмсалуы тиіс ақшаның қасында түк емес.

Арман Әбдірасылов, киберқауіпсіздік саласы бойынша сарапшы:

Киберқауіпсіздігін қамтамасыз ету қосымша шығын кішігірім компанияларға қосымша азамат жалдау қымбат болып шығады.

Ырысты Жәлілханова, Ақпараттық қауіпсіздік комитетінің бас сарапшысы:

Расында да ұйымдар заңнама талаптарын сақтаудың орнына әкімшілік айыппұлды төлегенді жөн көреді. Сондықтанда қазіргі таңда біз әкімшілік айыппұлдың мәселесін 3 есе көтеруді жоспарлап отырмыз. Яғни, қазір ол 10 АЕК-1000 АЕК болса, енді ол 30-3000 АЕК ұлғаятын болады.

Сонда айыппұлдың ең жоғары сомасы 10 млн теңгеден асуы мүмкін.Бірақ,шет елдермен салыстырсақ мұның өзін лайықты сома деуге келе ме?

Батыржан Шакманов, киберқауіпсіздік саласы бойынша сарапшы:

Ватсап компаниясы бір ақаулық үшін регуляторға 265 млн доллар төлеген. Өзінің қателігі үшін.

Арман Әбдірасылов, киберқауіпсіздік саласы бойынша сарапшы:

Ең үлкен айыппұл. Ол Фейсбук компаниясы. Ол 5 млрд доллар төлеген кезінде. Сол сияқты мысалы Фин елдерінде жол жүргенде сіздің айыппұлыңыз табатын ақшаңызға байланысты.Өйткені, сіз табатын ақшаңыз айына 100 доллар болса, ондай айыппұл 20 доллар болады. Егер сіз жылына табатын табысыңыз 100 мың доллар болса, онда 20 мың долларға кете береді. Не үшін істелген. Өйткені, ақша көп табатын адам ереже сақтамай бұзып жүре беретін болады. Өйткені, ол үшін арзан боп шығады. Осындай жолмен жүруге болады бізге.

Дәл осындай айыппұл жүйесі енгізілмесе де, енді компанияларға киберқауіпсіздікке көбірек ақша бөлу міндеттелмек.

Ырысты Жәлілханова, Ақпараттық қауіпсіздік комитетінің бас сарапшысы:

Әрбір ұйымдарға ақпараттық коммуникациялық бюджетінен жаңағы ИКД бюджет деп айтамыз, соның 10-15 пайызы нақты ақпараттық қауіпсіздікке жұмсау болып табылады. Сонымен қатар жеке компаниялармен бірге киберқауіпсіздікті қамтамасыз ету бойынша арнайы бірыңғай платформа жасалып жатыр. Ол платформада қарапайым тілмен, заңға сілтеме жасамай, азаматтарға түсінікті болатын видеороликтар жасалуда.

Себебі, компаниялардан бөлек, қарапайым азаматтар да кибергигиена талаптарын білмегендіктен, оп-оңай алданады екен.

Батыржан Шакманов, киберқауіпсіздік саласы бойынша сарапшы:

Кең тараған фишинг әдісі бар. Зараженный ссылканы жібересіз. Мысалы карантин кезінде рекомендация по карантину деп компанияға жіберсеңіз, срочно директор такой то компании приказ берді осыған данныйлар енгізу керек карантинге байланысты деп жіберсеңіз көп компаниялар олардың почтасының атын өзіңе алуға болатын ақаулықтар бар. Ол стандартный ақаулықтар. көбінесе оңай ақаулықтар стандартный парольдар болады. Админ-АДМИН деген сияқты.

Бұл техникалық олқылықтарды жою жолдары. Келесі мәселе - адам факторы. Яғни, компания қызметкерлері жеке деректерді біреуге сатпасы үшін оларға бақылау күшеймек.

Ырысты Жәлілханова, Ақпараттық қауіпсіздік комитетінің бас сарапшысы:

Дербес деректер жинайтын ұйымның қызметкерлерінің не жасап жатыр, қандай іс-әрекет жасап жатыр, солардың локтарын жасау. Яғни, әрбір қызметкер қай уақытта қандай ақпараттық жүйеге қандай іс-әрекет үшін кірді, неге кірді деген бар. Бізге ол көрсету керек қызметін. Шынымен бізде осындай орнатылған. Біз оны қолданамыз деген мағынада.

Олжас Сәтиев, Кибершабуылдардыталдау және тергеу орталығының басшысы:

Біз киберқауіпсіздікпен айналысатын жеке агенттік құруымыз керек. Мемлекет тарапынан жүйелі шараларды қолға алмасақ, жеке компаниялардың жауапкершілігін арттыру мәселені толық шеше алмайды.

Өйткені, кибершабуылдар саны жыл санап артып келеді. Мысалы,былтыр 18 мыңнан астам кибершабуыл тіркелген. Бұл алдыңғы жылдан 56 пайызға көп. Шабуыл көбейген сайын онымен күресте де тәжірибе артқандай. Мысалы, Қазақстан әлемдік киберқауіпсіздік рейтингінде 2015 жылы 118-ші орында болса, былтыр 31-орынға көтерілген.

Батыржан Шакманов, киберқауіпсіздік саласы бойынша сарапшы:

Қазақстанда киберқауіпсіздік мамандарының деңгейі жыл сайын артуда. Мысалы, 1 ай бұрын ғана Дубайда хакерлер жарысында біздің Қазақстандықтар 3-ші орын алған және де Ресейде болған жарыста 1-ші орын алған болатын.

Яғни, шеберлер бар. Бірақ, олардың жұмыстары байқалмайды. Себебі, киберқауіпсіздікке деген көзқарас әлі дұрыс емес,-дейді сарапшылар. Соны өзгертпесек, мықты мамандарымыздың жарыстағы жетістіктеріне ғана мақтанып қалуымыз мүмкін.

Аманкелді Сейтхан