Дана Есентай: «Большая часть ответственности за сохранность данных возложена на организации»

В начале марта этого года появилась информация о том, что Государственной технической службой обнаружена утечка персональных данных двух миллионов казахстанцев. По словам старшего консультанта департамента кибербезопасности и персональных данных KPMG Центральной Азии и Кавказа Даны Есентай, в зоне риска находится каждый из нас, как студент национального университета, так и клиент микрофинансовой организации, как абонент телефонной сети, так и обычный вкладчик пенсионного фонда.
Утечка данных в современных реалиях, по мнению эксперта, происходит ежесекундно.
– Если верить, статистике, то в секунду утекает около 68 записей. Каждая утекшая запись влечет за собой риски финансовых потерь, повреждения репутации, нарушения законодательства, штрафов и санкций. Для того, чтобы снизить риски возникновения утечки, организациям требуется проделывать огромную работу по внедрению системного подхода по защите данных и этого все еще недостаточно.
– Как уберечь свои данные от третьих лиц в киберпространстве?
– На сто процентов сделать это, к сожалению, невозможно. Большая часть ответственности за сохранность наших данных возложена на организации, собирающие и обрабатывающие персональные сведения. Нам, как субъектам этих данных, остается надеется на то, что упомянутые организации имеют хорошо выстроенную систему защиты и повышать уровень осведомленности в вопросах кибербезопасности. Во-первых, следует помнить, что любая информация является чувствительной, а это значит, что нужно создавать надежные пароли. К сожалению, большая часть казахстанцев не уделяют должного внимания данному аспекту. Немало тех, чьи электронные цифровые подписи можно взломать, используя стандартный пароль «AAaa1234» или «Qwerty123». Обновление используемых приложений, включение двухфакторной аутентификации, управление настройками приватности в социальных сетях – это инструменты, помогающие нам уберечь себя и свои данные. Проще говоря, успех защиты данных от утечки зависит от нас самих.
– Почему вообще происходят кибератаки, и кто за ними стоит?
– Есть несколько основных мотиваций и типов исполнителей кибератак. Финансовая выгода. Это, конечно, одна из основных причин возникновения кибер-инцидентов. Выкрасть могут данные вашей кредитной карточки для несанкционированного вывода денег или же личную информацию (ИИН, номер телефон, адрес проживания, медицинские данные и т. д.) для последующей продажи на черном рынке. В Казахстане так же наблюдается большое количество инцидентов, произошедших по причине человеческого фактора. В основном это непреднамеренные утечки информации, возникающие в первую очередь, из-за отсутствия осведомленности о кибербезопасности со стороны сотрудников и клиентов тех или иных организаций.
По моему мнению, государственные органы Казахстана должны уделять особое внимания вопросам повышения осведомленности граждан в вопросах кибербезопасности. Поскольку в противном случае могут возникнуть негативные последствия на государственном уровне и повлечь за собой нарушения общественной безопасности.
– Какие меры действуют сегодня в Казахстане по противодействию хакерским атакам, в том числе и по профилактике утечки данных?
– На январской коллегии Министерства внутренних дел Президент страны Касым-Жомарт Токаев поручил поставить «заслон» киберпреступности и Интернет-мошенничеству. Мы гордимся тем, что наша страна заняла восьмое место в мировом рейтинге цифровизации, но стоит помнить, чем выше цифровизация, тем больше пространства для киберпреступлений.
На государственном уровне принимается достаточно много мер противодействия хакерским атакам. Например, действует законодательство, регулирующее сферу кибербезопасности и защиту персональных данных, существует Государственная Техническая Служба при КНБ, ответственная за обеспечение и развитие информационной безопасности инфраструктуры и информационного пространства РК. Также проводятся работы по обучению основам кибербезопасности сотрудников казахстанских правоохранительных органов. Все перечисленные меры не закрывают одну из ключевых проблем, существующих в текущих реалиях Казахстана. К сожалению, руководители казахстанских организаций и владельцы бизнеса не в полной мере осознают критичность информационной безопасности. Сотрудники, ответственные за информационную безопасность в компаниях, не могут добиться достаточного финансирования для повышения уровня защищенности. Руководителям достаточно формального соответствия регуляторным требованиям и законам. Эффективность применяемых мер и процессов становится на второй или даже на третий план. Мы даже шутим, что финансирование поступит сразу после громкого кибер-инцидента.
– В каких моментах казахстанское законодательство еще неидеально (в вопросе защиты данных казахстанцев)? Что нужно предпринять для улучшения ситуации?
– Защита персональных данных регулируются в Казахстане законом Республики Казахстан «О персональных данных и их защите» от 2013 года. Представители Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан активно ведут работы по актуализации данного документа. С 1 июля 2024 года вводятся существенные изменения в Закон. Так, вводится новое понятие – «нарушение безопасности персональных данных» и постановляет, что оператор персональных данных будет обязан в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении.
Однако, основной проблемой нашего законодательства по защите данных, является то, что требования Закона не соблюдается в полной мере. Не многие организации соблюдают требования в вопросах уничтожения персональных данных в случае достижения цели их сбора, не все субъекты данных осведомлены о своих правах. К примеру, мы, как субъекты данных, имеем право требовать от оператора блокирования, уничтожения или изменения своих персональных данных. Однако большинство из нас не знает, как это делать и в каких случаях.
Для улучшения ситуации, конечно же, нужно проводить комплексные работы по повышению осведомленности среди граждан в этом вопросе, работы по разъяснению наших прав и обязанностей. Помимо этого, мне кажется, нужно ужесточить наказание за утечку данных, в том числе увеличить штрафы за нарушение требований законодательства, увольнять руководителей, допустивших такой инцидент. При этом важно развивать культуру защиты персональных данных.
– Какова роль искусственного интеллекта (ИИ) в предотвращении киберугроз?
– Искусственный интеллект все чаще и чаще применяется в сфере обеспечения кибербезопасности и его в основном используют для обнаружения, прогнозирования и анализа угроз. Уникальность ИИ-систем комплексного подхода в том, что они способны анализировать большие объемы данных, обнаруживать аномалии и предсказывать потенциальные угрозы. Некоторые специализированные системы ИИ могут автоматически обнаруживать и реагировать на атаки, блокировать вредоносное программное обеспечение и улучшать безопасность сети в режиме реального времени. Практика показывает, что организациям со зрелыми и выстроенными процессами удается успешнее других пользоваться прелестями ИИ-систем.
– Спасибо за беседу!

Анастасия Михайловна