Киберҳужум: нима учун қозоғистонликларнинг шахсий маълумотлари тарқаб кетди

Хавф қандай бошланди?

Мен июнь ойининг ўрталарида содир бўлган воқеани эслайман. Интернетда 16,3 миллион бандни ўз ичига олган CSV-файли топилди. Ушбу маълумот мамлакат фуқароларига тегишли эканлиги файл номидан аниқ кўринади. Унда “Қозоғистон аҳолисининг 2024 йилдаги маълумотлари” дейилган.

Унда одамларнинг исмлари ва алоқа рақамлари ҳақидаги маълумотларни кўриш мумкин. ШИР рақами, иш телефон рақами ва ҳатто шахснинг яшаш манзилига кўчиб ўтган йили ҳам кўрсатилган. Умумий ҳисобда тармоқда 15,8 миллион шахсий идентификация рақами ва 16 миллион телефон рақамлари тарқатилди.

Манбани биринчилардан бўлиб эълон қилган SecuriXy.kz Telegram-канали ҳам, кейинчалик хатони тан олган масъул вазирлик ҳам маълумотларнинг бизга тегишли эканлигини тасдиқлади. Энг қўрқинчлиси, бу ердаги кўрсаткич 16 миллионни ташкил этади, демак, маълумотлар базасидаги барча маълумотлар мамлакат фуқароларига тегишли деб ҳисобласак, аҳолининг 70 фоизининг маълумотлари ўғирланган.

Рақамли ривожланиш, инновациялар ва аэрокосмик саноат вазирлиги Кazinform сўровига жавобан маълумотлар давлат муассасасидан эмас, балки хусусий сектор ёки бизнес ташкилотларидан олинганини тушунтирди.

- Ахборот тизимларини режадан ташқари текшириш, шу жумладан онлайн нашр этилган маълумотларнинг долзарблиги таҳлили ўтказилди. Текширув натижаларига кўра, давлат ахборот тизимлари фаолиятининг бузилиши ҳолатлари аниқланмаган. Интернет тармоғида кенг тарқалган маълумотлар базасида 2022 йил учун эскирган маълумотлар борлиги аниқланди, — деди вазирлик.

"Жарима давлатга эмас, фуқароларга тўланиши керак"

Давлат тузилмасида нуқсон бўлмаса, бўшлиқ қаердан келиб чиқади? Киберхавфсизлик бўйича эксперт Аблай Исиннинг фикрича, бунда микромолия ва бизнес ташкилотлари иштирок этмоқда. Унга кўра, хусусий сектор истеъмолчилар ҳақидаги маълумотларни тўплайди ва уларни ўз маълумотлар базаларида сақлаш ҳуқуқига эга. Бу каналлар орқали ахборот тарқатилиши эҳтимолдан холи эмас.

Мисол учун, сиз микромолия ташкилотидан кредит олганингизда ёки хусусий тиббий клиникага ташриф буюрганингизда ўзингиз ҳақингизда маълумот беришингиз керак. Бу — қонун билан белгиланган норма. Маълумотни олган ташкилот уни ўз маълумотлар базасида тўплайди ва уни ҳимоя қилиш учун жавобгарликни ўз зиммасига олади. Бироқ бу вазифа ўз даражасида бажарилмаяпти.

- Бу йил шахсий маълумотларнинг 43 мартадан ортиқ сизиб чиқиши кузатилди. Тахминларга кўра, ҳар бирида 5-10 минг киши ҳақида маълумот мавжуд. Йирик компанияларда кибергигиена даражаси жуда паст. Айтиш мумкинки, баъзи одамлар ўз маълумотлари ўғирланганлигини ҳатто билишмайди.

Муаммо шундаки, компаниялар маълумотлар ўғирланганлигини жамоатчиликка айтмайди. Бундай ноқонуний хатти-ҳаракат учун белгиланган жарима миқдорининг камлиги ишга бепарволик билан қарашга сабаб бўлмоқда. Тадбиркорлар чиқиб тан олишдан кўра жарима тўлаш осонроқ. Расмийлар бу борадаги жаримани 8 миллион тенгега оширган. Энди натижа бўлади шекилли, - дейди эксперт.

Тан олиш керак, йирик компанияларга 7-8 миллион тенге тўлаш муаммо эмас. Уларнинг маълумотларни ҳимоя қилишни ва масъулиятни ўз зиммасига олишни истамаслигининг сири шундадир. Ахборот хавфсизлиги бўйича мутахассис Ерболат Турсинқожанинг фикрича, компанияларга жарима солишнинг бошқа механизмини кўриб чиқиш вақти келди. Масалан, жарима белгилашда маълум миқдорни эмас, балки молиявий айланманинг маълум фоизини белгилаш муҳимдир. Шундагина соҳада ўзгаришлар бўлади.

- Европада бу талаб GDPR деб аталади. Агар компаниялар маълумотларни ҳимоя қила олмасалар, улар ўз айланмасининг маълум фоизини жарима сифатида давлатга тўлашлари керак. Россияда "айланма жарима" тушунчаси жорий этилди. Биз ҳам бу усулдан фойдаланишимиз керак. Акс ҳолда, кичик йўқотиш ишни олдинга силжитмайди, — деди спикер.

Сўнгги йилларда жарималар давлат ва компания ўртасидаги низоларни ҳал қилиш воситасига айланиб қолди. Одамларга фойдаси оз. Ерболат Турсинқожа муаммонинг ечими сифатида иккинчи вариант – фуқароларга товон пули тўлашни кўриб чиқишни таклиф қилди. Компания жаримани нафақат давлатга, балки шахсий маълумотлари ошкор этилган фуқарога ҳам тўлаши керак.

- Бу таклиф узоқ вақтдан бери мавжуд. Ғоянинг қўллаб-қувватланмаслигининг бир қанча сабаблари бор. Авваломбор, эълон қилинган маълумотлар учун умумий компенсация ўрнатиш осон эмас. Ҳуқуқий асосда боши берк кўчага кириб қолдик. Оддий қилиб айтганда, жабрланувчилар гуруҳи маълум бир компанияни шахсий маълумотларини ҳимоя қилмагани учун судга берди дейлик. Кимдир товон пули сифатида 100 минг тенге талаб қилса, бошқаси 1 миллион тенге талаб қилиши мумкин. Шунинг учун, беқарор ҳисоб ишни узайтиради ва вазиятни мураккаблаштиради. Агар умумий товон миқдори белгиланса, халқ бунга тўлиқ рози бўлмаслиги шубҳасиз, - дейди у.

Ҳозирча шахсий маълумотларни ҳимоя қилишнинг ягона йўли қонунни кучайтиришдир. Масалан, январь ойида Маъмурий жавобгарлик тўғрисидаги кодекснинг 79 ва 641-моддаларига ўзгартиришлар киритилиб, белгиланган жарима миқдори оширилди. Илгари бировнинг шахсий маълумотларини ўғирлаганлар 10 БҲМдан 1000 БҲМгача жаримага тортилган бўлса, эндиликда бу миқдор 30 БҲМдан 2 000 БҲМгача оширилди.

Таъкидлаш жоизки, сўнгги уч йилда вазирлик томонидан шахсий маълумотлар соҳасидаги қонун ҳужжатлари билан боғлиқ 133 та, электрон рақамли имзо хавфсизлигини таъминлаш бўйича 53 та текшириш ўтказилган. Айбдор шахслар Маъмурий жавобгарлик тўғрисидаги кодекснинг юқорида қайд этилган икки моддаси бўйича жавобгарликка тортилди. Таҳририятга юборилган расмий жавобда жазога тортилганлар сони ва жарима миқдори ҳақида маълумот берилмаган.

Давлат маълумотларни ҳимоя қила оладими?

Яна бир муаммо - компаниялардаги маълумотлар устидан ҳокимият томонидан назоратнинг йўқлиги. Аввалроқ, Рақамли ривожланиш, инновациялар ва аэрокосмик саноат вазири ўринбосари Ростислав Коняшкин давлат хусусий сектордаги ахборот базалари устидан назоратни кучайтириши кераклигини айтганини эшитган эдик. Бунинг сабаби шундаки, ҳозирда компанияларнинг умумий маълумотлар базаси тизими мавжуд эмас.

- Шахсий маълумотларнинг сизиб чиқиши кўпинча шахсий маълумотлар тизимларининг заифлиги билан боғлиқ. Бундан ташқари, хусусий секторда айрим давлат органининг муайян дастури бўйича ахборот тизими юритилиши мумкин. Вазирлик энди муҳим маълумотларнинг давлатга берилишини таъминлаш чораларини кўрмоқда.

Биз шахсий маълумотлар фақат давлат назорати остида бўлганда ҳимоя қила олишимиз мумкинлигини тушунишимиз керак. Масалан, агар маълумотлар “Миллий ахборот технологиялари” АЖ, “Электрон молия маркази” АЖда сақланса, биз жавобгармиз. Агар шахсий маълумотлар ташқи тизимда бўлса, уни ҳимоя қилиш анча қийин, — деди вазир ўринбосари.

Қозоғистон давлат ахборот базаларини ҳимоя қилиш бўйича Марказий Осиёда етакчи ҳисобланади. Албатта, 16 миллион кишининг маълумотлари ошкор этилганда бундай маълумотларга ишониш қийин, бироқ реал давлат маълумотлар базаларининг киберхавфсизлиги юқоридир. Вазир ўринбосарининг хусусий секторнинг маълумотлар базалари ҳам давлат томонидан муҳофаза қилиниши керак, деган ғоясидан кўзланган мақсад ҳам ана шу жиҳатдан келиб чиқади.

Масалан, бугунги кунда 570 та объектнинг киберхавфсизлиги назорат остида:

• давлат хизматлари кўрсатиш соҳасида – 126 та;
• алоқа ва ахборотлаштириш соҳасида – 247 та;
• транспорт соҳасида - 50;
• молия соҳасида – 70;
• энергетика соҳасида – 16 та;
• соғлиқни сақлаш соҳасида – 32 та;
• нефть, газ ва тоғ-кон саноатида 29 та объект назоратга олинган.

Олти ой ичида 11 минг интернет фирибгарлик ҳолати қайд этилган

Шахсий маълумотларнинг интернетга тарқалиши қандай хавф-хатарларга эга? Асосий хавф шундаки, маълумотлар фирибгарлик мақсадларида ишлатилиши мумкин. Сўнгги йилларда кўпайиб бораётган интернет фирибгарлиги бузилган маълумотлардан фойдаланган ҳолда амалга оширилмоқда. Яқинда Астана ва Алмати шаҳарларида жойлашган 5 та алоқа марказининг фирибгарлик фаолияти фош этилди. Дастлабки 6 ойда 11 мингдан ортиқ интернет-фирибгарлик ҳолатлари қайд этилган, 74 та sim-box қурилмалари ва 88 мингдан ортиқ рўйхатдан ўтмаган sim-карталар мусодара қилинган. Кибержиноятларда иштирок этганлик учун 870 нафар шахс жавобгарликка тортилди, сохта рақамлардан қилинган 66,9 миллион қўнғироқ блокланди. «Антифрод-маркази» Қозоғистон фуқароларининг 2,6 миллиард тенгедан ортиқ маблағини тежаб қолди.

Киберхавфсизлик бўйича эксперт Аблай Исин фикрича, жамият фирибгарларнинг олдини олиш учун ҳушёр бўлиши керак.

- Кўпчилик фирибгарларнинг хабарлари ва қўнғироқларига эътибор бермайди. Улар алданганини англаб етгандагина ҳуқуқ-тартибот идораларига шикоят қиладилар. Аслида, ҳар қандай шубҳали қўнғироқ ёки SМS-хабар шахсий маълумотларнинг сизиб чиқишини кўрсатади. Жамият барча шубҳали ҳаракатлар ҳақида хабар беришга одатланиши керак. Бу иш кўламини тушуниб, тизимли ишлаш имконини беради, – дейди мутахассис.

Мутахассислар, шунингдек, харид қилиш дастурига яқинлашганда эҳтиёт бўлишга чақирди. Биринчидан, иловага рўйхатдан ўтишда почта манзили ва карта рақамини киритиш жараёни мавжуд. Бу тўловни осонлаштирса-да, хавфсизликни камайтиради. Кейинчалик, компания ёпилганда ва унинг ахборот тизимлари ҳимоясиз қолса, зарарли хакерлар учун маълумотлар базаларини бузиш қийин эмас. Бундан давлат маълумотлар базаларига ҳужум қилиш учун фойдаланадиганлар бор.

Иккинчидан, баъзи мобил иловалар маълумотлар базалари чет элда сақланиши мумкин. Қозоғистон ҳудудида бўлмаган база хавфсизлиги учун давлат жавобгар бўла олмайди. Бундан ташқари, молиявий ташкилотлар ўз мижозлари маълумотларини сотиши бутун дунёда одатий ҳолдир. Шунинг учун номаълум платформаларда рўйхатдан ўтишни минималлаштириш тавсия этилади.

Ҳозирда мамлакатда фаолият юритаётган хорижий компанияларнинг неча фоизи ўз маълумотлар базасини бошқа давлатда сақлаши ҳақида маълумот йўқ. Вазирлик "тегишли ваколатлар йўқлиги сабабли" бу масала бўйича расмий статистика юритмаётганини айтди.

Банкдаги шахсий маълумотларни ўчириш мумкинми?

Афсуски, фуқаролар ўз шахсий маълумотларини ҳимоя қилишнинг оддий қоидаларидан бехабар: нотаниш шахсларга электрон рақамли имзоларни бермаслик, шубҳали қўнғироқларга жавоб бермаслик, банк картаси маълумотларини ошкор қилмаслик. Ахборот хавфсизлиги бўйича мутахассис Ерболат Турсинқожа банкдан кредит олиш учун ариза топширгандан кейинги қадам ҳам инобатга олинмаётганидан хавотирда. Унга кўра, банкка шахсий маълумотларини тақдим этган фуқаро кейинчалик кредит олишдан бош тортса ёки ҳисобварақ очмаса, молия муассасасига шахсий маълумотларини ўчириш учун ариза ёзиши мумкин. Одамларнинг оддий кўрсатмаларга эътибор бермасликлари уларнинг бундай имконият мавжудлигидан бехабарлигини англатади.

Давлат ушбу усулни соддалаштириш йўлини қидирмоқда. Ахборот хавфсизлиги қўмитасининг Шахсий маълумотларни ҳимоя қилиш бошқармаси бошлиғи Нурбол Муқашевнинг айтишича, йил охиригача eGov.kz порталига ўзгартиришлар киритилади. Агар ташаббус амалга оширилса, уйдан чиқмасдан шахсий маълумотларни исталган ташкилотдан олиш мумкин бўлади.

– eGov.kz порталига шахсий маълумотларингизни олиш имконини берувчи механизм қўшилади. Ҳар ким ўз шахсий маълумотларини сақлаш учун қайси муассасага розилик берганлигини кўриши мумкин. Агар керак бўлса, чекиниш йўли очиқ. Кейин шахсий маълумотлар 15 кун ичида ўчирилиши керак. Худди шундай, энди барча рақамли операциялар электрон имзо, яъни таниқли ЭРИ ёрдамида амалга оширилади. Бироқ кўпчилик ундан фойдаланиш қоидаларига бефарқ қарайди, – дейди бошқарма бошлиғи.

Бироқ, бу сизнинг ушбу ташкилотлардаги шахсий маълумотларингиз бутунлай ўчирилади дегани эмас. Аввалроқ, рақамли Ривожланиш, инновациялар ва аэрокосмик саноат вазири ўринбосари Ростислав Коняшкин маълумотларни сақлаш бўйича нормаларни тақдим этган эди. Мисол учун, иш берувчи ўн йил давомида ходимларнинг ёзувларини сақлаши шарт. Ушбу талаб банкларга ҳам тегишли. Агар молия институтида кредитингиз бўлса, улар кредит тўлиқ тўланмагунча шахсий маълумотларни сақлаш ҳуқуқига эга. Шунинг учун, ҳозирча, фақат фишинг фирибгарликларидан эҳтиёт бўлиш қолганга ўхшайди.

BugBounty: 4000 дан ортиқ носозлик аниқланган

2013 йилда “Шахсий маълумотлар ва уларни ҳимоя қилиш тўғрисида”ги қонун қабул қилинди. Ўшандан бери рақамли хавфсизликни таъминлаш учун лойиҳалар ва кейинчалик махсус институтлар яратилди. Улардан энг фаоли BugBounty тизимидир. Рақамли ривожланиш, инновациялар ва аэрокосмик саноат вазирлиги қошидаги дастур давлат ва хусусий сектордаги ахборот тизимлари мониторингини олиб боради. Платформада 2500 га яқин мустақил экспертлар мавжуд бўлиб, улар тизимлардаги муаммоларни аниқлаш ва улар ҳақида масъул органларга хабар бериш билан шуғулланади.

Шу ўринда вазирликдан тизимнинг бугунги кундаги фаолияти ҳақида сўрадик.

– BugBounty тизими 4137 та носозликни аниқлади, улардан 2368 таси тузатилди, бу умумий миқдорнинг тахминан 57 фоизини ташкил этади. Ҳозирда қолган камчиликларни бартараф этиш ишлари олиб борилмоқда. Хавфнинг муҳим ва юқори хавф тоифаларига устуворлик берилади. Жараён самарадорлигини ошириш мақсадида мониторингни кучайтириш, шунингдек, ҳодисаларга жавоб бериш муддатларини тезлаштириш режалаштирилган, — дейилади жавоб хабарида.

Ахборот хавфсизлигини ҳимоя қилиш катта молиявий ресурсларни талаб қилади. Доимий мониторинг ва техник ёрдам талаб қилинади. Бундай йўқотиш кичик ташкилотлар учун катта юк бўлишини ҳам ҳисобга олиш керак. Улар йирик компаниялар сингари киберхавфсизликни текшириш учун “оқ хакерлар”ни ёллаш имконига эга эмаслар. Мутахассисларнинг фикрича, давлат кичик ташкилотларнинг ахборот базаларини ҳимоя қилишга ёрдам бериши керак.