Телеграм-боты сливают личные данные казахстанцев: в министерстве дали ответ

На днях в Казахстане общественный резонанс вызвали активизировавшиеся телеграм-боты по определению данных. И тут казахстанцы разделились на два лагеря: одни с удовольствием пользуются ботами для того, чтобы узнать всё о человеке, транспортном средстве или телефонном номере, а другие бьют тревогу, опасаясь последствий такой открытости. Корреспондент BaigeNews.kz разбиралась, откуда у телеграм-ботов персональные данные казахстанцев, кто несет ответственность за их утечку и как защитить себя от этого.

Казахстанцы в соцсетях пожаловались на телеграм-боты, которые по запросу выдают такую личную информацию, как ИИН, адрес прописки, место работы, номер телефона. Принцип их действия не совсем понятен простому человеку. Одни грешат на известное медицинское приложение, другие спешат обвинить ЦОНы. Якобы это они слили всю информацию ботам. Но, по словам экспертов, принцип работы ботов простой. Телеграм-бот находит абсолютно всю информацию о человеке в интернете, собирает ее воедино, структурирует, удаляет дубли и выводит пользователю в удобной и понятной форме.

Это подтвердили и в МЦРИАП. В ответе на наш запрос сообщается, что сбор персональных данных граждан телеграм-боты осуществляют из различных сервисов онлайн-платформ, таких как: телеграм, Facebook, WhatsApp Одноклассники и прочих.

"Вместе с тем, телеграм-боты получают сведения по абонентским номерам сотовой связи, записанным в контактах третьих лиц, из сервиса Get Contact, доступ к которому для пользователей с территории нашей республики ограничен", - отметили в министерстве.

Известно, что телеграм-боты выводят старые сведения об адресах проживания. В министерстве считают, что некоторые адреса были указаны в общедоступных источниках либо сервисах доставки товаров и услуг. Эти боты собирают информацию из ранее утекших баз данных, а также обобщают данные, используя уязвимости в сервисах.

Причина многих утечек – человеческий фактор

Эксперт по кибербезопасности TSARKA Виталий Петров считает, что основной причиной попадания личных данных в открытый доступ является человеческий фактор. Утечки происходят из-за простой неосторожности сотрудников компаний, являющихся операторами персональных данных.

"Возьмем, рядового сотрудника, который имеет доступ к конфиденциальным данным в такой организации. К примеру, ему пришло сообщение со ссылкой, содержащей вредоносный код. Этот код предоставляет доступ на рабочий стол компьютера сотрудника. Хакеры могут завладеть всей информацией, запустив вирус на компьютер. Когда происходит такая ситуация, многие сотрудники скрывают, что они нажали на ссылку и нарушили политику безопасности, боятся получить выговор. Системный администратор не всегда реагирует на такие инциденты, либо в компаниях отсутствуют специалисты по информбезопасности, которые должны вовремя реагировать на такие инциденты", - говорит Петров.

Уязвимые информационные системы и базы данных

Причину попадания персональных данных в открытый доступ в уязвимости казахстанских информационных систем и баз данных видит эксперт юридической фирмы DRC Qazaqstan Елжан Кабышев. По его словам, случаев утечки данных в Казахстане было много.

"В числе громких случаев - утечка персональных данных Центральной избирательной комиссии РК, Генеральной прокуратуры. Также мы находили открытый файл по государственным регистрационным номерам машин, которые содержали в себе около 48 тысяч строк, каждая строка это одно физическое лицо. Эти данные, как мы поняли, были взяты из системы Erap. Это единый реестр административных правонарушений, который курируется прокуратурой. Там были такие данные, как ИИН, ФИО, номер машины, регистрация автовладельца, номер квартиры", - поясняет эксперт.

В чём опасность утечки персональных данных?

Защита персональных данных очень важна по многим причинам. Если ваши данные утекли в открытый доступ, то их могут использовать как маркетологи, которые навязчиво будут периодически названивать вам и предлагать свои услуги и товары, так и мошенники для хищения денежных средств. Спектр использования персональных данных большой.

При утечке банковских данных возможны мошеннические действия, направленные на вывод средств. Утечка паспортных данных действительно может привести к совершению юридических действий от имени, и без ведома человека. Использование мошенниками утекших персональных данных для спам-звонков, фишинговых рассылок и попыток социальной инженерии с целью кражи финансов или данных.

Нужно совершенствовать законодательство

Мажилисмен Екатерина Смышляева отмечает, что депутатское сообщество большое внимание в своей работе уделяет законодательству в сфере персональных данных. Совместно с регулятором они уже разработали несколько пакетов изменений. Часть из них приняты и вступили в силу.

"Сказать, что у нас нет механизмов реагирования на утечки и ответственности нельзя. Эти вещи уже предусмотрены. Статьи в Адмкодексе, классификация операторов, порядок наступления ответственности. Есть и другие механизмы защиты. Приведу пример. То, что известно каждому казахстанцу – это институт согласия на использование персональных данных. Если к персональным данным обращаются на госресурсе, то вам приходит уведомление об этом и требуется согласие. Все государственные системы и частные операторы персональных данных должны использовать специальное программное обеспечением по контролю над обращениями к персональным данным", - считает депутат.

Смышляева отметила, что произошедший инцидент с телеграм-ботом и другие случаи несанкционированного использования персональных данных еще раз показывают, что нужно продолжать работу, в том числе над совершенствованием законодательства. Процесс изменений идет поэтапно, поскольку связан с введением серьезных регуляторных инструментов, в том числе для бизнеса.

"В данный момент в рамках инициативного законопроекта по вопросам информационной безопасности вводится государственный контроль в сфере персональных данных, появляются новые обязательства у операторов. Для повышения безопасности информсистем создается казахстанский аналог платформы "белых хакеров". Кроме того, в случае, если законопроект будет принят, начнет работу государственный центр информационной безопасности, который будет отвечать за все государственные информационные системы", - поделилась Смышляева.

Организациям легче оплатить штраф

Елжан Кабышев придерживается мнения, что в Казахстане не совсем серьезно относятся к сбору и обработке персональных данных из-за маленьких штрафов. За распространение персональных данных предусмотрены не большие штрафы: на физические лица штраф составляет 10 МРП, на компании – доходит до 70 МРП. Тогда как в Европейском союзе штрафы могут доходить до десятков миллионов евро.

"Из-за больших санкций, из-за наличия надзорного независимого органа, к законодательству о персональных данных в Европейском союзе относятся серьезнее. Потому что за несерьезный подход к обработке данных могут влепить большой штраф. В Америке по отношению к нарушениям применяются большие санкции. В Казахстане штрафы маленькие, организациям легче оплатить штраф, чем нанимать юридическую фирму, либо эксперта, который мог бы им предоставить услуги по разработке этих документов", - считает правозащитник.

Он предлагает увеличить сумму штрафов за распространение персональных данных, а также адресовать их пострадавшим.

"Этот вопрос спорный. С одной стороны, да, я согласен с тем что нужно увеличивать штрафы, но с другой стороны у меня немного другой подход к штрафам и их оплате. У нас штрафы идут в республиканский бюджет. А те лица, которые пострадали от утечки данных, довольствуются тем, что на эту компанию наложили штраф. Я предлагаю большую часть штрафа передавать пострадавшим", - поделился Елжан Кабышев.

В МЦРИАП сообщили, что в настоящее время принимаются меры по ужесточению ответственности за утечку персональных данных.

Так, разработан пакет поправок в предпринимательский кодекс, закон "О персональных данных и их защите", предусматривающие наделение уполномоченного органа в области защиты персональных данных функцией государственного контроля над соблюдением законодательства о персональных данных и их защите. Поправки на сегодняшний день находятся на рассмотрении мажилиса.

Данная функция позволит проводить проверки собственников и операторов баз, содержащих персональные данные, при наличии информации о нарушении требований законодательства о персональных данных и их защите.

Кроме того, ведутся работы по внесению поправок в кодекс "Об административных правонарушениях", которыми предусматривается увеличение до 2-3 раза размеров административных штрафов за повторность совершения правонарушения с учетом категории субъекта.

Не оставлять цифровой след

Эксперты рекомендуют как можно меньше своих персональных данных размещать в интернете, как можно меньше оставлять цифровой след, меньше публиковать о себе конфиденциальную информацию, которую злоумышленники могут использовать. На аккаунты желательно устанавливать двухфакторную аутентификацию.

Виталий Петров советует вообще не пользоваться телеграм-ботами по поиску данных. Он говорит, что, во-первых, это не совсем этично, так как люди начинают пробивать информацию о других людях, во-вторых, те люди, которые пользуются, раскрывают данные о себе – IP-адрес, место нахождения, номер телефона и так далее.

Эксперт считает, что нужно побольше обучать людей, информировать их о том, что такое конфиденциальная информация, как ее защитить, как не попасть на уловки хакеров, как не стать жертвой. Это нужно делать не только на уровне государства, но и в коммерческих организациях, внедрять со школы.