Промышленная «кибергигиена»: кто в ответе за сохранность персональных данных

В июне этого года в сеть ушли 15,8 миллиона индивидуальных идентификационных номеров (ИИН) и 16,3 миллиона телефонных контактов жителей Казахстана. Под «прицелом» мошенников оказались скомпрометированные данные большей половины населения страны. В Министерстве цифрового развития, инноваций и аэрокосмической промышленности РК пояснили, что утечка, вероятнее всего, произошла из бизнес-структур.

После этого многие крупные компании в республике всерьёз задумались об усилении киберзащиты своих активов и процессов. И речь не только о совершенствовании технологий, но и о человеческом факторе.

Интенсивность информационных угроз и инцидентов быстро растёт во всем мире. И Казахстан не стал исключением. Только за первое полугодие в республике отразили свыше 960 миллионов кибернападений, пресекли более 3,5 тысяч DDoS-атак на объекты критической инфраструктуры, но допустили 43 утечки персональных данных. Такие цифры со ссылкой на комитет национальной безопасности РК в июле этого года опубликовало агентство «Казинформ».

Как защищаться, есть ли действенные превентивные меры и что предпринимать, если утечка ПД уже произошла? Эти вопросы стали одной из тем повестки августовской конференции Profit Industry & Energy Day — 2025 «Цифровизация промышленности и энергетики». Встреча состоялась в гибридном формате (на офлайн- и онлайн-площадках) и собрала представителей госорганов, бизнес-сообществ, экспертов в сфере ИТ и юриспруденции.

По правилам Фемиды

В Казахстане за правовую ответственность в сфере информационной безопасности отвечают сразу несколько нормативных документов. В первую очередь — Закон РК «О персональных данных и их защите». Он является базовым для регулирования, сбора и обработки ПД.

Сам термин «персональные данные» законодательная норма понимает как «сведения, которые относятся к определённому или определяемому лицу». Это могут быть имя, фамилия и отчество, дата рождения, ИИН, паспортные и медицинские данные, биометрия и другая информация, которую ежедневно используют в своей деятельности промышленные компании, в том числе и в добывающей индустрии.

Закон включает обязательный для всех формат согласия на обработку ПД, как бумажный, так и электронный. Если раньше каждая компания в республике могла самостоятельно определять содержание такого акта, то с 2022 года закон ввёл единые критерии. Среди них — сведения об операторе, сроки согласия, решение вопроса о передаче третьим лицам, трансграничность.

Закон не содержит (да и не должен) столь же подробного описания других локальных нормативных актов, которые важны для каждой организации и должны чётко определять порядок действий при утечках ПД, распределение ролей и ответственность как руководителей, так и рядовых сотрудников. Но для крупных компаний это значимая часть внутренней политики в сфере информационной безопасности.

На страже сохранности электронных ресурсов и ИК-инфраструктуры стоит также закон РК «Об информатизации», который нацелен на предотвращение и выявление попыток нелегитимного доступа, минимизацию последствий киберинцидентов и восстановление данных.

Нормы ответственности за нарушения в сфере сбора, обработки и хранения ПД указаны в Кодексе административных правонарушений и Уголовном кодексе РК. В судебной практике Казахстана уже есть прецеденты, когда должностные лица, которые отвечали за это в компаниях, а также юридические лица понесли наказание. Статья 79 КоАП предусматривает штрафы от 30 МРП (для физлиц) и до 2 тысяч МРП — для крупных компаний. По статье 641 КоАП нарушителям в области информационной безопасности грозит от 50 до 1 тысячи МРП.

«Конечно, никто сразу не назначит штраф. Если будет жалоба от физического лица, то регулятор может провести внеплановую проверку и выдать предписание. Поводом для такого контроля могут стать и сообщения в СМИ. Но только в случае, когда предписание не отработано должным образом, компании грозит административная санкция.

Есть ключевой момент, с которым мы довольно часто сталкиваемся. К сожалению, многие компании до сих пор не ввели у себя ни положения, ни политики, ни процедур, которые бы регулировали процесс защиты персональных данных. Многие больше фокусируются на технической части, но процессы не формализованы в локальных актах. И вот что происходит: при высокой ротации, когда люди приходят и уходят, новые сотрудники часто не понимают границы и степень своей ответственности.

Именно по этой причине, как показывает наша практика, и происходит большая часть нарушений и утечек. Как результат — огромные штрафы для компаний», — отметила в своём выступлении на Profit Industry & Energy Day — 2025 юридический директор департамента налогов и права компании KPMG Асель Казбекова.

Не все представители отраслевого бизнеса учитывают, что в случае если данные ушли в сеть или произошли другие киберинциденты, то по действующим законодательным нормам нужно уведомить об этом регулирующий орган в течение одного рабочего дня. Задержка сулит штраф в размере до 100 МРП и до 200 МРП — при повторе подобных ситуаций.

«Сразу после атаки необходимо незамедлительно зафиксировать этот факт, указав, что произошло, дату, время, обстоятельства, и заблокировать скомпрометированные данные. Далее нужно своевременно уведомить регулятора, ведь за нарушение этого срока тоже предусмотрена ответственность. Обязательно провести внутреннее расследование, чтобы понять, какие обстоятельства привели к инциденту, и оформить эту информацию локальным актом работодателя», — объясняет эксперт KPMG.

Явки, адреса, пароли

В рейтинге Европейского агентства (ENISA) на втором месте среди самых сильных угроз информационной безопасности названа нехватка нужных компетенций и навыков у сотрудников компаний. Киберпреступники всё чаще используют не прямой взлом, а слив или похищение учётных данных, логинов и паролей. Расследование реальных случаев утечек ПД вполне подтверждает эту невесёлую статистику.

Персональные данные нередко оказываются в открытом доступе из-за неосмотрительности работников или в результате умышленных действий внутри компании. Люди зачастую используют одни и те же пароли для «одноразовых» сайтов и критически важных сервисов внутри компании, что облегчает работу хакеров. А последствия могут оборачиваться огромными убытками.

Эффективно предупредить риски поможет использование сквозного шифрования данных. Кроме того, в некоторых компаниях применяют дифференцированную по уровню сложности аутентификацию на основе реальной оценки рисков сотрудников разных подразделений.

Однако, по версии ENISA, наиболее эффективной превентивной мерой в борьбе с такими рисками становится обучение персонала. Технические средства контроля обеспечивают необходимую защиту, но реакция конкретного человека способна пробить брешь и в самой надёжной системе. На тысячу грамотных людей найдутся двое или трое, которые сдадут злоумышленникам все «явки, адреса и пароли», да ещё и перевод денег под давлением мошенников совершат. И обычные инструктажи не помогут.

Потому так важны тренинги с имитацией кибератак и тесты, показывающие на основе реальных кейсов те методы социальной инженерии, которые используют мошенники. Такой подход помогает отработать навыки и безопасным способом приобрести практический опыт. В особых форматах обучения нуждаются и руководители. Для них важна способность правильно реагировать на фишинг, отражать так называемые китобойные атаки, нацеленные на первых или наиболее ценных лиц бизнеса.

«Основные принципы и свою долю ответственности должны знать все руководители и сотрудники, которые работают с информацией в интернете. Для этого важно научить их принципам цифровой гигиены и регулярно проводить тренировочные атаки, а затем и „разбор полётов”.

Если атака и утечка данных уже произошли, по итогам тоже обязательно должно состояться обучение. Очень многие, увы, недооценивают этот инструмент. Между тем если ваши сотрудники осознали свои действия и слабые звенья в цепочке информационной безопасности, то они могут сильно помочь компании, если снова возникнет опасность», — уверена Асель Казбекова.

На «земле» и в «облаках»

Что надёжнее для передачи и хранения корпоративных данных — облачная или локальная инфраструктура? Однозначно ответить на этот вопрос сложно. Так сложилось, что в Казахстане горнопромышленные компании относятся к облачным структурам с некоторой осторожностью, и большинство отдаёт предпочтение решениям «на земле».

Это закономерно, поскольку речь идёт как раз о степени безопасности и ответственности за неё. Если взломают локальную инфраструктуру, пострадает одна конкретная организация, а при утечке данных из «облака» рискуют все его пользователи. Для облачных систем точками уязвимости становятся компрометация учётных данных, злоупотребление легитимным доступом, игнорирование встроенных функций безопасности, а также перебои в связи. Хотя ведущие провайдеры подобных сервисов постоянно усиливают собственные инструменты защиты.

Многие ИТ-эксперты сходятся в том, что важен не столько выбор в пользу одного из решений, сколько общий уровень цифровой зрелости компании, отлаженность процессов, то же регулярное и неформализованное обучение сотрудников. А глобальные тренды предоставляют новые возможности, чтобы уйти от облачно-локальной дилеммы.

«Что происходит на мировом ИТ-рынке? Новой реальностью, помимо облачных и локальных решений для инфраструктуры, стали гибридные или „мультиклаудные”. Пользователи сегодня могут выбирать „лучшее из всех миров”. Например, строить какие-то вещи „на земле”, хранить важные данные во внутреннем периметре, а какие-то сервисные решения заимствовать из облачных систем, причём из разных», — рассказал на конференции Profit Industry & Energy Day — 2025 исполнительный директор департамента развития продаж облачных сервисов MUK Group Владислав Барковский.

Впрочем, руководитель объективно высказался и о недостатках таких решений. Это, прежде всего, уязвимость подобных построений. Чем больше разных участков, тем сложнее ими управлять, вести мониторинг процессов и действий сотрудников. Кроме того, использование зарубежных облачных систем встречает определённые сложности юридического порядка.

«Гибридные системы открывают много новых возможностей. Но зачастую ИТ-руководитель компании хочет видеть цельную картинку: здорова ли инфраструктура, какие есть риски. А „мультиклаудные” участки — это различные команды с разной подготовкой, а значит, может возникать разрыв в управлении. Кроме того, соответствие правовым нормам — это сегодня критично для многих стран, в том числе и для Казахстана. Нужно не только управлять „секьюрити-инцидентами”, но и соответствовать всем требованиям регулятора, а это не всегда просто», — отметил г-н Барковский.

За последние три года министерство цифрового развития РК провело более 130 проверок соблюдения законодательства в области защиты персональных данных и свыше 50 — для контроля безопасности электронной цифровой подписи. Нарушителей привлекали к административной ответственности по статьям КоАП. Однако конкретные данные и общую сумму штрафов ведомство не раскрывает.

Стоит честно признать: даже с учётом повышения штрафов с января 2025 года для крупных компаний добывающей промышленности санкция в несколько миллионов тенге чувствительна, но не критична. И всё же от ответственности за информационную безопасность не спрячешься, особенно когда частота и изощрённость нападений кибермошенников и хакеров нарастает волнообразно. И оптимальная стратегия в этих условиях — предупреждать, а не ликвидировать последствия.

Текст: Мария Кузнецова