[:ru]
Каждый госорган-владелец баз данных, самостоятельно отвечает за их сохранность и соблюдение норм и правил по использованию и конфиденциальности хранящейся там информации.
На прошлой неделе казахстанские СМИ всколыхнула новость о том, что специалисты частного казахстанского центра реагирования на компьютерные инциденты (ЦАРКА) обнаружили в сети одну из крупнейших утечек персональных данных. База с полной информацией 11 млн человек, то есть все совершеннолетнее население страны, находилась в общем доступе сети интернет. Любой желающий мог свободно получать доступ к системе или загрузить ее локально. В связи с этим редакция Zakon.kz направила запрос в Министерство цифрового развития, оборонной и аэрокосмической промышленности (МЦРОАП) РК с просьбой разъяснить ситуацию. Вскоре от Комитета по информационной безопасности МЦРОАП был получен официальный ответ.
Так на вопросы о том, почему данный факт был выявлен частным казахстанским центром реагирования на компьютерные инциденты (ЦАРКА), а не соответствующими госорганами, в Комитете по информационной безопасности МЦРОАП сообщили, что в связи с произошедшим инцидентом, Комитетом были направлены запросы в государственные органы для выяснения принадлежности утраченных персональных данных к имеющимся государственным информационным системам.
После определения источника утечки персональных данных в отношении государственного органа — их владельца будут проведены мероприятия по государственному контролю и виновные должностные лица будут привлечены к административной ответственности в соответствии с подпунктами 1 и 2 пункта 1 статьи 641 Кодекса Республики Казахстан об административных правонарушениях.
Также в Комитете отметили, что интернет-ресурс на котором были размещены файлы с персональными данными в настоящее время недоступен, доступ из кэша поисковых систем к нему также отсутствует.
— Кроме того сообщаем, что Концепцией кибербезопасности «Киберщит Казахстана» предусмотрено создание сети ведомственных и отраслевых оперативных центров по информационной безопасности и служб реагирования на компьютерные инциденты. Изначально было понимание того, что силами одних государственных органов в Казахстане невозможно справиться с большим потоком информации в части информационной безопасности, требуются усилия всего профессионального сообщества, как это сделано в зарубежных странах. В этой связи, деятельность службы реагирования на компьютерные инциденты ОЮЛ «ЦАРКА» выполняет свою роль и в целом помогает нашему Комитету в вопросах обеспечения информационной безопасности. Более того, мы работаем над тем, чтобы таких субъектов в сфере обеспечения информационной безопасности было как можно больше в нашей стране. Аналогичным видом деятельности уже начали заниматься АО «Транстелеком» и АО «Национальные информационные технологии», до конца года ожидаем появления еще 5 подобных субъектов, – указано в официальном ответе ведомства.
Что касается вопроса о том, ведется ли сотрудниками МЦРОАП РК подобный мониторинг в сети интернет, в комитете сообщили, что на данный момент в стране отсутствует уполномоченный государственный орган по защите персональных данных.
— В связи с этим, вопросы централизованного мониторинга Интернет в части нарушения законодательства в сфере персональных данных и их защиты в настоящее время не входят в компетенцию ни одного государственного органа. Вместе с тем, отметим, что каждый государственный орган — владелец баз данных, самостоятельно отвечает за сохранность своих баз и соблюдения норм и правил по использованию и конфиденциальности хранящейся там информации.
На вопрос о том, могли ли персональные данные казахстанцев, выложенные в сети интернет, использовать потенциальные злоумышленники в криминальных или иных целях, в Комитете ответили, что исходя из характера данных, обнаруженных в свободном доступе (ФИО, ИИН, адрес места прописки), в настоящее время непросто предположить, каким образом они могут быть использованы.
Кроме того, на прошлой неделе в своем обращении в соцсети Facebook министр цифрового развития, оборонной и аэрокосмической промышленности РК Аскар Жумагалиев инициировал вопрос о наделении Комитета функциями по защите персональных данных (по аналогии с Data Protection Agency в Европе). Это позволит проводить проверки владельцев информационных систем, в которых обрабатываются персональное данные, в том числе, по жалобам граждан. Поэтому в направленном в министерство запросе, мы поинтересовались, ведется ли уже эта работа.
— Касательно информации, озвученной Министром цифрового развития, инноваций и аэрокосмической промышленности Жумагалиевым А.К. по вопросу создания Агентства по защите данных на базе нашего Комитета сообщаем, что действительно такая работа проводится. На первом этапе уже имеющиеся функции в части защиты персональных данных будут сконцентрированы в нашем Комитете, параллельно будут подготовлены законодательные поправки, необходимые для того, чтобы в полном объеме развернуть деятельность аналогичную европейским Агентствам по защите персональных данных. Будет определен уполномоченный государственный орган по защите персональных данных, создан реестр всех операторов персональных данных в стране, налажен мониторинг состояния защиты персональных данных и многое другое, – сообщили в ведомстве.
Что же касается вопросов о том, приходилось ли ранее сотрудникам МЦРОАП РК сталкиваться со случаями взлома тех или иных информационных систем, как коммерческих, так и государственных, и всегда ли удается выявить взломщиков, в Комитете сообщили, что для получения ответа, необходимо обратиться в специальные и правоохранительные органы, так как Комитет не является субъектом оперативно-розыскной деятельности и не занимается расследованием уголовных правонарушений.
Подготовил Владимир Демидов
https://www.zakon.kz/4977064-naskolko-kazahstantsy-zashchishcheny-ot.html
[:]