По данным Государственной технической службы, за 2022 год в Казахстане было выявлено 56 тысяч уязвимых цифровых ресурсов, на которых обнаружено 89,4 тысячи уязвимых сервисов. Такими данными в рамках конференции по кибербезопасности FCBK Ultimate Fraud Control поделился Руслан Омаров, СЕО Первого Кредитного Бюро.
«За год только на банки было совершено 53 DDoS-атаки. На интернет- ресурсах зафиксировано около одного миллиона уязвимостей, обнаружено 1234 фишинговых сайта, а общее количество недоступности всех ресурсов по Казнету составило более 4 тысяч часов, что примерно равно 169 дням».
Руслан Омаров
Эксперт также напомнил, что сегодня в Индексе развития электронного правительства ООН Казахстан занимает 28 место из 193 стран по итогам 2022 года. По словам Руслана Омарова, 14 лет назад, в 2008 году, Казахстан находился на 81 месте.
При этом, согласно Национальному индексу кибербезопасности NCSI, Казахстан занимает 78 место из 176 стран, а по уровню цифрового развития страна занимает 54 строчку, расположившись между Аргентиной и Сербией.
«Это показывает, что цифровое общество развито намного сильнее, чем национальная сфера кибербезопасности. Соответственно, регуляция у нас отстает, это важно понимать всем госорганам. Что нам необходимо регулировать не только саму цифровизацию, но и борьбу в рамках противодействия мошенничеству».
Руслан Омаров
Как защищаются от киберугроз в финорганизациях?
Впрочем, как выясняется, ситуация с кибербезопасностью не так плоха. По словам первого заместителя председателя АРРФР Нурлана Абдрахманова, в целях борьбы с интернет-мошенничеством в сентябре 2022 года был создан институциональный центр кибербезопасности, которым сегодня пользуются банки второго уровня. Это позволяет в режиме реального времени собирать информацию обо всех кибератаках, подозрительных действиях, которые несут угрозу нормальной деятельности информсистемы финансового института.
«Эту информацию мы собирали с сентября и выявили очень большое количество угроз. Число этих атак измеряется миллионами, но финансовый сектор достойно отразил их, в том числе и DDoS атаки. Получая информацию об угрозе от одного субъекта, мы отправляем информацию всем, чтобы другие участники рынка понимали, откуда ждать негативного действия».
Нурлан Абдрахманов
Кроме этого, информация о том, с какого сайта или IP-адреса происходят атаки, предоставляется уполномоченным органам, которые на своем уровне блокируют доступ злоумышленникам.
В банках также реализована биометрия. Существует требование, согласно которому банк или МФО при получении заявления от клиента об оформлении на него мошеннического кредита должен обратиться в правоохранительные органы. На данный момент такая работа налажена, и между АРРФР и уполномоченными органами заключен меморандум о сотрудничестве в данной сфере. Это позволяет мониторить количество таких обращений и оперативно реагировать на них.
Кто несет ответственность за утечку данных граждан РК
По словам президента ОЮЛ «Центр анализа и расследования кибератак» Олжаса Сатиева, в Казахстане в сфере кибермошенничества есть несколько ключевых проблем.
«У нас никто не несет ответственность за утечку персональных данных как в финансовом, так и в государственном секторе. У нас есть закон о персональных данных, в котором предусмотрены штрафы за утечку в размере 100-200 тысяч тенге. Но чтобы мы услышали о том, что отдельный человек, чиновник или госорган понес ответственность за утечку данных наших граждан, которые могут использовать мошенники, такого не было».
Олжас Сатиев
По словам эксперта, за рубежом штрафы за подобные инциденты исчисляются миллионами долларов, или даже могут составлять процент от оборота компании, то есть это очень критично.
«Представьте, если у нас банк или страховая компания будет платить 1-3% от своего оборота за утечку данных, то, естественно, они будут в безопасность вкладывать деньги».
Олжас Сатиев
Другая проблема, по его словам, заключается в том, что данных о реальных объемах проблем с мошенничеством нет. До МВД доходит всего пара процентов случаев. Люди не пишут заявления, даже не идут в полицию, потеряв сумму до 100 тысяч тенге.
«Обращаются в правоохранительные органы, только когда теряют, к примеру, миллион тенге. Но ведь многих граждан обманули на 20-30 тысяч тенге на различных интернет-ресурсах и в социальных сетях. И для начала надо понять реальную картину по таким преступлениям».
Олжас Сатиев
Третья проблема, как утверждает Олжас Сатиев, связанная с кибермошенничеством, – это отсутствие отдельной организации по кибербезопасности, которая бы подчинялась напрямую Совбезу или президенту.
В этой связи специалист приводит в пример опыт коммерческих банков, где IT и информбезопасность относятся к разным департаментам и подчиняются напрямую руководству, полагая, что такой же подход можно успешно применить и в государственных структурах. Эксперт считает, что в госструктурах нужен отдельный орган, который будет курировать процессы, связанные с персональными данными граждан.