«Казахтелеком» и Air Astana привлекли к административной ответственности за утечку персональных данных казахстанцев. Компании должны будут выплатить штраф в размере 100 МРП (369 200 тенге) и устранить нарушения информбезопасности в течение года.
Контекст. В феврале на ресурсе GitHub неизвестные опубликовали слив секретных данных китайской компании iSoon (ака Anxun) — одного из подрядчиков Министерства общественной безопасности Китая (MPS). Выяснилось, что как минимум одна китайская хакерская группировка около двух лет имела полный доступ к критической инфраструктуре казахстанских операторов связи, где, в том числе, содержались персональные данные казахстанцев.
Объём утекшей информации за 2019-2020 годы в beeline.kz составил 637gb, в kcell.kz — 820gb, в tele2.kz — 1.09tb, в telecom.kz — 257gb (2021 год). В утечке также упоминается Единый накопительный пенсионный фонд РК (ЕНПФ). За 2019 год с enpf.kz утечка составила 1.92gb. Кроме того, есть скрины с данными Минобороны РК и авиаперевозчика Air Astana.
После проверки номеров через различные утечки и GetContact специалисты CERT выяснили, что целенаправленные атаки совершались и на сотрудников силовых структур.
После утечки Минцифры и КНБ провели анализ информационной безопасности критической инфраструктуры Казахстана.
Минцифры нашли нарушения в двух компаниях «Казахтелеком» и Air Astana. Нарушений информбезопасности у операторов мобильной связи и ЕНПФ, которые также фигурировали в слитых данных, не найдено.
Президент РК Касым-Жомарт Токаев подписал в декабре прошлого года закон, регулирующий институт белых хакеров, которых будут привлекать к выявлению уязвимостей информационных систем. А уже в январе 2024-го появился проект приказа министра цифрового развития, инноваций и аэрокосмической деятельности о правилах функционирования программы взаимодействия с исследователями информационной безопасности, более известными как «белые хакеры».
Согласно правил, «белые хакеры» будут регистрироваться в системе для выявления уязвимостей, использование которых может привести к нарушению целостности, (или) конфиденциальности и (или) доступности объекта информатизации. Каждый вход должен делаться с помощью выдаваемого им токена. При этом атаки на Egov без токена будут считаться несанкционированными.