Казахстан
ФотоВидеоСпецоперацияПолитикаОбществоЭкономикаВ миреЗвездыЗдоровьеКитайский взглядНаукаКоронавирусКитайский взглядСпортКолумнистыПроисшествияВыбор экспертовДокторСемьяЖенские секретыПромокодыСериалыСпецпроектыДефицит железаТуризмПресс-центрНедвижимостьТелевизорКоллекцииГид потребителяВсе о КПРадио КПРекламаКонкурсы и тестыНовое на сайте
Еще
Казахстан
ФотоВидеоСпецоперацияПолитикаОбществоЭкономикаВ миреЗвездыЗдоровьеКитайский взглядНаукаКоронавирусКитайский взглядСпортКолумнистыПроисшествияВыбор экспертовДокторСемьяЖенские секретыПромокодыСериалыСпецпроектыДефицит железаТуризмПресс-центрНедвижимостьТелевизорКоллекцииГид потребителяВсе о КПРадио КПРекламаКонкурсы и тестыНовое на сайте
Еще
Казахстан
+14°
Boom metrics
Сегодня:
Еще
Общество22 сентября 2021 3:30

Угроза — не в хакерах, а в головах

1 сентября в Казахстане началась третья всеобщая национальная перепись населения
Павел ЗЛОБИН
Павел ЗЛОБИН
Насколько полученные в ходе переписи персональные данные казахстанцев защищены от утечки?

Насколько полученные в ходе переписи персональные данные казахстанцев защищены от утечки?

При этом она стала первой, которая проводится с использованием цифровых технологий. И именно это встревожило многих наших соотечественников. Насколько полученные в ходе переписи персональные данные казахстанцев защищены от утечки? И не получится ли так, что эти данные вначале заботливо соберут, а потом они окажутся в руках мошенников?

Корреспондент «Комсомолки» поговорил об этом с Иваном Филько, экспертом по кибербезопасности Центра анализа и расследования кибератак (ЦАРКА), ведущей казахстанской организации в области информационной безопасности (на фото).

Иван Филько.

Иван Филько.

С 1 сентября по 15 октября впервые «переписаться» можно в онлайн-режиме на сайте sanaq.gov.kz., а также посредством мобильного приложения Aitu. А с 1 по 30 октября пройдет более привычная для казахстанцев перепись посредством живого опроса. Но и здесь не обошлось без новшеств — впервые интервьюеры будут использовать электронные планшеты.

— Насколько велика вероятность того, что злоумышленники могут завладеть нашими личными данными?

— Как и для любой другой информационной системы, определенные риски с точки зрения кибербезопасности существуют. Электронная база данных переписи привязана к базе данных еgov.kz, который уже много раз тестировали, в том числе и наша компания. По сути, это один ресурс, какой-то отдельной новой системы не создавали, просто добавили модуль к существующей. Вы спрашиваете, можно ли взломать базу данных egov.kz? Я скажу: да, теоретически это возможно. Прежде всего нужно четко уяснить для себя, что в мире не существует абсолютно защищенных систем. Сайты Пентагона и НАСА — и те взламывали. Но я думаю, что большую опасность представляет элементарный человеческий фактор, когда личные данные могут утечь на уровне людей, которые собирают эту информацию. И чем больше людей в этой цепочке, тем больше рисков.

Вообще, по статистике, более 80% всех случаев мошенничества в киберпространстве в мире связаны с человеческим фактором, когда люди сами передают злоумышленникам свои пароли и другие личные данные или сами переводят им деньги. Технически наибольшую угрозу представляет то, что мошенники могут создать точные копии сайта sanaq.gov.kz и, например, начать делать от его имени массовую рассылку. Таким образом, люди сами будут переходить на этот мошеннический сайт с целью поучаствовать в переписи и добровольно вводить свои данные, которые соответственно окажутся в руках мошенников. Условно говоря, из 100 тысяч человек, получивших подобную рассылку, несколько тысяч введут свои личные данные.

— Чем это может быть опасно для граждан?

— Если проанализировать известные нам случаи распространенного у нас так называемого телефонного мошенничества, то в абсолютном большинстве подобных эпизодов мошенники звонят и представляются сотрудниками банков либо правоохранительных органов. Поэтому чем больше они знают о вас, тем лучше они смогут втереться к вам в доверие. Представьте, вам звонят от имени сотрудника банка и называют закрытую информацию о вас, например, что вы получаете зарплату через такой-то банк, ее размер, какие-то факты о вашем месте жительства, родственниках. Естественно, что после этого вы поверите мошеннику с большей вероятностью. Кстати, на подобных фишинговых сайтах возможны поля, где вас попросят указать номер и CVV вашей карты. Казалось бы, кто может на это клюнуть, но, поверьте, из этих 100 тысяч человек обязательно найдется сотня совсем уж наивных граждан, которые это сделают. Поверьте, если бы это не работало, то мошенники бы этим не занимались.

Я бы хотел успокоить казахстанцев — серьезного повода для беспокойства я не вижу. Ценность этих данных для профессиональных хакеров невелика, возможный денежный выхлоп не тот. Это просто нерентабельно, поскольку потенциальная прибыль не только не гарантирует заработка, но даже не покроет сопутствующие расходы. Плюс угроза уголовного преследования. А вот действия мошенников, которые хотят украсть условные 100-200 тысяч, позвонив по телефону, вполне возможны. Можете смело принимать участие в переписи, в том числе, и в электронном формате на сайте, главное — не переходить по подозрительным ссылкам и удостовериться, что сайт, на котором вы планируете оставить ваши конфиденциальные данные, подлинный. Это можно сделать, зайдя вначале с помощью своей электронной цифровой подписи на платформу электронного правительства egov.kz, а уже оттуда по размещенной там вкладке перейти на сайт sanaq.gov.kz.

— Какие еще киберугрозы существуют?

— Разновидностей кибератак, направленных против крупных банков, организаций и государственных учреждений, существует достаточно много. Наиболее распространенная — это сканеры — специальные программы, которые постоянно сканируют интернет в поисках открытых уязвимостей, то есть ищут web-ресурсы, которые недостаточно защищены. Это происходит буквально ежесекундно. Еще есть такое понятие, как APT — Advanced Persistent Threat, или «сложная постоянная угроза». Это когда работают очень крутые профессионалы. И если в большинстве случаев хакеры работают на количество, с целью заражения как можно большего числа компьютеров, то APT-атаки направлены на компьютеры конкретных людей, чтобы украсть действительно ценную информацию. Для этого они могут внедрить на компьютер жертвы кейлоггер — инструмент, записывающий все нажатия клавиш.

Таким образом, злоумышленники могут получить пароли. Еще они могут использовать бэкдор — так называется вредоносная программа, позволяющая получить доступ к удаленному управлению компьютером и, соответственно, ко всем данным на нем, включая защищенные и даже зашифрованные. Как правило, компьютеры руководителей защищены лучше всего, значит, взломать их крайне сложно. Поэтому хакеры могут атаковать компьютеры рядовых сотрудников, чтобы использовать их для отправки фишинговых писем на интересующий их компьютер. Но обычным казахстанцам паниковать не стоит. Подобные случаи встречаются крайне редко и касаются, как я сказал выше, информационных систем только крупных банков и организаций. Основной и постоянной угрозой для любого обычного человека в киберпространстве являются, прежде всего, его невнимательность и излишняя доверчивость. Наиболее часто граждане обнаруживают несанкционированное списание средств со своих карт после покупок на сомнительных web-ресурсах, которые обещают новый iPhone всего за 99 999 тенге. Основной причиной заражения вирусами, которые шифруют ваши данные, а потом требуют выкуп, являются «клики» на ссылки в подозрительных e-mail сообщениях, которые обещают мгновенный выигрыш или что-то подобное. Также стоит обратить внимание, что при установке любого мобильного приложения оно запрашивает, согласны ли вы с его политикой компании. Чаще всего наши сограждане не придают этому значения. А зря, ведь дав положительный ответ, вы словно выдаете генеральную доверенность на любые прописанные в соглашении действия с вашим телефоном и вашими личными данными.

Тем временем

В Бюро национальной статистики Агентства по стратегическому планированию и реформам РК заверили, что утечка персональных данных участников национальной переписи исключена. Вся информационная система Бюро национальной статистики включена в список критически важных объектов информационно-коммуникационной инфраструктуры Казахстана, а Государственная техническая служба КНБ РК круглосуточно обеспечивает защиту информационного ресурса по переписи населения sanaq.gov.kz. от возможных хакерских атак.

— Для защиты информации применяются средства криптографической защиты, — пояснил руководитель Бюро национальной статистики Нурболат Айдапкелов. — Для защиты сайта sanag.gov.kz приобретен SSL-сертификат Sectigo, где обмен данными между пользователем и сервером идет по защищенному протоколу https. Все данные хранятся в наших серверах, но безопасность и передача данных полностью соответствуют тем требованиям безопасности, которые выставляют специальные органы. То же касается и мобильного приложения Aitu — оно лишь передаточное звено. То есть информация о данных, которые заполняет человек, там не сохраняется. Она автоматом переносится на наши серверы. Подчеркну, вся наша система полностью прошла сертификацию тестирования безопасности в Государственной технической службе. Поэтому здесь никаких вопросов, я думаю, не должно быть по части безопасности.

Помимо этого, с проводящими опросы интервьюерами заключается соглашение о неразглашении персональных данных. После того, как данные вводятся в планшет, их нельзя ни скачать, ни скопировать. Данные напрямую отправляются в Бюро национальной статистики.

У «Комсомолки» в Казахстане появился свой канал в Telegram. Публикуем актуальные новости в течение 10 минут, беседуем со звездами эстрады и бизнес-аналитиками, говорим о курсе тенге каждый день.

Он не навязчивый. Новости приходят один раз в 20 минут. Вы будете в курсе всех важных событий.

Перейти на канал: https://t.me/kp_kz