Коллажды жасаған Амангелді Қияс, «EQ»
Қай банктің қорғанысы күшті?
Киберқауіпсіздіктің жаһандық рейтингінде Қазақстан 40-шы орында тұр. Осыдан үш жыл бұрын еліміз 118-ші орында орналасқан еді. Демек, «Қазақстанның киберқалқаны» тұжырымдамасын жүзеге асыру жоспарына сәйкес, жылдан-жылға әлемдік индекстегі көрсеткіш жақсарып келеді. Осылайша, еліміз 5 жыл ішінде KPI нәтижелерін жақсартып, кибершабуылдан мықтап қорғанған үздік 20 мемлекеттің қатарынан көрінуді көздеп отыр.
Алайда бұл аталған бағытта қордаланған мәселелер жоқ дегенді білдірмейді. Биыл сәуірде Кибершабуылдарды талдау және тергеу орталығы (КТТО) отандық екінші деңгейлі банктердің веб-ресурстарының қауіпсіздігіне байланысты рейтингті жариялаған еді. Соған сәйкес, еліміздегі қаржы институттарының мықты және әлсіз тұстары анықталды деген пікір айтты аталған орталықтың президенті Олжас Сатиев.
– Алдымен бұл рейтингті аудитпен шатастыруға болмайтынын ескерткім келеді. Банктердің веб-сайттары сыртқы белгілері бойынша бағаланды. Осының нәтижесінде қай компанияның киберқауіпсіздікке жіті көңіл бөлетіні байқалды. Мысалы, рейтинг бойынша бірінші орынға Kaspi Bank жайғасты. Сол кездің өзінде бұл банктің IPO-ға шығуға мықтап дайындалып жатқаны анық көрініп тұрды. Олар бүкіл процестерін соған ыңғайлады. Себебі IPO-ға шығатын компанияларға қойылатын басты талаптың бірі – веб-ресурстың қауіпсіздігі. Қазір отандық банктердің киберқауіпсіздік стратегиясы біз жүргізген есептің негізінде түзетіліп жатқаны байқалып отыр. Былтыр дәл осындай зерттеуді Польша елінің нарығында жүргізген едік. Ол жақтағы көрсеткіштер біздікінен тіптен нашар десек те болады, – деді Кибершабуылдарды талдау және тергеу орталығы президенті О.Сатиев.
Сарапшының айтуынша, көп жағдайда екінші деңгейлі банктер ұйымның құрылымы жайлы ақпарат қамтылған ресми сайттарына мән бермейді. Сол секілді қызметкерлер корпоративтік поштаны пайдалану арқылы ойын-сауық және танысуға арналған интернет ресурстарда тіркелетіні анықталып отыр. Нақты айтқанда, орталық өз есебінде банкке қатысты мәліметтер таралып кеткені жөнінде жазды.
Бұл қаншалықты қауіпті дегенге келсек, шартты түрде адам танысуға арналған сайтта жұмыс поштасының көмегімен тіркелу арқылы логин мен құпия сөздің қолды болуына өзі мүмкіндік береді. Осындай жағдайдың 90%-да корпоративтік жасырын сөздің ойын-сауық және басқа форумдардың құпия сөзімен сәйкес келетіні белгілі болып отыр. Бұл интернет алаяқтарға тиімді. Неге десеңіз, қаржы ұйымының жеке мәліметтерін пайдалану арқылы қылмыскерлер ойына келгенін істеуден тайынбайды, дейді IT мамандар.
Күн тәртібіндегі негізгі мәселе
Экономистердің пікіріне сүйенсек, интернет банкинг, сондай-ақ цифрлы валюта сынды қаржылық технологиялардың дамуына орай киберқауіпсіздік күн тәртібіндегі негізгі мәселеге айналып отыр.
– Жуырда еліміздегі екінші деңгейлі банктің төңірегінде шу болғаны есімізде. Оған шын мәнінде қандай себеп ықпал еткені туралы айту қиын. Ол хакерлік шабуыл болуы да мүмкін. Бірақ банк «Барлығы жақсы, бұл техникалық ақау» деп халықты сабырға шақыруы да мүмкін. Бір анығы, банктің дәрежесі артып, табысы көбейген сайын кибершабуылдың да үдей түсетіні сөзсіз.
Осы таяуда Ұлттық банк жеке қаражаттарды сақтауға байланысты биометрикалық қорғау жүйесін енгізіп жатқаны туралы айтқан еді. Яғни интернет банкингті қолданған кезде саусақтың, дауыстың, сондай-ақ көз секілді мүшенің сәйкестігі тексеріледі, – деді GSB UIB директоры, экономист Мақсат Халық.
Мақсат Халық айтқандай, бүгінде криптовалютаның қарқын алғанын жақсы білеміз. Ұлттық банк оны қолдануды құптамайтынын айтып, өз ұстанымын білдірді. Себебі аталған нарықта цифрлы ақшаның құбылмалылығы өте жоғары. Бірақ қаржылық реттеуші орган осы сегменттегі блокчейн технологиясын мойындайтынын жеткізді.
– Бұл технологияның негізінде біз де ақша қаражаттарын сақтап, тарату мен бөлуде қолданатын болсақ, онда барынша қауіпсіздік мәселесі сақталады деп айтып отыр. Өзім де осы оймен келісіп, қолдаймын. Өйткені кибершабуылдан қорғануда блокчейннің артықшылығы көп, – деді GSB UIB директоры.
Жауапкершілікті күшейткен жөн
Кибершабуылдарды талдау орталығының өкілдері соңғы жағдай хакерлік шабуылмен байланысты емес деген ойда. Аталған ұйымның интернет банкингіндегі ақау бағдарламалық әзірлемені жаңарту барысында орын алуы ықтимал дейді орталық мамандары.
Десек те сарапшылардың айтуынша, бұл бағытта басқа да маңызды проблема бар. Мәселен, осыған дейін елімізде жеке мәліметтердің таралып кетуіне байланысты бірде-бір жеке немесе заңды тұлға, ұйым заң алдында жауапкершілікке тартылмаған.
– Жеке мәліметтердің қорғалуына тоқталсақ, біз де әлі бірде-бір ұйым азаматтар туралы ақпараттың таралып кетуіне байланысты заң тұрғысында жауап берген жоқ. Ең өкініштісі де осы. Айталық, Еуропа аумағында деректерді қорғау жөніндегі жалпы регламент (General Data Protection Regulation; GDPR) қарастырылған. Оның аясында кез келген ұйым азаматтардың деректері қолды болып жатса, ол туралы үш тәуліктің ішінде жариялауы тиіс. Олай болмаған жағдайда қомақты айыппұл салынады. Бізде бұл жағы ескерілмеген. Тиісті заң болғанымен нақты жауап бергендер жоқтың қасы. Ал іс жүзінде шамамен ай сайын мәліметтердің таралып кетуіне қатысты жағдайлар тіркеліп жатады, – деді О.Сатиев.
Осы орайда, GDPR кәрі құрлықта бірінші жылы енгізілгенде регламентке немқұрайды қараған компаниялар мен корпорациялардың ірі айыппұлдарды төлегенімен есте қалғанын айта кетейік. Соның бірі Google компаниясына қатысты. Францияның Ақпараттық технологиялар және адам құқықтары жөніндегі комиссиясы (CNIL) іздеу жүйесін құрастырушыларға 50 млн еуро айыппұл салған болатын. Компания пайдаланушылардың жеке деректерін жинауға байланысты Еуропалық Одақтың заңнамасын бұзды деп айыпталды.
Ұлыбританияда British Airways компаниясына 204 млн еуро көлемінде ірі айыппұл салынды. Әуе компаниясы қауіпсіздік талаптарын сақтамауы салдарынан 500 мыңнан астам клиенттің деректері таралып кеткен-ді. Сол секілді Британ аралында Marriott қонақүйлер желісіне шамамен 339 млн-дай қонақтың деректері таратылғаны үшін 110 млн еуро көлемінде айыппұл салынды.
Бұл санатта антирекорд Facebook компаниясына тиесілі. Атап айтсақ, әлеуметтік желі Cambridge Analytica ісі бойынша құпиялықты сақтаудағы талапты бұзғаны үшін 5 млрд еуро төлеуге мәжбүр болды.