МЦРИАП хочет приравнять частные базы данных к критической инфраструктуре на фоне утечек информации
К примеру, говорится об ужесточении требований к медицинским информационным системам.
Что произошло
Ужесточить требования к частным информационным системам, особенно медицинским, планирует министерство цифрового развития. Об это сообщил глава ведомства Жаслан Мадиев в кулуарах мажилиса.
Детали
"Какие мы меры в будущем будем принимать? На системном уровне будем ужесточать требования к частным информсистемам, в частности, к медицинским, чтобы доводить их до уровня критически важных объектов инфраструктуры, где есть повышенные требования к информбезопасности. И к таким похожим платформам, которые обрабатывают множество персональных данных", – отметил Жаслан Мадиев.
Что ещё
Кроме того, МЦРИАП готовит системные меры для предотвращения подобных инцидентов в будущем. Так, планируется создание реестра скомпрометированных данных, чтобы граждане могли проверять, попали ли их сведения в уже известные утечки.
"То есть при обнаружении каких-либо утечек граждане всегда смогут проверить, что это произошло в рамках какой-то предыдущей утечки или же там есть новая утечка. Мы над этим тоже законодательно работаем", – сообщил министр.
Также планируется внедрение технологии контроля доступа к персональным данным – авторизации через ЭЦП и биометрии для администраторов и медучреждений при работе с персональными данными.
Кого привлекли
Жаслан Мадиев также подчеркнул, что будет усилено и законодательство в части наказания за утечки данных:
"Мы в 3-5 раз поднимаем штрафы, где-то вводим уголовную ответственность, где-то – административную. Увеличивается срок давности этих нарушений", – сообщил он.
Контекст
Накануне TG-канал SecuriXy.kz сообщил об обнаружении CSV-файла с персональными данными казахстанцев, содержащего 16,3 млн строк.
В таблице указывались фамилии, имена, отчества, пол, даты рождения, ИИН, мобильные, рабочие и домашние номера телефонов, гражданство, национальность, адреса, даты начала и конца проживания.
Министерство цифрового развития сообщило, что изучает распространяемую в Сети информацию об утечке персональных данных. Госорган уточнил, что данные утекли из частных информационных систем, опровергая догадки о потере информации из государственных баз.
Самые масштабные утечки данных в Казахстане
В прошлом году BES.media писал о проблеме утечек персональных данных и вспоминал о самых масштабных из них.
Летом 2019 года медицинская информация 11 млн казахстанцев из DamuМed попала в Сеть. В DamuМed тогда объяснили, что это "инцидент передачи третьим лицам информации, содержащей конфиденциальные данные, от лица, имеющего легальный авторизованный пользовательский доступ в медицинскую информационную систему". Проще говоря, данные слил кто-то из сотрудников компании.
В начале 2020 года Центр анализа и расследований кибератак (ЦАРКА) сообщил о том, что информационная система Генеральной прокуратуры передаёт в интернет информацию о штрафах, предупреждениях, адресах проживания нарушителей, а также их фотографии и номера автомобилей. Также она раскрывает административные дела обо всех гражданах Казахстана и иностранцах.
В конце лета 2020 года снова засветился DamuМed: пользователи стали жаловаться, что приложение приписывало казахстанцам чужих мужей, жён и детей. Именно этот сбой в системе дал доступ посторонним к персональной информации другого человека.
В 2022 году ЦАРКА сообщил, что на одном из хакерских форумов выставлен на продажу доступ к серверу бэкапа баз данных "Казпочты": 44 таблицы общим размером 110 ГБ и около 12 млн записей, включая автострахование, запросы на кредиты, денежные переводы, открытие счетов и карт, информацию о сотрудниках. В пресс-службе "Казпочты" тогда сообщили: "физическое лицо, разместившее объявление, получило данные со стороннего сервера. Утечки с серверов "Казпочты" не происходило".
В марте 2024 года Государственная техслужба обнаружила утечку более 2 млн персональных данных казахстанцев, являющихся клиентами микрофинансовой организации zaimer.kz (ТОО "МФО "Робокэш.кз").
___
Читайте также:
–––
