Құпия деректер Қытайға кеткен: сұмдық фактілердің беті ашылды

Дербес деректердің таралуы жөніндегі ақпаратта Қазақтелеком, Beeline, Kcell, Теле2 байланыс операторларының, X әлеуметтік желісінің, тіпті БЖЗҚ-ның да аты аталады. Онда да мұның барлығына елімізде жұмыс істеген Қытай компаниясының тікелей қатысы бар болып шыққан!

Ақпарат қауіпсіздігіне, онда да бөтен елдің қол сұғушылығы туралы бұл факт бірден бірнеше құзырлы орган үстіне түскен «бомбамен» тең әсерде болды. Әрине, барлығы басын арашалап қалғысы келіп, бірінші болып есеп беруге тырысты.

Сонымен, бірінші болып Цифрлық даму министрлігі түсініктеме берді.

«Дербес деректердің таралуы бойынша Интернет желісіндегі ақпаратқа байланысты қазіргі таңда біздің министрлік Қазақстан Республикасы Ұлттық қауіпсіздік комитетімен бірлесіп, алынған материалдарға талдау жүргізіп жатқанын хабарлаймыз. Талдау қорытындысы бойынша тиісті ұйымдарда Қазақстан Республикасының дербес деректер және оларды қорғау, сондай-ақ ақпараттық қауіпсіздік туралы заңнамасының талаптарын сақтау тұрғысынан жоспардан тыс тексерулер жүргізілетін болады» деп қысқа қайырды құзырлы ведомство.

Көп ұзамай Кибершабуылдарды талдау және зерттеу орталығы орын алған жайтқа қатысты тыңғылықты әрі детальды өз зерттеулерін жариялап, айды аспаннан бір-ақ шығарды.

«2024 жылы 16 ақпанда Қытайдың қоғамдық қауіпсіздік министрлігі мердігерлерінің бірі — iSoon компаниясы еліміздегі құпия құжаттардың жылыстап кетуіне жол берген. Қазақстан азаматтарының дербес мәліметтері GitHub қызметінде ашықтан ашық жарияланған. Бұл компания APT41 деген атаумен танымал ҚХР-дың кибербарлау құрылымына қарасты Chengdu 404-пен байланысы бар», делінеді талдауда.

Ал шабуылдаушылардың көздеген нысаны - мәліметтер базасы және нақты тұлғалардың жеке ақпараты. Атап айтқанда, жеке тұлғаның өзгелермен алмасқан хаттары, қоңыраулары және қозғалысы бақылауда болған.

«Жүргізілген талдау ұрланған ақпараттың көлемі терабайттан асатынын көрсетті. Деректер көзі - Қазақстан, Қырғызстан, Моңғолия, Пәкістан, Малайзия, Непал, Түркия, Үндістан, Мысыр, Франция, Камбоджа, Руанда, Нигерия, Гонконг, Индонезия, Вьетнам, Мьянма, Филиппин және Ауғанстан инфрақұрылымдарының маңызды объектілері».

Жылыстатылған деректер хакерлік топқа Қазақстандағы байланыс операторларының инфрақұрылымы екі жылдай қолжетімді болғанын көрсеткен.

1. Хакерлер операторлардың журналдарын, қоңыраулар ұзақтығын, құрылғылардың IMEI-ін және тарифтерді көріп-біліп отырған.
2. Жылыстатылған деректер ішінде операторлардың абоненттері туралы ақпараттар да бар.
3. Сондай-ақ, iDNet және iDTV абоненттерінің дербес деректері, олардың логиндері мен парольдері де жарияланған.
4. жылыстатылған деректер арасында БЖЗҚ-ның (Бірыңғай жинақтаушы зейнетақы қоры) 2019 жылғы мәліметтері де жүргені айтылады.
5. сонымен қатар, скринингтердің бірінде ҚР Қорғаныс министрлігінің пошта сервері бойынша ақпарат көрсетіледі.
6. кейбір скриншоттар Air Astana әуе тасымалы компаниясына туралы деректерді қамтиды.
7. Сондай-ақ, хакерлер тобының бір-бірімен алмасқан хат-хабарлары табылды. Онда олар өздері тыңдаған абоненттер мен олардың сөзін өзара талқылайды.

Ал зерттеу қорытындысында былай делінеді:

«Қытайдың хакерлер тобы қазақстандық инфрақұрылымда екі жылдай отырған. Соған қарағанда әшкерленген факт, мәселенің бергі жағы ғана болуы мүмкін. Мұндай хакерлердің басқа жерде қаншасы отыр, қандай, қанша деректеріміз ұрланып, сыртқа кетіп жатыр, оны ешкім білмейді. Мұның барлығы жүйесіз әрекеттердің салдары әрі ведомстволық мүддені мемлекет мүддесінен жоғары қоюдан туындаған. Ақпараттық қауіпсіздік комитеті Цифрлық даму министрлігіне бағынышты болып қала берсе, әрқашан осындай жағдайлар орын алып отырады. Қазақстанда киберқауіпсіздікке жауап беретін жеке тәуелсіз орган – Киберқауіпсіздік агенттігін құру қажет».

Бұл мәселе көп ұзамай Мәжіліс қабырғасында да көтерілді.

21 ақпанда Үкімет басшысының бірінші орынбасары Роман Склярға жолдаған депутаттық сауалында Екатерина Смышляева елімізде ақпараттық қауіпсіздік заңнамасының орындалуы қатаң сақталмайтындығына қынжылыс білдірді.

«Жылыстатылған дерек шетелдік ресурстан бір-ақ шыққан. Бұл - еліміздегі заң талаптарын ірі компаниялардың тікелей елемеуінің кезекті көрінісі. Біз оларға сенім білдіре отырып, күнделікті қаншалықты ақпаратты сеніп тапсырамыз. Ал олар болса...», деді депутат ашына.

Сондай-ақ ол азаматтардың бұл реттегі алаңдаушылығы орынды екенін де баса айтады.

«Егер бұрын үйдің мекен-жайы, телефон нөмірі туралы сөз болса, қазір құпия болып табылатын медициналық мәліметтер, банктік ақпараттар оп-оңай жария болуда», - дейді халық қалаулысы.

Сөзін қорыта келіп, депутат бұл ретте дербес мәліметтерді қорғау мәселесімен айналысатын құзырлы органдағы штат санын арттыруды, аталған саладағы заң талаптарын орындалуын қадағалаушы кейбір функцияны бөліп қарастыруды ұсынды.

Айтқандай, өз кезегінде БЖЗҚ-да аталған жағдайға қатысты түсініктеме берді:

«БЖЗҚ қауіпсіздік қызметі GitHub сайтында орналастырылған деректерге егжей-тегжейлі талдау жүргізді. Нәтижесінде, жарияланған каталогта enpf.kz сайтының сипаттамасы ғана көрсетілгені анықталды. Бұл сайт ашық ақпарат көзі болып табылады және онда салымшылар мен алушылардың дербес деректері жоқ. GitHub сайтындағы құжаттарға белгісіз тұлғалар орналастырған қазақстандықтардың дербес деректерінің БЖЗҚ дерекқорынан шығуы туралы желіде таралған ақпараттың шындыққа сәйкес келмейді».