Проверять утечку персональных данных в Казахстане будут даже без жалоб пользователей

Что произошло

Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана (МЦРИАП) готовит законодательные изменения, которые позволят проверять утечку персональных данных не только по жалобам граждан, но и после сообщений в СМИ. Об этом корреспонденту BES.media сообщил вице-министр ведомства Досжан Мусалиев в кулуарах сената.

Цитата

"Сейчас проверки носят частный характер – только по жалобам. Но утечки происходят постоянно, а владельцы информационных систем не всегда соблюдают требования информационной безопасности. Поэтому в новых поправках мы предлагаем внедрить проверки общего характера – по факту появления информации в публичном пространстве", – рассказал вице-министр.

По его словам, на данный момент законодательство не позволяет МЦРИАП инициировать внеплановую проверку по сообщениям в СМИ. Однако в рамках новой законодательной инициативы такая возможность появится.

Как хотят ужесточить наказание

Сейчас максимальный штраф за утечку данных составляет 2000 МРП (около 7,8 млн тенге). По мнению Досжана Мусалиева, это слишком мягкая мера.

"Из-за низких штрафов допускаются регулярные нарушения. Мы рассматриваем возможность введения "оборотных" штрафов, чтобы собственники информационных систем более серьёзно относились к защите персональных данных", – подчеркнул он.

МЦРИАП планирует в ближайшее время обсудить пакет поправок с госорганами, бизнесом и гражданским обществом. По словам Мусалиева, осенью министерство представит дополнительные предложения, в том числе в рамках закона об искусственном интеллекте.

Кто и за что отвечает 

Досжан Мусалиев напомнил, что за соблюдение требований по защите персональных данных несут ответственность именно владельцы информационных систем. Он также пояснил, как распределены функции между госорганами в сфере кибербезопасности:

• Комитет информационной безопасности МЦРИАП формирует госполитику и проводит проверки;
• КНБ отвечает за техническую безопасность страны.
• Киберполиция (МВД) расследует преступления в киберсфере.
• Министерство культуры и информации обеспечивает контентную безопасность.
• АРРФР контролирует защиту данных в банковской сфере.

"Каждое ведомство выполняет свою функцию. И в целом мы считаем такой баланс компетенций эффективным", – отметил вице-министр.

Контекст

На днях Telegram-канал SecuriXy.kz сообщил об обнаружении CSV-файла с персональными данными казахстанцев, содержащего 16,3 млн строк.

В таблице указывались фамилии, имена, отчества, пол, дата рождения, ИИН, мобильные, рабочие и домашние номера телефонов, гражданство, национальность, адреса, даты начала и конца проживания.

Министерство цифрового развития сообщило, что изучает распространяемую в Сети информацию об утечке персональных данных.

"Следует отметить, что первичный анализ указывает на возможное происхождение сведений из частных информационных систем. Хакерских атак или утечек персональных данных из государственных информационных систем на данный момент не зафиксировано", – сказали в министерстве и добавили, что, возможно, речь идёт об устаревших данных.

Министерство цифрового развития РК планирует ужесточить требования к частным информационным системам, особенно медицинским. По словам министра Жаслана Мадиева, такие платформы должны соответствовать стандартам критически важных объектов, поскольку обрабатывают большое количество персональных данных. Ведомство также работает над созданием реестра скомпрометированных данных, чтобы граждане могли проверять, попали ли их сведения в похищенные базы.

Кроме того, МЦРИАП намерено внедрить авторизацию через ЭЦП и биометрию для доступа к персональным данным в медучреждениях и усилить ответственность за нарушения – в несколько раз повысятся штрафы, а также будут введены новые меры уголовной и административной ответственности.

В открытом доступе в интернете можно обнаружить чувствительные персональные данные клиентов популярных казахстанских интернет-магазинов, таких как Meloman (meloman.kz) и "Империя цветов" (imperiacvetov.kz). При этом ни государственная техническая служба (ГТС), ни министерство цифрового развития не знают об этом – по крайней мере так там говорят. 

–––

Читайте также:

• Была ли утечка: базу интернет-магазинов "Меломан" и "Империя цветов" с заказами и адресами нашли в Сети
• Утечка данных 16 млн казахстанцев: начато расследование
• МЦРИАП хочет приравнять частные базы данных к критической инфраструктуре на фоне утечек информации

____

• Читайте коротко о важных событиях в Telegram. Подписывайтесь и включите уведомления.

• Если у вас есть чем поделиться или вы стали очевидцем событий, пишите, присылайте фото, аудио и видео, документы, в наш анонимный бот @bessimptomno_bot