Көрінбейтін қауіп: киберəлемде жеке деректерді қалай қорғаймыз?

Цифрлық кеңістікке кірген əр адам өзімен бірге жеке деректерін де алып кіреді. Онлайн желіде жіберген ұсақ қателік кибершабуылға жол ашады. Халықаралық Demandsage зерттеу желісінің дерегінше, əлемде күнделікті əр 39 секунд сайын бір кибершабуыл жасалады екен. Қауіп енді тек компанияларға емес, əлеуметтік желіде белсенді болған қарапайым қолданушыларға да төніп тұр, - деп хабарлайды Aikyn.kz.

ҚР Қаржылық мониторинг агенттігі ұсынған статистика бойынша, кейінгі бір жылда “интернет-алаяқтық” фактісіне қатысты 25 704 іс тіркелген. Интернет-алаяқтықтың негізгі түрлеріне фишиң, банк дерегін қолдану, жалған сайттар мен жарнамалар арқылы ақпарат ұрлау, сондай-ақ фейк-қосымшалар мен зиянды бағдарламалар арқылы құрылғыға ену жатады.  

Аталған іске мысал ретінде Threads əлеуметтік желісін қолданушы Айдана Сұлтанқызы сіңлісінің басынан өткен оқиғасымен бөлісті. Оның сөзінше, грантта оқитын сіңлісі ай сайынғы шəкіртақыны тек Халық Банк картасы арқылы алған. 

«Сіңлім студент болғандықтан, ауылға жиі барып тұрады. Сол күндердің бірінде Қордай-Алматы жолына шыққанда байланыс болмай қалды. Дəл  осы уақытта оның шотынан белгісіз біреулер 13 транзакция жасап үлгерген. Ешқандай растау коды, тіпті 1414-тен СМС те келмеді. Карта деректерін ешқандай қосымшаға енгізген жоқ. Ештеңе анықталмады, банкке арыз жаздық. 45 жұмыс күні ішінде қаралады деді, жауап əлі жоқ», – деді Айдана. 

Астаналық адвокат Əліби Жабықпай киберқылмыстарда алаяқтардың басқа біреудің картасы мен шотын «өткізу арнасы» ретінде пайдалану заңға қарсы əрекет екенін айтады. Оның пікірінше, карта тек оны ашқан физикалық немесе заңды тұлғаның меншігі болып есептеледі. Бөгде адамдарға беру немесе қолдануға рұқсат етілмейді. 

«16 қыркүйектен бастап елімізде Қылмыстық кодекстің 232-1 бабы бойынша, өзіңіздің төлем деректеріңізді беру, басқа адамдардың карталарын пайдалану немесе біреуді «дроперлікке» тарту тыйым салынды», - дейді адвокат. 

Ал сала сарапшылары бұл мəселенің тек құқықтық емес, жүйелік қыры бар екенін айтады. Human Rights Consulting Group (HRCG) ҚҚ директоры Арсен Əубəкіровтің ойынша, банктердің инновацияны жылдам енгізуі жеке деректер қауіпсіздігіне қауіп төндіреді.  

«Заңнамаға бағынбау, лоббизм ықпалы мен мемлекеттік бақылаудың шектелуі жағдайды қиындатады. Жаңа тұтынушы деректері бірден қолжетімді болып, алаяқтар қорларды бұзу не банктегі қызметкерлер арқылы ақпаратқа қол жеткізеді», - деп түсіндірді Əубəкіров. 

Киберқауіпсіздік мамандарының айтуынша, алаяқтық жиі фишиң сайттар мен құпиясөзді қолға түсіру арқылы жасалады. Бір құпиясөзді бірнеше платформада қолдану тəуекелді күшейтеді. Сол үшін оны уақытылы ауыстырып отырған жөн. Онлайн сатып алу кезінде қауіпсіздік үшін бір реттік төлем əдістері тиімді. 

Құпиясөзді күзететін кім? 

Ашық деректерге сүйенсек, кибершабуылдардың 90%-ы қолданушы жеке дерегін енгізген сəтте шабуылдаушының жүйеге кіруінен басталады. Осы ретте құпиясөз қауіпсіздігі ерекше маңызға ие. Қазіргі технологиямен 7 таңбалы күрделі құпиясөзді бұзу үшін төрт секунд жеткілікті. 

21 жастағы Әйгерім Айдынқызы үшін жеке пайдаланушы деректері тек цифрлық кеңес емес, оларды жоғалтып алу қорқынышына айналды. Бірнеше ай бойы оның Apple ID мен əлеуметтік желілеріне белгісіз құрылғылар кіріп-шыққаны туралы хабарламалар келіп тұрған. 

«Кейінгі екі айда телефон үнемі құпиясөзді қайта сұрай беретін болды. Алғашында жай техникалық қате шығар деп ойладым. Бірақ бір күні Сіздің аккаунтыңызға жаңа Android құрылғысы кірді” деген хабарлама шықты. Менде ешқашан Android болмаған», - дейді ол. 

Әйгерім барлық құпиясөзді жаңартқанымен, бейтаныс құрылғылар қайтадан қосылып отырған. 

«Құрылғылар тізімінен бейтаныс телефонды өшірсем де, екі-үш күннен кейін қайта шығады. Тексеріп қарасам, басқа қалада тіркелгенін көрсетеді. Ең қорқыныштысы – аккаунтты өшірейін десем, суреттерім, сабаққа қатысты барлық құжатым, тіпті кей тапсырмаларым да сол жерде сақталған. Өшіруге қорықтым», – деді ол. 

Оның айтуынша, жағдайды өз бетінше шеше алмай, IT-мамандарға жүгінуге мəжбүр болған. 

«Мамандар құрылғы журналын тексеріп, əлсіз құпиясөз бен оны бірнеше сайтта қолдану қауіп тудырғанын айтты. Мен кірген бір платформадан деректер қоры тарап кетіп, сол арқылы бөтен адам Apple ID-ге қол жеткізген болуы мүмкін. Содан бері 10‑нан көп таңбадан тұратын күрделі құпиясөз қойып, екіқадамды аутентификацияны қостым. Қазір бейтаныс құрылғылардың кіргені байқалмайды», - дейді Әйгерім. 

Ақпараттық қауіпсіздік саласында 10 жылдан астам тəжірибесі бар, Орталық Азиядағы коммерциялық емес ұйымдармен және медиамен жұмыс істеуге маманданған халықаралық кеңесші Артем Тарасов əр қолданушы өзіне «Егер менің ұялы телефоным немесе ноутбугым бұзылса, менің деректеріме не болады?» деген сұрақ қоюды ұсынады. Маманның сөзінше, көп адам мұндай жағдайдың салдарын ойламайды. 

«Монитор істемей қалса немесе ноутбук бұзылса, жаңа құрылғы ашып, жұмысты жалғастыра алатындай мүмкіндік болуы керек. Біз кейде өз құрылғымыз мəңгі жұмыс істейтіндей жүреміз. Деректерді сақтау құрылғыға байланысты болмайды, ол қауіпсіздік ережелерін сақтау арқылы қамтамасыз етіледі», – дейді Тарасов. 

Маман деректерді ұрлаудың ең оңай жолы əлсіз құпиясөз екенін ескертеді. Биыл жазда жарияланған ашық статистикаға сəйкес, 8 миллион адам əлі күнге дейін «123456» сияқты оңай құпиясөзді қолданады. 

Бірегей құпиясөздердің таралуы бойынша Cybernews сайты жүргізген зерттеуге сəйкес, 189 миллионға жуық  интернет қолданушылардың басым бөлігі əлі күнге дейін 8 таңбадан тұратын құпиясөзді таңдайды. 

Зерттеулер көрсеткендей, «1234» сөзі барлық құпиясөздің шамамен 4%-да, яғни 727 миллион таңбалы жиында кездеседі. Оған екі символ қосып «123456» ету арқылы қолданатындар саны 338 миллионға жетеді. «Password» жəне «123456» құпиясөздері 2011 жылдан бері ең танымал болып келеді. 

Cybernews ақпараттық қауіпсіздік бойынша зерттеуші Неринга Мацияускайтенің ойынша, қарапайым əдепкі құпиясөздер мəселесі əлі күнге дейін ең қауіпті үлгінің бірі болып отыр. «Password» (56 миллион) жəне «Admin» (53 миллион) жазбалары көрсеткендей, пайдаланушылар көбінесе қарапайым жəне болжамды құпиясөздерге сүйенеді.  

Киберқауіпсіздік саласында 3 жыл тəжірибесі бар Dodger компаниясының ко-фаундері Аружан Қалдыбектің пікірінше, барлық жерде бір құпиясөз қолданылса, шұғыл түрде өзгерту керек. Арнайы құпиясөз менеджерлері (Dashlane, 1Password, KeyPassXC, тағы басқа) бар. Бұл қосымшалар түрлі желіге қойған логин мен құпиясөзді сақтауға арналған.  

Hive Systems зерттеу компаниясының дерегінше, 2022 жылы 11 таңбалы құпиясөзді бұзу үшін хакерге шамамен 34 жыл қажет болған. Ал заманауи bcrypt əдісі құпиясөзді арнайы алгоритм арқылы бірнеше рет шифрлаудан өткізеді. 2025 жылғы есепке қарасақ, енді bcrypt-пен хакерге қорғалған құпиясөзді бұзуға 56 миллион жыл керек болады. 

Киберинцидент кезіндегі құқықтық тəуекелдер 

Цифрлық қауіпсіздік бұзылған жағдай тек деректердің жоғалуымен аяқталмайды. Жеке ақпараттың таралуына себеп болған бір қателік кейін қылмыстық жауапкершілікке дейін жеткізуі мүмкін. Əсіресе қолданушы қауіпсіздік ережелерін сақтамаса, құқықтық тəуекел одан сайын күшейеді.  

Қазақстанда киберқауіпсіздік саласын күшейту мақсатында жақында Жасанды интеллект министрлігі жұмысын бастады. Министрлікке қарасты комитет əкімшілік құқықбұзушылықтар бойынша істерді қарай алады.  

Өтініштер Қазақстанның Əкімшілік рəсімдік-процестік кодексіне сай қаралады. Комитет дербес деректерді қорғау, электрондық құжат жəне ЭЦҚ-ға қатысты заң талаптары бұзылғанда шара қабылдайды. Сонымен қатар ҚР ƏҚБтК-нің 692-2-бабына сəйкес, осы салалардағы əкімшілік құқық бұзушылық істерін қарау да комитеттің құзыретіне кіреді. 

Ақпараттық құпиялық саласының кəсіби маманы, МНУ Халықаралық құқық кафедрасының оқытушы профессоры Дана Өтегеннің айтуынша, Қазақстанда дербес деректерді қорғау жүйесі əлі де бастапқы даму кезеңінде тұр. 2013 жылы қабылданған «Дербес деректерді қорғау туралы» заң көптеген сұраққа толық жауап бермейді. Түсіндірме аз, жауапкершілік механизмі нақты емес, уəкілетті органдардың міндеттері толық айқындалмаған. 

«Осы олқылықтарды шешу мақсатында жаңа Цифрлық кодекс əзірленіп жатыр. Жұмыс тобы биометриялық мəліметтерді пайдалану мəселесіне назар аударған. Кейінгі жылдары бет-əлпетті тану технологияларын шамадан тыс пайдалану жиілеп, кей компаниялар тіпті биометрия тапсырмайынша қызмет көрсетуден бас тартатын жағдайлар кездеседі. Кодекс аясында осындай міндеттеуді шектеу жөнінде ұсыныстар енгізіледі», - дейді маман.  

Қазақстандағы биометриялық мəліметтерді қорғау жағдайы 

Биометриялық деректер – адамның бет-əлпет, саусақ ізі сияқты өзгермейтін мəлімет түрі. Егер бұл ақпарат ұрланып иə заңсыз таралса, оны қалпына келтіру мүмкін болмайды.  

Киберзаңгер Елжан Қабышевтің сөзінше, Қазақстанда жеке жəне биометриялық деректердің басты операторы – мемлекет. Ол азаматтар туралы үлкен ақпарат қорын басқарған соң, дербес мəліметтің бұзылуы немесе заңсыз таралуы үлкен қауіп тудырады.  

«Кейде банктік қауымдастықтарда клиенттердің деректерінің бұзылуы туралы оқиғалар кездеседі. Мысалы бір қыз биометриялық жүйеде тіркелген кезде экрандағы «шар тəрізді» аймаққа тек беті жазылады деп ойлаған. Бірақ камера тек бетін емес, киімін жəне фонды да жазып алған», - дейді ол.  

Оқиға желісінде банктің ішкі ережесін қадағалайтын маман осы жазбаны көріп, қызға қоқан-лоққы көрсеткен. Ол видео кадрында қыздың ішкі киіммен жүргені көрінгенін айтып, қысым жасаған. 

Киберзаңгер көптеген қолданушы жүйелердің қандай көлемде биометриялық жəне визуалдық ақпарат жинайтынын білмейтінін айтады. Сондай-ақ кейбір банк қызметкерлері осы деректерге қол жеткізіп, оларды заңсыз пайдалана алады. 

«Заң бар, ішінде қылмыстық жауапкершілік те қарастырылған. Бірақ миллиондаған деректің заңсыз таралу салдарынан нақты бір адам жазаланғанын көрген жоқпын. Сол себептен компаниялар мен деректер операторлары шынайы қауіпті сезіне бермейді. Егер мұндай оқиға болса, ұйымдар бақылауды күшейтіп, дербес мəліметті қорғауға жауапкершілік танытар еді», - дейді киберзаңгер Қабышев.  

Өкінішке қарай биометриялық деректермен байланысты тағы бір алаңдататын мəселе бар. Бұл жүйелерге тек ересектер емес, балалар да қатысады. Балалар өз деректерін берудің салдарын толық түсіне алмайды, ал мемлекеттік органдар көбіне қауіпсіздікті қамтамасыз ету сылтауымен олардың дерегін жинайды.  

Кибермаман Аружан Қалдыбектің ойынша, биометрия серверлерінің қауіпсіздік деңгейі Қазақстанда не шетелде орналасу аймағына қарай əртүрлі болады. 

«Қазір deepfake технологиясы дамып жатыр. Алаяқтар бір оқушының түрін дипфейкке салып, оның атынан анасына бейтаныс нөмірден видео арқылы байланысқа шыға алады. Мұндай жағдайдан аулақ болу мақсатында ата-ана мен бала арасында жасырын кілт сөз болғаны дұрыс, алаяқты табудың бір амалы осы», - дейді ол.  

Дербес мəліметтерді қорғау қаншалықты маңызды? 

Жеке деректің қорғалуы – əр адамның қауіпсіздігі мен өмірінің кепілі.  

Ақпараттық қауіпсіздік маманы Артем Тарасовтың айтуынша, бұл пайдалы сілтемелер адамдарға өз деректерін қорғауды үйренуге, интернеттегі алаяқтық əрекеттен сақтануға көмектеседі.   

Ал Аружан Қалдыбек бес негізгі ережені ұсынады.  

Біріншіден – құпиясөздер мен екі сатылы аутентификация (2FA). Барлық құпиясөзді бір жерде сақтамай, қажеттілігіне қарай тексерілген менеджерлерге бөліп қою. Сондай-ақ күрделі кіру кодын жасау.  

Екіншіден – келген əр хабарламаның сілтемелеріне өте бермеу. Сайт мекенжайын қолдан жазу.  @ белгісінен кейінгі домен нақты болуы тиіс.  

Үшіншіден – ұялы телефондағы қосымшаларға автоматты жаңарту функциясын қосу. Мобильді бағдарламаларды ресми қосымшалардан жүктеу (App Store, Play Market). 

Төртіншіден – көше, мекеме, қоғамдық орында желіге VPN-сіз қосылмау. Қолжетімді интернетке автоматты қосылу батырмасын өшіру.  

Бесіншіден – eGov Mobile қосымшасында «СТОП несие» функциясын қою.  

Дарина ТАУПИХОВА