В Алматы прошёл круглый стол на тему «Криптография и персональные данные: передовые практики и развитие локальных решений», сообщает CMN.KZ
В одном месте собрались сразу представители всех заинтересованных сторон: депутат мажилиса Екатерина Смышляева, сотрудники Нацбанка, МЦРИАП и АРРФР, независимые эксперты и люди, отвечающие за аудит крупных игроков бизнеса. Главной темой встречи стала кибербезопасность. Обсуждали эксперты утечку персональных данных в финансовом секторе, регулирование банков в цифровой сфере и методы криптозащиты.
Как рассказал зампредседателя комитета по информационной безопасности МЦРИАП Искандер Тажибеков, с начала 2025 года в Казахстане зарегистрировали 43 кейса утечки персональных данных в финансовой сфере. При этом он не раскрыл, что за организации оказались втянуты в эту историю.
«Большинство утечек, о которых мы заявляем, фиксируем постфактум. Сказать, что в этом году у нас большой рост, это ничего не сказать. Рост идёт непрерывно. У нас растёт уровень цифровизации, как следствие, растёт количество желающих получить информацию с баз данных финансового рынка», – рассказал Искандер Тажибеков.
Начальник управления стратегии и архитектуры кибербезопасности Нацбанка Данияр Мамбетов отметил, что при низком уровне зрелости организации в части информационной безопасности утечек не избежать. Поэтому защищать свои данные нужно прежде всего самим казахстанцам.
«Я хотел бы обратить внимание на большой всплеск мошенничества. Многие из наших родных и близких сталкиваются с этими вещами. Госорганы прикладывают много сил для решения вопросов, как законодательном уровне, так и с представителями рынка. Мошенники используют именно персональные данные, входят в доверие и получают деньги», – объяснил Данияр Мамбетов.
Эксперты заверяют, что любой компании необходимо шифровать данные. Потому что даже при их утечке, без ключа шифрования злоумышленник не сможет получить к ним доступ. В Казахстане основными законодательными нормами выступают статья 205 УК РК «Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций» и статья 79 КоАП РК «Нарушение законодательства о персональных данных и их защите». В первом случае максимальным наказанием для нарушителя будут два года лишения свободы, а во втором – штраф. Его размер зависит от того, к какой группе относится нарушитель.
Цифровые песочницы и как ими пользуются
Законодательство для развития финансовых технологий в Казахстане довольно гибкое, считает депутат мажилиса Екатерина Смышляева. Причиной тому так называемые «цифровые песочницы», которые действуют при Национальном банке и в Международном финансовом центре «Астана». Там компании тестируют инновационные решения в ограниченном контуре.
«Если говорить о развитие технологий, то в данном случае песочницы наиболее эффективны, и совершенствоваться там особо некуда. С точки зрения безопасности и каких-либо ограничений, сейчас мы наблюдаем тенденции к ужесточению регулирования финтех-игроков в части защиты персональных данных и процедур регистрации. Недавно из мажилиса выпустился проект закона по вопросам противодействия мошенничеству. Там как раз финтех-регулятору было вменено большое количество дополнительных функций в части контроля», – рассказала депутат мажилиса Екатерина Смышляева.
Депутат отметила, что у финтехов есть свой отраслевой центр информационной безопасности (ИБ), а также второй периметр контроля. Екатерина Смышляева считает, что предъявлять требования к защите ИБ надо во всех отраслях, не замыкаясь исключительно на финансовом секторе.
Для обкатки какой-либо идеи, чтобы позже на её основе создать закон или нормативный акт, нужны данные. Именно для этого и используют цифровые песочницы. Собранная информация анализируются, после чего появляется понимание, можно ли её использовать для широкой публики.
На круглом столе депутат мажилиса рассказала, что в скором времени примут закон о банковской деятельности. Кроме того ведётся разработка цифрового кодекса, о котором редакция писала ещё осенью прошлого года. Обе нормы должны закрепить на законодательном уровне принципы защиты данных и регулирования цифровой среды.
Риск государства и требование о сертификации
Больше всего экспертов, как и приглашённых гостей, интересовали правила сертифицирования средств криптографической защиты информации (СКЗИ). По некоторым данным, в 90% случаев элементами начинки выступают международные устройства и коды. При этом государство требует, чтобы все программы и устройства, которые позволяют шифровать и дешифровать данные, прошли проверку и сертификацию.
Причин тому, как оказалось несколько: кроме безопасности самого государства, органы должны быть уверены, что для защиты применяются заявленные на бумаге СКЗИ. Несмотря на международный опыт и даже уверенность, что мировые компании больше смыслят в защите персональных данных, у сотрудников госорганов есть только один ответ.
«Я верю, что там лаборатории не хуже и даже лучше, чем у нас. Там имеется более широкая компетенция. Я в это верю. Но почему мы тогда всё время говорим об отечественном сертифицировании? Дело в том, что часто средства шифрования, заявленные другими странами, в Казахстан просто не поставлялись из-за экспортных ограничений для нашего рынка. Чтобы исключить случаи, когда нам под видом высокоуровневого шифрования предоставляется другое, мы требуем проходить сертификацию», – сообщил Искандер Тажибеков.
Сотрудник МЦРИАП отметил, что в Казахстане назрела нужда отделить гражданские средства шифрования от негражданских. Вопрос стоит на повестке дня и до конца не решён. В случае положительного результата, возможно, надобность в сертификации СКЗИ на территории нашей страны при наличии международного документа, отпадёт.
Сопредседатель комитета по информационной безопасности Альянса QazTech Евгений Питолин отметил, что нет никакой гарантии, что в той или иной лаборатории финтеха при создании СКЗИ рядом не находился представитель разведки.
«Мы же сейчас говорим о том, как государство видит свою карту рисков. И она совершена другая, нежели у бизнеса. Кто в государстве в здравом уме захочет взять на себя такой риск? Потому и есть требования о сертификации», – сообщил Евгений Питолин.
Несмотря на некоторые разногласия, эксперты сошлись во мнении, что при малых стимулах никто не будет вкладываться в технологии, а следовательно и процесс развития данной отрасли замедлится.
Читайте также: Face ID и слитые данные: нужно ли ужесточать законодательство по кибербезопасности, рассказали эксперты
