Оказывается, 90% киберпреступлений в Казахстане стали возможными в силу человеческого фактора. И это – не оценка со стороны. Такие выводы прозвучали из уст специалистов государственных органов, работающих в сфере кибербезопасности, то есть тех, кто за нее в ответе.
В рамках дискуссии «Цифровой иммунитет: киберустойчивость финансового сектора в условиях цифровой трансформации рынков», состоявшейся на полях недавно прошедшего в Алматы XI Конгресса финансистов Казахстана, звучали и другие совсем неутешительные для общества вещи.
Например, о том, что преступники, чьим инструментом является не нож, а компьютер, идут в ногу со временем, а регуляторные органы, призванные ставить им заслон, от них отстают.
И о том, что технологии, позволяющие совершать киберпреступления, ушли вперед, а законодательной базы, чтобы качественно привлекать киберпреступников к ответственности, в нашей стране не создано.
И о том, что Казахстан вряд ли сегодня готов к тому, чтобы разработать свои собственные стандарты киберустойчивости.
Отсюда и соответствующие цифры.
Чем дальше — тем больше
По данным полиции, которые озвучила представитель Центра по борьбе с кибер-преступностью МВД Жанар Мугалова, количество фактов интернет-мошенничества за последние пять лет увеличилось в пять раз.
Если в 2018 году было зарегистрировано порядка 4 тысяч фактов, то по итогам 2022 – более 20 тысяч. И число не сокращается– за 10 месяцев 2023 года зарегистрировано 17 тысяч подобных случаев.
Более разительно выглядит размер ущерба, нанесенного гражданам: 2018 год – 600 миллионов тенге, 2022 – около 16 миллиардов тенге.
Согласно анализу, наиболее распространенными способами киберпреступлений являются следующие:
- интернет-торговля с использованием соцсетей;
- предложение выгодного инвестирования;
- создание фишинговых сайтов для получения доступа к персональным данным;
- преступники, представляясь сотрудниками банков или правоохранительных органов, навязывают жертвам сценарии поведения, направленные якобы на сохранность их средств, и в итоге получают доступ к банковским данным.
На защиту денег нет
Вообще же оценка уровня кибер-устойчивости – вопрос непростой.
По мнению директора департамента информационной и кибер-безопасности Агентства регулирования и развития финансового рынка (АРРФР) Романа Перминова, говоря о кибер-устойчивости рынка финансовых услуг, надо понимать, что рынок этот разнороден и представлен разного вида организациями (банками, страховыми организациями, компаниями по инвестициям и т.д.), поэтому говорить об усредненном показателе сложно.
«Как нам представляется, сегодня основная угроза кибер-безопасности исходит из так называемых «экосистем» банковского сектора, которые активно развиваются. Мы как регулятор финансового сектора прописали необходимый уровень безопасности для финансовых организаций, но есть те субъекты, что так или иначе взаимодействуют с банковским сектором (достаточно посмотреть приложения банков), уровень защищенности которых не соответствует минимальным требованиям безопасности.
В нашем понимании, это основной риск, который сейчас существует.
Более того, регулирование мы пытаемся выстраивать в приближенности к общемировым стандартам. Но преступность не стоит на месте. И так сложилось, что преступники всегда на шаг-два впереди, а регулятор выступает в роли догоняющего», — обрисовал он проблему.
О том, что компании зачастую пренебрегают защитой своих баз данных, в которых в том числе содержатся персональные данные большого количества граждан, говорил и председатель Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан Абдикаликов.
«По изученным нами мировым данным,в государствах, которые лидируют в сфере кибербезопасности, компании, создающие некую базу данных, на информационную безопасность направляют не менее 10-15% IT-бюджета. В казахстанских же компаниях эта доля составляет 3-5%.
Чтобы ситуацию переломить, мы хотим на законодательном уровне (либо в Цифровом кодексе, над которым сейчас идет большая работа, либо в поправках к действующему закону «Об информатизации») прописать, чтобы организации, работающие с большими базами данных, также закладывали на информбезопасность не менее 10% от каждого IT-бюджета.
Как показывает практика, мы создаем какие-либо платформы быстро-быстро, пытаясь обогнать конкурента, а потом система «падает» при большом наплыве пользователей, происходят утечки. И все это из-за того, что изначально никто не задумывается, а будет ли она безопасна», — объяснил Абдикаликов.
Однако депутат мажилиса Екатерина Смышляева раскритиковала такой подход:
«Мне кажется, что наложение на компанию обязанности тратить определенную сумму на кибербезопасность – это «кривой» подход. Эти деньги должны выделяться компаниями из соображений выгоды, им должно быть выгодно потратиться на безопасность, чем платить штрафы за ее несоблюдение и, соответственно, утерю данных. А штрафы наши сегодня несопоставимы (читай, мизерны — авт.) с расходами на кибербезопасность».
Тем не менее, депутат согласилась с тем, что реформа законодательства для качественного пресечения киберпреступлений необходима.
«В целом же нам необходима новая область права – цифровая, и она, направленная на регулирование сферы, должна идти впереди технологий, а не догонять их, как происходит у нас сейчас. Наступила пора редактирования уголовного и административного кодексов, так как современное время родило много новых видов преступлений, киберпреступлений, и необходимо предусматривать за них наказание. В частности сейчас на рассмотрение парламента находится законодательный пакет по созданию в Казахстане так называемого антифродового центра при Нацбанке, который будет заниматься борьбой с мошенничеством через оценку банковских интернет-транзакций на степень вероятности мошенничества», — добавила Смышляева.
Заграница нам поможет
В МВД возлагают надежды в борьбе с кибер-преступностью на международное сотрудничество, учитывая тот факт, что большинство подобных преступлений носит трансграничный характер.
И, по словам Жанар Мугаловой, здесь уже есть определенный успех:
«Казахстан получил предложение присоединиться к Конвенции Совета Европы о компьютерных преступлениях. Пока Конвенция это единственный международный акт, который регулирует вопросы международного сотрудничества. Присоединившись к ней, мы сможем взаимодействовать с 68 странами, а в перспективе — еще с 23, которые сегодня являются наблюдателями и планируют присоединиться к документу».
Ставка на человеческий фактор
А в Минцифры намерены сделать ставку на просвещение – именно это может минимизировать человеческий фактор в успешности киберпреступлений.
«Любые технические и организационные меры – это 10% от всей киберзашиты. То есть, сколько бы денег мы не вложили в кибербезопасность, мы закроем лишь десятую часть проблемы. 90% защиты – это человеческий фактор: если хакеру будет тяжело взломать информационную систему, которая защищена, он «взломает» человека.
Для решения этой проблемы мы хотим ввести уведомление граждан об утечке их персональных данных и рекомендации по минимизации рисков через личные кабинеты на Egov, а через банковские приложения и сервисы операторов сотовой связи распространять образовательные программы по кибер-гигиене.
Мы должны донести до каждого человека, что он должен развить в себе критическое мышление. Если кто-то обращается к вам по имени-отчеству, называет вашу родню до седьмого колена и даже кличку вашей собаки, это не повод доверять ему, учитывая, что до этого вы лично не были с ним знакомы», — предлагает Руслан Абдикаликов.
Больший упор он предлагает сделать на обучение госслужащих. Те, кто по роду своей деятельности, работают с большим объемом данных и таким образом становятся потенциальным «каналом утечки» информации (проще подкупить работника ЦОНа или, допустим, судисполнителя, чем взламывать Egov), должны пройти курсы и получить сертификат по кибергигиене. Если же не будет такого сертификата, то чиновника нельзя допускать к работе с базами данных.
О том, что Министерство цифрового развития РК делает для киберустойчивости сегодня и что предлагает внедрять завтра в техническом плане, Руслан Абдикаликов рассказал «Республике» в видеокомментарии.
… В ходе дискуссии представитель МВД, говоря об успехах в борьбе с кибермошенничеством, упомянула, что в последнее время количество звонков с подменных номеров (это когда преступники представляются работниками банков) сократилось на 20-30%. Автору же этих строк за последний месяц с предложением «защитить карточный счет» звонили из двух банков. И это при том, что в одном из этих банков счета у меня нет и никогда не было…
ПОДДЕРЖИТЕ «РЕСПУБЛИКУ»!
Можно через KASPI GOLD, отправив донаты на номер телефона 8-777 681 6594 или карты 4400 4302 1819 1887.
И есть еще несколько способов – смотрите на этой странице.
