«Дәрігерге қаралу үшін арнайы барып, кезек күтудің қажеті жоқ. Ендігіде қолдағы телефонның көмегімен жазылуға болады» деген хабарлама тарағанда, алақайлап қуанған едік. Өйткені онсыз да қағазбасты қоғамнан қажыған жұрт тым құрығанда уақытында дәрігерге қарала алатынын ойлап, мәз болған. Әңгіме Damumed қосымшасы хақында. Жақында жүздеген мың қазақстандықтың денсаулық жағдайы жайлы құпия ақпарат желіде желдей есті. Әлбетте, қазір жағдайды түзеп, олқылықтардың орны толды деп жұртты тыныштандыратын хабарлама жасалды. Дегенмен өзі жайлы қандай да бір ақпараттың рұқсатсыз тарауы кім-кімге де ұнамасы анық.
Жабық ақпараттың ашық желіге жүктеліп, хакерлер шабуылына ұшырайтынын кинодан көріп, өзге мемлекеттердегі ахуалдардан хабардар болып жүрдік. Кезек бізге де келген сыңайлы. Енді болған жағдайды басынан баяндасақ. Damumed жайлы білмегендер болса, айта кетейік. Бұл – емханадағы тіркеу бөлімінің рөліндегі функционал. Яғни, дәрігерлердің қабылдау кестесі жайлы ақпарат тұрады, үйге шақыра аласыз, электронды емхана қағаздары, ем-шара қабылдау кабинетінде өткізілетін зертханалық зерттеулерге арналған материалдарды жинауға тіркейді. Былай қарасаңыз, мұндай қосымша қажет-ақ. Осының көмегімен уақытын үнемдеген талайыңыз бар да боларсыз.
Damumed-те деректерім тұр. Өйткені тіркелгем. Мен сияқты қанша қолданушы да талдамаларын содан қарайды. Желіге тарағаны туралы шыққан деректерде скриншоттарды көруге болады. Ол жерде дәрігерге жазылу, тіркеу сияқты деректерден бөлек, әлдекімдердің қан және несеп талдаулары, емделушінің аты-жөні, тұрғылықты мекенжайы да көрсетілген. Тіпті сифилис тестінің нәтижелері де «жарқырап» тұр. Бұл жағдайға байланысты жауапты ұйым ресми жауабын да берді. Олардың айтуынша, мұның бәрі жалған. «Ақпараттың жаппай ашық желіге шықпағанын мәлімдейміз. Еш уайымдамасаңыздар болады. Мұның ешкімге зияны тиген жоқ. Бұл жағдай құзіретті органдардың ізіне түсуді мақсат еткен инсайдер-қолданушының кесірінен болды. «Даму» ақпараттық технологиялар орталығы ЖШС атынан мынаны мәлімдейміз: авторизациядан өтпеген жандар жүйеде тіркелгендер туралы деректер алуы мүмкін болатын жағдай туындағаны рас. Бұған заңды авторизацияланған қолданушының құпия деректерді үшінші біреуге бергені себеп болып отыр. Техникалық қызмет жедел жұмыс істеп, олқылықтарды реттеді. Жүйені талдай келе, бар болғаны 12 нәтиже жүктелгенін анықтадық. Оның жетеуі Facebook желісіне жарияланған».
– Damumed-те деректерім тұр. Өйткені тіркелгем. Мен сияқты қанша қолданушы да талдамаларын содан қарайды. Желіге тарағаны туралы шыққан деректерде скриншоттарды көруге болады. Ол жерде дәрігерге жазылу, тіркеу сияқты деректерден бөлек, әлдекімдердің қан және несеп талдаулары, емделушінің аты-жөні, тұрғылықты мекенжайы да көрсетілген.
Компания осылайша деректердің желіге жүктелгенін жоққа шығарды. Әйтсе де, «Кибершабуылдарды зерттеу және талдау орталығы» мамандары бұған бейжай қарауға болмайтынын айтып отыр. «Бұл жағдайға мемлекет араласып, елдегі барлық ақпараттық жүйеге аудит жасалуы тиіс. Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі Асқар Жұмағалиев жеке бақылауына алады деп сенеміз. Кінәлілер жазасын алуы керек. Осылайша, халық та мәселенің жүйелі шешімін табар еді» дейді мамандар.
Осыдан соң, министр бұған тіл қатты. Айтуынша, алдағы уақытта желідегі деректерді қорғау шаралары қатаңдатылады. «Бүгін желіден азаматтардың жеке деректерін интернетте тарату туралы ақпаратты көрдім. Өте маңызды мәселе. Дереккөзі мен тарату себептерін анықтауды тапсырдым. Құқық қорғау органдары қазіргі уақытта бұл мәселемен айналысып жатыр. Технологиялардың дамуына байланысты, жеке деректерге қол жеткізуді қорғау – бүгінде бүкіл әлемдік қоғамдастық алдында тұрған өте өткір мәселенің бірі. Сіздер коммерциялық немесе мемлекеттік ақпараттық жүйелерді бұзуға қатысты бірқатар оқиғаларды естіген боларсыздар. Сол себепті, дербес деректерді қорғау бойынша комитетімізге Еуропадағы Data Protection Agency-ге ұқсас функцияларды беру туралы бастама көтерген болатынбыз. Бұл функция азаматтардың жеке деректерін өңдеумен айналысатын ақпараттық жүйелердің иелеріне тексеру жүргізуге құқық береді. Сонымен бірге, жеке деректерді қорғауда тиісті шаралар қолданбағаны үшін жүктелетін жауапкершілікті қатайту керек. Мұндай шаралар қазір әлем бойынша қабылданып жатыр» деді ол әлеуметтік желідегі жеке парақшасында.
Жеке мәліметтерді қалай қорғаймыз деген сауалды мамандарға жолдадық. «Кибершабуылдарды зерттеу және талдау орталығының» директоры Арман Әбдірасылов бірнеше кеңес айта кетті. «Толықтай қауіпсіз жүйе болмайды. Осыны ұғуымыз керек. Жүйелерді бұзып, ондағы ақпаратқа қол жеткізу оп-оңай болуы мүмкін. Немесе керісінше, кейбіріне шабуыл жасау үшін өте көп күш, қаражат пен уақыт қажет. Бұл жердегі маңызды нәрсе – қауіпсіздікті қамтамасыз етуге кететін шығын қорғалатын активтің өз бағасынан аспайды. Осындай қарапайым тезистерді басшылыққа ала отырып, бірнеше шарттарды шығара аламыз. Егер мұны ескеретін болса, қауіпсіздігін қамтамасыз етіп, шабуылдардың 90 пайызының алдын алуға болады. Ең алдымен, лицензиясы бар бағдарламалық жасақтама қолданып, оны үнемі жаңартып тұрыңыз. Екіншіден, ақпараттар мен мәліметтерді алу үшін тексерілген әрі сенімді дереккөздерді ғана қолдану қажет. Шабуыл жасаудың бүгінде тараған ең қолжетімді, арзан әрі тиімді тәсілі – әлеуметтік инженерия мен фишингтік сілтемелер. Үлкен көлемді деректердің желіге шығып кеткен жағдайы бір айда екі рет анықталды. Мұндай жағдай бұрын да болған, соңғысы да емес деп ойлаймын. Елімізде жүйелік қате бар. Қарқынды түрде дамып жатқан цифрландырудың әсерінен деректердің айналымына қатаң бақылау жасалмай жатыр. Осы механизмді жолға қоймасақ, әртүрлі жүйелерде осындай олқылықтар кете береді», – дейді А.Әбдірасылов.
Былтыр Нұр-Сұлтанда өткен IoT форумында Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті төрағасының орынбасары Руслан Әбдіқалықов республика азаматтарының жеке мәліметтерін қорғауға жауап беретін мемлекеттік орган құру керек деп айтып қалған еді. «Осы бағытта бірыңғай саясат жүргізу үшін қандай орган керек деп сауал тастап, жеке мәліметтерді қорғау мәселесін көтеруге тырысқан едік. Қазіргі таңда елдегі заңдарға көз салсақ, мәліметтерді өңдеу процесіне жауапты кім болса, сол ғана жауап береді. Мысалы білім саласындағы деректерге Білім және ғылым министрлігі жауапты. Сол сияқты басқа мәселе туындаса, басқасына жүктеледі. Мұның соңы ақырында ешкімнің ештеңеге жауапты болмауына әкеліп соғады. Осы мәселені ескере отырып, өзге мемлекеттік органдармен бірлесіп, шешуіміз қажет» деген еді.
Жеке мәліметтерді қорғауға бүкіл әлем мүдделі. Мысалы Еуроодақ GDPR регламентін қабылдады. Регламент Еуропалық одақтың бүкіл тұлғасының деректерін қорғау үшін қолға алынған. Ол үшін азаматтар бірінші кезекте өз мәліметтерін өздері бақылауға алуы тиіс. GDPR бойынша, мәліметті жинап отырған да, өңдеп отырған тарап та жауапты. Деректі жинаған адам оның мақсатын, маңызын анықтайды. Өңдеуші болса, қызметін мінсіз атқаруы міндеттеледі. Осылайша, қос тарап та нормаларды ескеруі шарт. Заң бұзылған жағдайда, 20 000 000 еуро айыппұл салынады. Немесе компанияның өткен жылғы қаржы жағдайына байланысты жылдық әлемдік айналымының 4 пайызын төлеуі тиіс. Осындай қатал шара бізге де қажет сияқты. Өйткені көрінгеннің бәрі құпия ақпараттарға оңайлықпен қол жеткізе берсе, ертеңіміз не болады?