Жеке дерек желіде неге «жүзіп» жүр?

«Дәрігерге қаралу үшін арнайы барып, кезек күтудің қажеті жоқ. Ендігіде қолдағы телефонның көмегімен жазылуға болады» деген хабарлама тарағанда, алақайлап қуанған едік. Өйткені онсыз да қағазбасты қоғамнан қажыған жұрт тым құрығанда уақытында дәрігерге қарала алатынын ойлап, мәз болған. Әңгіме Damumed қосымшасы хақында. Жақында жүздеген мың қазақстандықтың денсаулық жағдайы
жайлы құпия ақпарат желіде желдей есті. Әлбетте, қазір жағдайды түзеп, олқылықтардың орны толды деп жұртты тыныштандыратын хабарлама жасалды. Дегенмен өзі жайлы қандай да бір ақпараттың рұқсатсыз тарауы кім-кімге де ұнамасы анық.

Жеке дерек желіде  неге «жүзіп» жүр?

Жабық ақпараттың ашық желіге жүктеліп, хакерлер ша­буылына ұшырайтынын кино­дан көріп, өзге мемлекеттердегі ахуалдардан хабардар болып жүрдік. Кезек бізге де келген сыңайлы. Енді болған жағдайды басынан баяндасақ. Damumed жайлы білмегендер болса, айта кетейік. Бұл – емханадағы тіркеу бөлімінің рөліндегі функционал. Яғни, дәрігерлердің қабылдау кестесі жайлы ақпарат тұрады, үйге шақыра аласыз, электронды емхана қағаздары, ем-шара қа­былдау кабинетінде өткізілетін зертханалық зерттеулерге арнал­ған материалдарды жинауға тір­кейді. Былай қарасаңыз, мұндай қосымша қажет-ақ. Осының көмегімен уақытын үнемдеген талайыңыз бар да боларсыз.

Damumed-те деректерім тұр. Өйткені тіркелгем. Мен сияқты қанша қолданушы да талдама­ларын содан қарайды. Желіге тарағаны туралы шыққан дерек­терде скриншоттарды көруге болады. Ол жерде дәрігерге жа­зылу, тіркеу сияқты деректерден бөлек, әлдекімдердің қан және несеп талдаулары, емделушінің аты-жөні, тұрғылықты мекен­жайы да көрсетілген. Тіпті си­филис тестінің нәтижелері де «жарқырап» тұр. Бұл жағдайға байланысты жауапты ұйым ресми жауабын да берді. Олар­дың айтуынша, мұның бәрі жалған. «Ақпараттың жаппай ашық желіге шықпағанын мә­лімдейміз. Еш уайымдамаса­ңыздар болады. Мұның ешкімге зияны тиген жоқ. Бұл жағдай құзіретті органдардың ізіне түсуді мақсат еткен инсайдер-қолданушының кесірінен болды. «Даму» ақпараттық техноло­гия­лар орталығы ЖШС атынан мынаны мәлімдейміз: автори­зациядан өтпеген жандар жүйеде тіркелгендер туралы деректер алуы мүмкін болатын жағдай туындағаны рас. Бұған заңды авторизацияланған қолдану­шының құпия деректерді үшінші біреуге бергені себеп болып отыр. Техникалық қызмет жедел жұмыс істеп, олқылықтарды реттеді. Жүйені талдай келе, бар болғаны 12 нәтиже жүктелгенін анықтадық. Оның жетеуі Facebook желісіне жарияланған».


– Damumed-те деректерім тұр. Өйткені тіркелгем. Мен сияқты қанша қолданушы да талдама­ларын содан қарайды. Желіге тарағаны туралы шыққан дерек­терде скриншоттарды көруге болады. Ол жерде дәрігерге жа­зылу, тіркеу сияқты деректерден бөлек, әлдекімдердің қан және несеп талдаулары, емделушінің аты-жөні, тұрғылықты мекен­жайы да көрсетілген.


Компания осылайша дерек­тердің желіге жүктелгенін жоққа шығарды. Әйтсе де, «Киберша­буылдарды зерттеу және талдау орталығы» мамандары бұған бейжай қарауға болмайтынын айтып отыр. «Бұл жағдайға мем­лекет араласып, елдегі барлық ақпараттық жүйеге аудит жа­салуы тиіс. Цифрлық даму, инно­вациялар және аэроғарыш өнеркәсібі министрі Асқар Жұ­мағалиев жеке бақылауына ала­ды деп сенеміз. Кінәлілер жа­за­сын алуы керек. Осылайша, ха­лық та мәселенің жүйелі шеші­мін табар еді» дейді мамандар.

Осыдан соң, министр бұған тіл қатты. Айтуынша, алдағы уақытта желідегі деректерді қорғау шаралары қатаңдатылады. «Бүгін желіден азаматтардың жеке деректерін интернетте тарату туралы ақпаратты көрдім. Өте маңызды мәселе. Дереккөзі мен тарату себептерін анықтауды тапсырдым. Құқық қорғау ор­гандары қазіргі уақытта бұл мәселемен айналысып жатыр. Технологиялардың дамуына бай­ланысты, жеке деректерге қол жеткізуді қорғау – бүгінде бүкіл әлемдік қоғамдастық ал­дында тұрған өте өткір мәселенің бірі. Сіздер коммерциялық немесе мемлекеттік ақпараттық жүйелерді бұзуға қатысты бір­қатар оқиғаларды естіген бо­ларсыздар. Сол себепті, дербес деректерді қорғау бойынша комитетімізге Еуропадағы Data Protection Agency-ге ұқсас функ­цияларды беру туралы бастама көтерген болатынбыз. Бұл функ­ция азаматтардың жеке де­рек­терін өңдеумен айналысатын ақпараттық жүйелердің иелеріне тексеру жүргізуге құқық береді. Сонымен бірге, жеке деректерді қорғауда тиісті шаралар қол­данбағаны үшін жүктелетін жауапкершілікті қатайту керек. Мұндай шаралар қазір әлем бойынша қабылданып жатыр» деді ол әлеуметтік желідегі жеке парақшасында.

Жеке мәліметтерді қалай қор­ғаймыз деген сауалды маман­дарға жолдадық. «Киберша­буылдарды зерттеу және талдау орталығының» директоры Ар­ман Әбдірасылов бірнеше кеңес айта кетті. «Толықтай қауіпсіз жүйе болмайды. Осыны ұғуымыз керек. Жүйелерді бұзып, ондағы ақпаратқа қол жеткізу оп-оңай болуы мүмкін. Немесе керісінше, кейбіріне шабуыл жасау үшін өте көп күш, қаражат пен уақыт қажет. Бұл жердегі маңызды нәрсе – қауіпсіздікті қамтамасыз етуге кететін шығын қорғалатын активтің өз бағасы­нан аспайды. Осындай қара­пайым тезистерді басшылыққа ала отырып, бірнеше шарттарды шығара аламыз. Егер мұны еске­ретін болса, қауіпсіздігін қамта­ма­сыз етіп, шабуылдардың 90 пайызының алдын алуға болады. Ең алдымен, лицен­зия­сы бар бағдарламалық жасақтама қолданып, оны үнемі жаңартып тұрыңыз. Екіншіден, ақпараттар мен мәліметтерді алу үшін тексе­рілген әрі сенімді дереккөздерді ғана қолдану қажет. Шабуыл жасаудың бүгінде тараған ең қолжетімді, арзан әрі тиімді тәсілі – әлеуметтік инженерия мен фишингтік сілтемелер. Үл­кен көлемді деректердің желіге шығып кеткен жағдайы бір айда екі рет анықталды. Мұндай жағ­дай бұрын да болған, соңғысы да емес деп ойлаймын. Елімізде жүйелік қате бар. Қарқынды түрде дамып жатқан цифрлан­дырудың әсерінен деректердің айналымына қатаң бақылау жа­салмай жатыр. Осы механизмді жолға қоймасақ, әртүрлі жүйе­лерде осындай олқылықтар кете береді», – дейді А.Әбдірасылов.

Былтыр Нұр-Сұлтанда өткен IoT форумында Цифрлық даму, қорғаныс және аэроғарыш өнер­кәсібі министрлігінің Ақпарат­тық қауіпсіздік комитеті төра­ғасының орынбасары Руслан Әбдіқалықов республика аз­а­маттарының жеке мәліметтерін қорғауға жауап беретін мемле­кеттік орган құру керек деп айтып қалған еді. «Осы бағытта бірыңғай саясат жүргізу үшін қандай орган керек деп сауал тастап, жеке мәліметтерді қорғау мәселесін көтеруге тырысқан едік. Қазіргі таңда елдегі заңдарға көз салсақ, мәліметтерді өңдеу процесіне жауапты кім болса, сол ғана жауап береді. Мысалы білім саласындағы деректерге Білім және ғылым министрлігі жауапты. Сол сияқты басқа мә­селе туындаса, басқасына жүк­теледі. Мұның соңы ақырында ешкімнің ештеңеге жауапты болмауына әкеліп соғады. Осы мәселені ескере отырып, өзге мем­лекеттік органдармен бірле­сіп, шешуіміз қажет» деген еді.

Жеке мәліметтерді қорғауға бүкіл әлем мүдделі. Мысалы Еуроодақ GDPR регламентін қабылдады. Регламент Еуро­палық одақтың бүкіл тұл­ға­сының деректерін қорғау үшін қолға алынған. Ол үшін азамат­тар бірінші кезекте өз мәлімет­терін өздері бақылауға алуы тиіс. GDPR бойынша, мәліметті жи­нап отырған да, өңдеп отырған тарап та жауапты. Деректі жина­ған адам оның мақсатын, ма­ңы­зын анықтайды. Өңдеуші болса, қызметін мінсіз атқаруы міндет­теледі. Осылайша, қос тарап та нормаларды ескеруі шарт. Заң бұзылған жағдайда, 20 000 000 еу­ро айыппұл салынады. Немесе компанияның өткен жылғы қаржы жағдайына байланысты жылдық әлемдік айналымының 4 пайызын төлеуі тиіс. Осындай қатал шара бізге де қажет сияқ­ты. Өйткені көрінгеннің бәрі құ­пия ақпараттарға оңайлықпен қол жеткізе берсе, ертеңіміз не болады?