Объединение юридических лиц "Центр анализа и расследования кибератак" обнаружило уязвимость у электронного правительства РК egov.kz. По данным Центра, в открытый доступ попали конфиденциальные данные граждан Казахстана. Поисковые системы Google и Bing проиндексировали справки об имуществе, участниках компаний, об обременениях на имущество и ряд других документов. Как объясняют в Центре анализа, их можно было спокойно скачать и использовать в своих целях.  

"Когда вы запрашиваете и скачиваете с egov какую-либо справку, формируется ссылка http://egov.kz/shepDownloadPdf?favorId=(уникальный номер документа)/&iin=(номер ИИН). Если вы эту ссылку отправите другому человеку, он тоже сможет без проблем скачать ваш документ. Проблема в том, что если где-то эти ссылки начинают публиковаться, Google начинает всё индексировать. У egov.kz не было запрета на это. Постепенно количество документов увеличилось", – рассказывает президент Центра анализа и расследования кибератак Олжас Сатиев.

Отметим, что спустя 10 часов после обращения Сатиева, уязвимость была устранена. Теперь Google выдаёт ошибку, но документы остаются сохранёнными в кэше поисковика. 



Адвокат Ерлан Кемешев рассказывает, что в Уголовном кодексе РК есть целая глава, посвящённая нарушениям в этой сфере. Казахстанцы, чьи персональные данные утекли в сеть, при желании могут обратиться с соответствующим заявлением в МВД РК или КНБ РК.

"Нарушены права на тайну персональных данных казахстанцев, потому что они могут передаваться только с разрешения гражданина в соответствии с Законом РК "О персональных данных". Но вопрос о том какова ответственность, тонкий, требует проверки. Здесь однозначно говорить, кто и какие нарушения допустил, без проверки нельзя. Граждане могут обратиться в КНБ и МВД. Это их подследственность. Есть в УК РК глава 7 – "Уголовные правонарушения в сфере информатизации и связи". Это всё новое. Они требуют апробации, судебной и следственной практики", – объясняет Кемешев.

По словам Кемешева, даже без обращения граждан, правоохранительные органы уже могут самостоятельно начать досудебное расследование, поскольку в СМИ уже прошла информация об утечке персональных данных граждан. Кемешев не знает, будут ли правоохранительные органы проводить проверку. Но адвокат рекомендует казахстанцам и организациям самостоятельно обращаться в МВД и КНБ, тогда их заявления будут зарегистрированы, и эти органы должны будут начать уголовное производство.

"Начиная со статьи 205 до 213 в Уголовном кодексе есть целый перечень статей, и, если гражданин подаёт соответствующие обращения в КНБ или МВД, они начнут проводить проверку. Соответственно, либо будет отказное производство, либо найдут виновных. Но сейчас, без проведения проверки говорить о том, что электронное правительство допустило серьёзное нарушение, нельзя. Я могу только констатировать, что произошёл какой-то сбой в работе, где-то нарушено взаимодействие, где-то нарушен Закон РК "О персональных данных", но это нужно проверять", – говорит Кемешев.

Кроме этого, адвокат рассказывает, что в Кодексе об административных правонарушениях РК есть статья – "Нарушение законодательства Республики Казахстан о персональных данных и их защите", которая предусматривает ответственность за незаконный сбор, обработку персональных данных и соблюдение собственником, оператором или третьим лицом, мер по защите персональных данных.

"Особенность этой статьи в том, что производство по ней начинает прокуратура, и дело рассматривается судом. Гражданин также может обратиться в прокуратуру и прямо указать, что просит провести проверку на предмет наличия признаков правонарушения, предусмотренных статьёй 79 КоАП РК. В свою очередь, прокуратура должна провести проверку и дать гражданину ответ", ­– поясняет адвокат.

Кемешев подчёркивает, что в Казахстане не было судебной практики в рассмотрении подобных дел. 

В пресс-службе Генеральной прокуратуры РК не смогли сказать, будут ли проводить досудебное расследование по фактам утечки персональных данных казахстанцев. Редакция informburo.kz обратилась к ним с соответствующим официальным запросом. 

Оператор egоv.kz –  АО "Национальные информационные технологии" пообещал прокомментировать ситуацию позже.

Напомним, в феврале специалисты Центра анализа и расследования кибератак обнаружили вредоносный скрипт на сайте Министерства иностранных дел РК. 

Если вы нашли ошибку в тексте, выделите ее мышью и нажмите Ctrl+Enter