Алан Байтенов
За последние десять дней в Казахстане произошли две масштабные утечки персональных данных. 4 июля стало известно, что в Сеть попала личная информация 11 миллионов граждан Казахстана. Это практически все совершеннолетнее, дееспособное население страны. А чуть позже, 9 июля, в Сеть утекли персональные данные пациентов из информационной системы Damumed.
Каждый из этих случаев уполномоченные лица представляют как нечто рядовое и совершенно неопасное для казахстанцев. Следовательно, вроде как возникают сомнения в необходимости наказывать тех, чья прямая обязанность - сохранность этих данных. При этом разговор по отдельным случаям постепенно переходит в другую плоскость - теперь ищут того, кто полез за этими документами, чтобы применить к ним положения Административного и Уголовного кодексов за несанкционированный доступ. А госорганы по возможности вывести из-под удара

Персональные данные 11 миллионов казахстанцев закон оценил в сумму чуть большую чем 50 тысяч тенге - такова ответственность за утечку в случае, если она произошла по вине должностного лица. Это согласно положениям статьи 641 Административного кодекса РК, на которую ссылаются чиновники. Но об этом подробнее чуть ниже.
Центр анализа и расследования кибератак (ЦАРКА) - первая частная казахстанская организация реагирования на компьютерные инциденты. Собственно, этот центр и распространил информацию о самой масштабной утечке персональных данных казахстанцев за последнее время. Представьте - “цифровые портреты” 11 миллионов граждан находились в открытом доступе неизвестное количество времени. Причем информация настолько детализирована, что содержала в себе помимо ИИН номера документов, удостоверяющих личность, и адрес проживания. Это из попавшего в открытый доступ - совершенно нет никаких гарантий, что в широком доступе не могла оказаться информация об уровне доходов, собственности и даже наличии счетов соотечественников.

База оказалась еще и достаточно свежей - в ходе исследования удалось выяснить, что ей не более полугода. Конечно же, после того, как отреагировали официальные органы, в частности представители Министерства цифрового развития, оборонной и аэрокосмической промышленности, доступ, сообщает ЦАРКА, закрыли. Однако поисковые системы успели сделать копии - “интернет помнит все”.
Главный вопрос: откуда “потекло”? К сожалению, установить пока что не удалось - ведется следствие. Но то, что со стороны государственной организации, - сомнений нет.
“Есть подозрения, что виноваты должностные лица. Когда установим госорган, из которого произвели выемку данных, соответственно, по этим двум частям 641-й статьи КОАП РК (“Нарушение законодательства Республики Казахстан об информатизации”. - “НП”) будет применено наказание к должностным лицам”, - отметил Руслан Абдикаликов, заместитель председателя комитета по информационной безопасности. Получается, что должностные лица если и виновны в утечке, то получат наказание в соответствии с упомянутой статьей (пункт 1, подпункт 1 “Неосуществление или ненадлежащее осуществление собственником или владельцем информационных систем, содержащих персональные данные, мер по их защите”) - штраф 15 МРП (1 МРП - 2525 тенге), или 37 875 тенге за опубликование данных 11 миллионов казахстанцев. К сведению, максимум, который возможен в рамках этой статьи для “должностного лица” (в случае первого раза за год), - это штраф до 20 МРП, или 50 500 тенге. При этом по каким-то причинам официальные лица не упоминают о статье 79 Административного кодекса “Нарушение законодательства Республики Казахстан о персональных данных и их защите”, а в частности, о пункте 3 “Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных...”, согласно которому должностное лицо могут наказать штрафом до 100 МРП, то есть 252 500 тенге. Впрочем, и этот чуть повышенный штраф существенно ситуацию не меняет.
Руслан Абдикаликов считает, что все же есть вероятность, по которой госслужащие могут оказаться ни при чем - тогда госорган переквалифицируют в потерпевшего. А того, кто заполучил эту информацию и выложил в Сеть, начнут преследовать по нормам Уголовного кодекса за несанкционированный доступ. Конечно же, виновного еще предстоит найти - четкое время, естественно, никто не задает. Зато нам рассказывают о максимальных сроках по статьям 205 “Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций” и 208 “Неправомерное завладение информацией” УК РК. По ним максимальное наказание: до двух лет и от трех до семи лет лишения свободы соответственно. Статьи выглядят как своеобразный оберег, который вроде как позволяет и не защищать наши данные...
В то же время Владимир Божко, заместитель председателя мажилиса парламента РК, проблемы особой в этой утечке не видит: “Я не вижу в этом большой угрозы, хотя определенные сложности есть, связанные с тем, чтобы это не посягало на финансовые интересы наших граждан”. Известно, что эти данные для определенного круга лиц имеют высокую ценность - по крайней мере, гораздо большую, чем 50 и даже 250 тысяч тенге. И благо если ими воспользуются бизнесмены, что попытаются нам что-то “впарить” по телефону... Впрочем, нас продолжают успокаивать - жалобы от казахстанцев не поступали.
Отдельная история с утечкой из медицинской информационной системы Damumed. Буквально через пару дней, после того как рассказали об “утекших” 11 миллионах, сообщение ЦАРКА вновь встряхнуло информационное поле. Организация, сославшись на анонимный источник, рассказала о том, что в открытый доступ попали медицинские данные “сотен тысяч пациентов”. Позже представители центра информационных данных “Даму” подтвердили утечку. Однако, по словам Натальи Киль, руководителя компании: “На текущий момент по результатам анализа логов системы подтверждено, что так называемая утечка данных ограничилась скачиванием 12 результатов, семь из которых были опубликованы в Facebook”. Сколько бы ни было по факту, но достаточно утечки и по одному человеку - информация о здоровье человека является строжайшей тайной. Ведь не зря есть такое понятие как “врачебная тайна”. И она охраняется законом, который предусматривает максимальное наказание до четырех лет лишения свободы. Минздрав сообщает, что сейчас оцифрованы данные 17,3 миллиона человек, или более 93 процентов всего населения страны.
Сейчас, по словам Аскара Жумагалиева, министра цифрового развития, оборонной и аэрокосмической промышленности, ведется следствие, которое и установит точное количество упущенной информации, а также определит ущерб от утечки и виновных в произошедшем. “НП” продолжит следить за развитием ситуации.

P.S. Данные текут всегда и в любой из стран мира. Однако это, как правило, служит поводом для многомиллионных штрафов или отставок ответственных за их сохранность чинов. Так, буквально на днях Управление комиссара по информации Великобритании (ICO) объявило о решении оштрафовать авиакомпанию British Airways на 183 миллиона фунтов стерлингов (около 230 миллионов долларов). По мнению организации, был нарушен Общий регламент ЕС о защите данных (GDPR). Это привело к масштабной утечке - говорят, стала доступна личная закрытая информация “всего” по 380 тысячам человек.