Қашықтан жұмыс жасаушылармен компания қауіпсіздігі: тәуекелдер мен шешімдер
Қашықтан жұмыстың қауіпсіздік мәселелері
COVID-19 пандемиясынан кейін қашықтан жұмыс Қазақстанда тұрақты форматқа айналды. Бүгінде қаржылық секторда жұмыс жасайтындардың 35-40%-ы толық немесе жартылай қашықтан режимде жұмыс жасайды. Бұл бизнеске икемділік береді, бірақ корпоративтік кибербезопасность тәуекелдерін күрт арттырады.
ҚРҚНРДА 2025 жылғы нормативтік актісінде қаржылық ұйымдарға қашықтан жұмыс жасайтын қызметкерлер үшін арнайы кибербезопасность саясатын белгілеу міндеттелді. Талаптарды орындамаған жағдайда айыппұл санкциялары қолданылады.
«Қашықтан жұмыс жасайтын қызметкерлерге байланысты кибертоқтаулар 2023 жылы корпоративтік деректер бұзушылықтарының 82%-ын құрады» — IBM Security, X-Force Threat Intelligence Index 2024.
Негізгі тәуекелдер
Ішкі қауіп (Insider Threat)
Ішкі қауіп — ұйым ішіндегі адамның (қызметкер, серіктес, бұрынғы қызметкер) деректерді қасақана немесе абайсыздан ашуы немесе зақымдауы. Қашықтан жұмыс бұл тәуекелді арттырады:
- Үй ортасында бақылаудың азаюы — мониторинг жүйелерін айналып өту оңайлайды
- Қашықтан кіру журналдарын дұрыс тексермеу
- Наразы қызметкердің клиент деректер базасын жүктеп алуы
- Ваучерлер мен куәліктерді бөлісу («досыма сұрап алды»)
BYOD (Жеке құрылғыны жұмысқа пайдалану) тәуекелдері
BYOD (Bring Your Own Device) — қызметкер өз жеке компьютерін, телефонын немесе планшетін корпоративтік мақсатқа пайдалану. Тәуекелдері:
- Жеке құрылғыда корпоративтік антивирус пен MDM жүйесі жоқ
- Жеке браузерде сақталған куәліктер корпоративтік деректермен қатар өмір сүреді
- Отбасы мүшелері де сол құрылғыны пайдаланады
- Жаңарту саясаты ұйымның IT-бөлімінің бақылауында емес
- Жеке қолданбалар жұмыс деректерімен бірге жұмыс жасайды
Үй желісі арқылы деректер ағуы
- Қауіпсіз қорғалмаған WiFi роутерлер — шабуылдаушылар трафикті ұстай алады
- Ескі роутер прошивкасы — белгілі осалдықтар жамалмаған
- «Ортасында тұратын адам» (Man-in-the-Middle) шабуылы үй желісінде мүмкін
- Ортақ WiFi желілері (кафе, кітапхана) арқылы жұмыс — өте жоғары тәуекел
VPN саясаты және талаптары
Дұрыс конфигурацияланған VPN (Виртуальды жеке желі) қашықтан жұмыстың негізгі қорғаныс элементі болып табылады:
VPN конфигурациясына қойылатын талаптар
- Корпоративтік VPN: Жеке VPN-сервистерді (NordVPN, ExpressVPN) корпоративтік мақсатқа пайдалануға тыйым салу
- Split tunneling: Барлық трафик VPN арқылы өтуі тиіс — тек корпоративтік трафик емес
- MFA + VPN: VPN-ге кіру үшін екі факторлы аутентификация міндетті
- Сессия мерзімі: Белсенді емес сессиялар автоматты түрде жабылады (15–30 минут)
- Жур нал жазу: Барлық VPN сессиялары тіркеліп, аномалия анықтау жүйесімен бақыланады
VPN-нің шектеулері
VPN қауіпсіздіктің бірден-бір шешімі емес:
- VPN куәліктері ұрланса — шабуылдаушы корпоративтік желіге толық кіреді
- Ендігі нүктенің (endpoint) өзі зақымданса — VPN пайдасыз
- Ішкі зиянды тұлға VPN-ден де деректерді ұрлай алады
Қашықтан қызметкерді жалдау кезіндегі жеке тұлғаны верификациялау
Қашықтан жалдау кезінде алаяқтық тәуекелі де жоғары — жалған резюме, жалған сертификаттар, тіпті жалған жеке тұлға:
- Бет-бетпе видео-сұхбат: Deepfake технологиясын ескеріп, видео-сұхбатта нақты тапсырмалар орындатыңыз
- Ресми құжаттарды тексеріңіз: ЖСН, жеке куәлік — egov.kz арқылы верификациялаңыз
- Алдыңғы жұмыс беруші тексеруі: Автоматты жүйе бойынша емес, тікелей байланысыңыз
- Нотариалды куәландырылған сенімхат: Қашықтан жұмыстың бастапқы кезеңінде жоғары құзыретті операциялар үшін
- Пробациялық кезеңде рұқсаттарды шектеу: Нақты рөлге дейін минималды деректерге ғана кіру
Қаржылық компаниялар үшін қауіпсіздік саясатының ұсынымдары
ҚРҚНРДА талаптарына сай болу үшін қашықтан жұмыс саясатыңызда мынадай элементтер болуы тиіс:
Техникалық шаралар
- EDR (Endpoint Detection and Response) — барлық корпоративтік және BYOD құрылғыларда
- DLP (Data Loss Prevention) жүйесі — деректердің рұқсатсыз шығуын тоқтату
- SIEM — оқиғалар журналдарын орталықтандырып талдау
- Zero Trust Architecture — «ешкімге сенбе, бәрін тексер» принципі
- PAM (Privileged Access Management) — артықшылықты рұқсаттарды бақылау
Ұйымдастырушылық шаралар
- Тоқсан сайынғы кибербезопасность оқытулары (фишинг симуляциясы)
- Анық жазылған BYOD саясаты және оны қол қойдырып растату
- Жұмыстан шыққан қызметкерлердің рұқсаттарын дереу жою процедурасы
- Оқиғаларды хабарлау мәдениетін қалыптастыру — «хабарлаған жазаланбайды»
Жеке деректерді корпоративтік ортада қорғау туралы толығырақ жеке деректер ағуы мақаласынан оқи аласыз.
Тексеру бақылау тізімі
| Аймақ | Орындалды | Жауапты тұлға |
|---|---|---|
| Барлық қашықтан қызметкерлер VPN пайдаланады | Иә / Жоқ | IT бөлімі |
| MFA барлық жүйелерде белсендірілген | Иә / Жоқ | IT бөлімі |
| BYOD саясаты қол қойылған | Иә / Жоқ | HR + Заң |
| Соңғы 12 айда оқыту өткізілген | Иә / Жоқ | Қауіпсіздік топтары |
| DLP жүйесі орнатылған | Иә / Жоқ | IT бөлімі |
| Оқиға жоспары бар және тексерілген | Иә / Жоқ | CISO / Директор |
Қорытынды
Қашықтан жұмыс форматы Қазақстан бизнесінде тұрақты болып отырса да, оның кибертәуекелдері жете бағаланбауда. Қаржылық ұйымдар ҚРҚНРДА талаптарына сай болу үшін Zero Trust принципін, EDR/DLP жүйелерін және жүйелі оқытуды ендіруі тиіс. Компанияңыздың қашықтан жұмыс қауіпсіздік саясатын аудит жасату үшін бізбен байланысыңыз — тегін алдын ала бағалау ұсынамыз.
Столкнулись с блокировкой по антифроду?
Если ваша карта или счёт заблокированы, оставьте заявку — мы поможем разобраться.
Оставить заявкуПохожие статьи
Телефондық алаяқтық Қазақстанда: схемалар және қорғану жолдары
28 августа 2024 г.
Жеке деректер ағуы: не болады және не істеу керек
5 февраля 2024 г.
Шетелдік интернет-дүкендерден тауар алудағы алаяқтық: қалай қорғануға болады
6 мая 2026 г.
Жалған салық хабарламалары: алаяқтар ҚМД-ны қалай еліктейді
5 мая 2026 г.