Полный гид по защите персональных данных в цифровую эпоху

Каждый день мы оставляем цифровые следы: логинимся в приложения, делаем покупки, пользуемся картами, регистрируемся на сайтах. Эти данные ценны не только для бизнеса — они ценны и для преступников. Компрометация персональных данных в Казахстане стала системной проблемой: утечки происходят регулярно, а граждане зачастую узнают об этом слишком поздно.

Что считается персональными данными по закону Казахстана

Закон РК «О персональных данных и их защите» относит к персональным данным любую информацию, относящуюся к конкретному человеку или позволяющую его идентифицировать. Это не только имя и ИИН — это значительно шире:

• Базовые идентификаторы: ФИО, дата рождения, ИИН, серия и номер документа, адрес.
• Контактные данные: телефон, e-mail, аккаунты в соцсетях.
• Финансовые данные: номера карт, банковские счета, история транзакций.
• Биометрия: фотографии лица, отпечатки пальцев, сканирование радужки.
• Геолокационные данные: история перемещений, домашний и рабочий адреса.
• Цифровые идентификаторы: IP-адрес, куки-файлы, MAC-адрес устройства.

Почему данные ценны для преступников

Полный набор персональных данных казахстанца (ФИО + ИИН + фото документа + телефон) позволяет преступникам:

• Оформить кредит или займ в МФО с удалённой идентификацией.
• Выпустить ЭЦП на ваше имя и совершать юридически значимые действия.
• Провести SIM-своппинг и получить доступ ко всем вашим аккаунтам.
• Создать убедительный «легенду» для целевых атак на ваших близких.

«На чёрных рынках даркнета комплект данных казахстанца с фото документа и биометрией стоит от $10 до $50. При этом один успешный кредит на чужое имя может принести мошенникам миллионы тенге.» — обобщённые данные кибербезопасностных компаний.

Как данные утекают: типичные каналы

Взломы баз данных организаций

Магазины, медицинские клиники, государственные порталы, банки — любая организация, хранящая ваши данные, является потенциальной мишенью. В Казахстане в период 2019–2024 годов фиксировались крупные инциденты в сфере телекоммуникаций, ретейла и государственных информационных систем (конкретные компании в рамках данной статьи не называем, однако информация о ряде инцидентов публично задокументирована).

Фишинговые сайты и письма

Поддельные страницы банков, интернет-магазинов или государственных сервисов собирают данные карт и логины. Подробнее о методах распознавания — в статье фишинговые сайты: как распознать.

Утечки через сотрудников

Внутренние угрозы — один из самых распространённых каналов. Нелояльный сотрудник банка, клиники или магазина может продать базу данных клиентов за небольшое вознаграждение.

Ненадёжные мобильные приложения

Приложения, запрашивающие избыточные разрешения (доступ к контактам, фото, SMS, микрофону) и не имеющие чёткой политики конфиденциальности, могут передавать ваши данные третьим сторонам.

10 практических шагов по защите данных

1. Используйте уникальные надёжные пароли. Минимум 12 символов, смесь букв, цифр и спецсимволов. Никогда не используйте один пароль для разных сервисов.
2. Подключите менеджер паролей (Bitwarden, 1Password, KeePass). Это практически бесплатно и радикально повышает безопасность.
3. Включите двухфакторную аутентификацию (2FA) везде, где это возможно — особенно на электронной почте, банковских приложениях и соцсетях. Подробнее — в статье двухфакторная аутентификация.
4. Используйте отдельный e-mail для регистраций. Основной адрес — только для важных коммуникаций. Временные адреса (Temp Mail) — для разовых регистраций.
5. Проверяйте разрешения приложений на смартфоне. Навигационному приложению не нужен доступ к контактам. Фонарику — к микрофону.
6. Включите шифрование на устройствах. Современные iOS и Android шифруют данные по умолчанию при включённом PIN-коде.
7. Используйте VPN в публичных сетях Wi-Fi. Открытые сети — излюбленное место для перехвата трафика.
8. Регулярно обновляйте ПО. 80% успешных взломов используют уязвимости в устаревшем программном обеспечении.
9. Минимизируйте предоставляемые данные. Не заполняйте необязательные поля в формах. Если сервис требует ИИН без явной необходимости — задайте вопрос, зачем это нужно.
10. Проверяйте, были ли ваши данные скомпрометированы. Сервис haveibeenpwned.com позволяет проверить, попал ли ваш e-mail в известные утечки. Для казахстанских баз — следите за сообщениями CERT.kz.

Ваши права по закону о персональных данных

Как подать жалобу при нарушении прав

Если организация нарушила ваши права в сфере защиты персональных данных — обратитесь в МЦРИАП РК, которое является уполномоченным органом по защите персональных данных в Казахстане. Жалобу можно подать через eGov.kz или непосредственно в ведомство.

Что делать при утечке ваших данных

Если вы узнали, что ваши данные попали в руки злоумышленников, действуйте без промедления: смените пароли на всех важных сервисах, включите 2FA, заблокируйте ЭЦП при необходимости и проверьте кредитную историю. Подробный чек-лист — в статье утечка данных: что делать.

Цифровая безопасность — это не паранойя, а гигиена. Как мы чистим зубы каждый день, так и проверять свои настройки безопасности стоит регулярно. Чем раньше вы примете меры — тем меньше шансов у мошенников воспользоваться вашими данными.