интервью

«Борьба с симптомами»: Олжас Сатиев о причинах бесконечных утечек персональных данных

Жанна Аксентий

5 min read
«Борьба с симптомами»: Олжас Сатиев о причинах бесконечных утечек персональных данных

Личные данные казахстанцев — в открытом доступе. Почему боты работают быстрее, чем регуляторы, и что с этим делать?

Несмотря на заявления о борьбе с утечками и киберугрозами, персональные данные миллионов казахстанцев по-прежнему доступны в интернете. Телеграм-боты, построенные на базе скомпрометированных баз, предлагают "пробить" любого за пару секунд. Как устроен этот теневой рынок? Почему блокировка одного бота порождает десятки новых? И почему формальная аттестация не защищает государственные системы?

На эти вопросы отвечает президент TSARKA Group ­– Олжас Сатиев. Он рассказывает, как реально устроен рынок утечек, какие риски несут граждане, и почему подход к безопасности в Казахстане нужно менять — с "реактивного" на системный.

Почему, несмотря на регулярные утечки данных, до сих пор миллионы записей казахстанцев находятся в открытом доступе?

Основная проблема в том, что, если где-то произошла утечка персональных данных — и не только персональных — эта информация начинает распространяться в интернете: её продают на форумах, публикуют в закрытых телеграм-каналах и так далее.

Да, такие ресурсы блокируют, но, как известно, всё, что попадает в интернет — там и остаётся. Эти данные продолжают циркулировать, переходя «из рук в руки». Из них формируют так называемые «дампы» или «банчи», целые подборки вроде Dataleaks, в которые собираются все утечки по конкретным странам.

Иногда такие утечки объединяются в один большой архив, где по каждому человеку может быть собрана информация из разных источников: ИИН, номер телефона, адрес, паспортные данные и т. д. Такие базы часто продаются в даркнете или через анонимные каналы.

Покупателями этих данных становятся, в первую очередь, кибермошенники, которые используют их для обмана граждан. Также данные могут закупать хакерские группировки и даже государственные структуры других стран — в зависимости от целей. Поэтому каждая утечка несёт серьёзные риски — как для отдельных граждан, так и для национальной безопасности в целом.

Как устроены Telegram-боты, которые позволяют получать персональные данные казахстанцев? Насколько легко их создать и распространять?

Что касается Telegram-ботов, построенных на базе утечек, их работа устроена довольно просто, но при этом эффективно. Владельцы этих баз собирают у себя на серверах разрозненные утечки данных — из разных источников, стран, годов — и аккумулируют их в одном массиве. Далее они создают Telegram-ботов, через которых любой пользователь может «пробить» другого человека: узнать его ИИН, номер телефона, адрес, место работы, паспортные данные и прочее — за небольшую плату.

Когда таких ботов начали активно блокировать, администраторы популярных сервисов, например, «Глаз Бога», пошли другим путём: они реализовали реферальную программу. Теперь любой пользователь может получить доступ к API этой базы и создать своего собственного Telegram-бота на её основе. По сути, это франшиза на чёрный рынок данных.

Результат — буквально сотни клонов, которые ежедневно появляются и зарабатывают на продаже доступа к чужой персональной информации. При этом основной владелец — тот же «Глаз Бога» или аналогичный ресурс — продолжает получать доход с каждой транзакции.

И здесь возникает классическая история борьбы с ветряными мельницами.

Правоохранительные органы могут направлять запросы, блокировать отдельные каналы — но спустя 10–15 минут появляется новый бот, с теми же функциями и интерфейсом. Технически и юридически это очень сложная задача: не остановить сам источник данных, а весь рассеивающийся «экослед», который он порождает. Поэтому проблема продолжается, и решать её нужно уже на более системном уровне — включая международное сотрудничество и технологические инструменты для проактивной фильтрации.

Какие риски несёт широкая доступность чувствительных персональных данных для самих граждан?

Во-первых, это уже само по себе неприятно — осознавать, что практически любой человек может получить доступ к вашей личной информации. И если фамилию или ИИН ещё можно считать условно безопасными, то утечки гораздо более чувствительных данных — таких как адрес проживания, уровень дохода, наличие недвижимости, пенсионные отчисления или медицинская информация — представляют серьёзную угрозу.

Это не просто вторжение в личное пространство, а потенциальный инструмент для злоупотреблений. Такие данные могут быть использованы мошенниками — для атак, социальной инженерии, вымогательства или оформления незаконных сделок от имени гражданина.

Особо тревожно, если в такие утечки вовлечены данные, к которым имеют доступ сотрудники госорганов. Поэтому крайне важно, чтобы государство не только защищало информацию, но и чётко отслеживало, кто и зачем получает к ней доступ, особенно внутри самих ведомств.

Да, государству мы по умолчанию доверяем — и именно поэтому надеемся, что этот базовый уровень конфиденциальности и цифровой безопасности будет обеспечен. Государство должно исключить несанкционированный доступ, установить прозрачный аудит и ужесточить ответственность за утечку персональных данных.

Есть ли в Казахстане теневой рынок персональных данных? И как он устроен?

Да, такой рынок существует. И речь не только об утечках данных — проблема гораздо глубже. В некоторых случаях персональные данные казахстанцев можно получить через уязвимости в государственных информационных системах. Достаточно отправить специальный запрос — и в ответ можно получить ФИО, ИИН, адрес проживания и другие чувствительные сведения. Эти данные порой доступны в реальном времени.

Обычно владельцы таких ботов аккумулируют утечки из разных источников у себя на серверах. Затем либо запускают собственные Telegram-боты, либо создают API — и уже по партнёрской схеме сотни других каналов строят на этом бизнес. Один из самых известных примеров — "Глаз Бога". После блокировок он внедрил реферальную систему: любой пользователь может создать клон-бот и зарабатывать на этом. Поэтому, даже если один бот блокируют, на его месте тут же появляется несколько новых.

Во-первых, людям это просто неприятно — осознание, что любой может "пробить" ваши данные. Во-вторых, речь идёт не о поверхностной информации вроде имени и номера телефона. В некоторых случаях доступны адрес, ИИН, данные о зарплате, недвижимости, пенсионных отчислениях, медицинские данные. Это крайне чувствительная информация. И риски здесь высокие: от мошенничества до дискриминации.

Государственные органы реагируют — боты блокируются, направляются запросы в Telegram, принимаются меры. Но это скорее борьба с последствиями. Пока остаются уязвимости в системах, проблема будет воспроизводиться. Часто меры принимаются после утечки или атаки. А нужно менять подход: безопасность должна закладываться уже на стадии проектирования архитектуры сервиса, на уровне бизнес-процессов. Без системного пересмотра принципов кибербезопасности — это борьба с ветряными мельницами.

Почему утечки могут происходить не из госбаз напрямую, а через подключённые системы?

Сейчас очень много частных и квазигосударственных компаний, а также банков и других организаций интегрированы с государственными сервисами через платформу Smart Bridge и другие интерфейсы. То есть речь идёт не только о прямом доступе к eGov или другим государственным ИС. Атака может быть направлена на одну из информационных систем, у которой есть легальный доступ к данным — и это станет точкой утечки.

Да, формально такие системы проходят аттестацию в ГТС. Но часто всё заканчивается именно на формальной проверке. После прохождения аттестации система может сменить хостинг, обновиться, поменять разработчиков или код — а процесс повторной оценки не предусмотрен. Получается, защита актуальна только на момент аудита.

Какие шаги вы бы предложили для создания по-настоящему защищённой системы хранения и обработки персональных данных в РК?

Нам нужен процесс continuous security — непрерывного контроля безопасности интегрированных систем. И не просто стандарт "один раз прошли — и свободны", а постоянный мониторинг, аудит, возможно, автоматические тесты уязвимостей.

Кроме того, стоит пересмотреть систему ответственности. Сейчас за утечку данных из интегрированной частной ИС чаще всего никто всерьёз не отвечает. Мы предлагаем усилить регуляторные меры: если, например, взломали медицинский сервис или финансовую платформу, имеющую доступ к персональным данным через Smart Bridge, компания должна нести чёткую и жёсткую ответственность — административную и, возможно, финансовую.

Это вопрос не только кибербезопасности, но и доверия граждан к цифровым госуслугам. Если данные можно вытащить "через соседний сервис", доверие теряется ко всей системе.

Возможна ли централизованная система мониторинга и блокировки таких сервисов? И кто должен за неё отвечать?

Да, централизованная система блокировок может временно затормозить действия мошенников. Но по факту — это борьба с симптомами, а не с причиной. Даже если какой-то бот заблокирован, данные всё равно остаются в открытом или полуоткрытом доступе.

Они доступны не только в Telegram. Это могут быть TOR-сайты, закрытые форумы, теневые каналы и платформы, доступ к которым можно получить через VPN или специализированные инструменты. Та же утечка просто мигрирует в другую среду — и всё начинается заново.

Нужно исходить из того, что все данные, которые когда-либо утекли, уже стали частью глобального цифрового теневого рынка. Они доступны, они циркулируют. А значит, основная задача — не только блокировать интерфейсы доступа, но и предотвратить утечки в будущем.

Блокировки Telegram-ботов — это как пластырь на открытую рану. Без пересмотра архитектуры защиты, усиления ответственности за сохранность данных и внедрения принципов безопасности «по умолчанию» ситуация будет повторяться снова и снова.