Kazakistanlıların kişisel verilerini kim, kime satıyor ve neden sızıntılar durmuyor

Kazakistan, Ulusal Güvenlik Komitesi'nden sonra kişisel verilerin güvenliği hakkında tekrar konuşmaya başladı, yasadışı bir şekilde toplanan ve vatandaşlar hakkında bilgi satan bir grubun faaliyetlerine ilişkin rapor verdi. Soruşturmaya göre, bilgi internet üzerinden dağıtıldı ve alıcılar arasında mikrofinans ve koleksiyon organizasyonlarının temsilcileri de olabilir Operasyon, Mart ayında Astana ve Almaty'de savcının ofisindeki koordinasyonla gerçekleşti. Aramalar sırasında güvenlik güçleri bilgisayar ekipmanlarını, elektronik medyayı, büyük miktarda nakit ve diğer fiziksel kanıtları ele geçirdi. Soruşturma, kişisel verilerle ilgili mevzuatın ihlali ile ilgili birkaç makale altında yürütülür, kötü niyetli programların bilgi ve dağıtımını yasadışı satın alır Bu durumda bir kez daha sorunu anımsattı, ki cumhuriyet uzun zamandır izole suç vakalarının ötesine geçti. Kazakistan'ın kişisel verileri düzenli olarak sızıntılar, gölge ciroları ve bir baskı aracı haline gelir - intrusive dolandırıcılık girişimleri ve kredi işleme konuları Bugün vatandaşların dijital izleri ne ölçüde korunuyor, sızıntılarından kim sorumlu ve bir kişi zaten yanlış ellerde olsaydı ne yapmalı? Bunu Yelzhan Kabyshev ile konuştuk, bir siber avukat, Dijital Rigths Center Qazaqstan'da Veri Gizlilik Başkanı, kişisel veri pazarının nasıl çalıştığını ve dijital gizliliğinizi korumak mümkün olup olmadığını açıkladık Yelzhan, tam olarak ne oldu? Bir veri ihlali, bir satış veya iç sızıntı mı? Kazakistan Ulusal Güvenlik Komitesi'nin resmi Telgraf kanalında ortaya çıkan bilgilere göre, KNB yetkilileri yasadışı bir şekilde Kazakistan vatandaşının kişisel verilerini toplamak ve yaymaktan şüpheli bir suç grubu tanımladı. Alıcılar mikrofinans ve koleksiyon organizasyonlarının temsilcileriydi ve bir dizi birey olarak Yasal bir bakış açısından, bu karmaşık bir yasadışı eylemdir: yasadışı koleksiyon, depolama ve kişisel verilerin daha sonraki ticari satışı. Pre-trial soruşturma, Kazakistan Cumhuriyeti'nin Ceza Yasası'nın ("Kişisel verilerle ilgili mahremiyet ve mevzuatın kaldırılması"), Kazakistan Cumhuriyeti'nin Ceza Kanunu'nun 208 Bu aktivitedeki kişilerin doğrudan Kazakistan topraklarında olduğu dikkat çekicidir - Almaty ve Astana'da. Bu, siber suç için birtiptir: bir kural olarak, bu tür planlar tam olarak suçlu yargılanma amacı için başka devletlerin topraklarından uygulanır. Bu gerçek, ya bir uygulama faaliyeti eksikliğini veya suçluların kendilerini güvende hissettiğini gösterir, ki bu da alarm vericidir Nitelikler olarak - sızıntı, satış veya iç drenaj - konuşmak için belirsiz bir erken. Her şey soruşturmanın sonuçlarına bağlı olacaktır: verilerin kaynağının kurulması ve onları elde etme yöntemi. Veriler hükümet veya şirket altyapısından erişim yoluyla alınırsa, iç sızıntıdır. hack veya diğer teknik yöntemlerle elde edilirse, yasadışı erişim unsurlarıyla sızdırılır. Her durumda, verilerin ticari uygulanması bağımsız ve kompozisyonun en sosyal tehlikeli öğesidir Kim sorumlu olacak? Buradaki sorumluluk çok seviyelidir. Suçlu savcılık açısından – doğrudan 147, 208 ve Kazakistan Cumhuriyeti'nin Ceza Kanunu'nun altında suçlanan suçlu kişiler. Ancak, bu sadece bir seviyedir Paralel olarak, veri alıcılarının sorumluluğu hakkında konuşmak gerekir - mikrofinans ve koleksiyon organizasyonlarının temsilcileri. Yasadışı olarak elde edilen kişisel verilerin elde edilmesi, 21 Mayıs 2013 No. 94-V.'nin Kazakistan Cumhuriyeti Yasasının ihlalidir. Verilerin herhangi bir koleksiyonu ve işlenmesi yalnızca meşru amaçlar için ve verilerin konusunun onayına izin verilir veya bu Kanun'un 8. maddesinde sağlanan başka bir yasal temel varsa Kişisel verilerin korunması alanında denetim organı, Kazakistan Cumhuriyeti Bilgi Güvenliği Komitesi'nin bir parçası olarak Kişisel Veri Koruma Ofisidir. Bu vücut şikayetlerle uğraşmak ve uygulamalar, planlanan ve açıklanmamış denetimler, idari paraların yanı sıra, Kazakistan Cumhuriyeti Yönetim Kurulu'nun 79. maddesine uygun olarak Kazakistan Cumhuriyeti'nin 7 Son olarak, bir sızıntı kamu bilgi sistemlerinden kaynaklanmışsa, sorumluluk konusu da ilgili altyapıyı korumaktan sorumlu yetkililere uygulanmalıdır Bu tür vakalar neden tekrarlanır - sorun zayıf yasalardır ya da uygulanmazlar? Sorun yasanın kendisi değildir. Hukuk "Kişisel veriler ve onların korunması" 2013 suçlu hukuk kuralları var - araçlar var. Sorun Hukuk Uygulamalı ve Gizlilik Kültürü Öncekileri hatırlamak için acele edin: geçen yaz Kazakistan'ın yaklaşık on altı milyon vatandaşı açık erişim aldı - Telegram'da özgürce dağıtıldı. Bu veritabanını kendimiz bulduk, ona baktık ve kendi verilerini bulduk. Talep üzerine, kanal kaldırıldı, ancak resmi yanıt “obsolete data” hakkında bir açıklamaya indirgendi. Bu, kabul etmek zor olan bir pozisyon: bireysel kimlik numarası kanun tarafından değişmez, bir kural olarak, değişiklik yapmaz ve telefon numarası bankacılık uygulamaları aracılığıyla kolayca doğrulanır. Veritabanı 2024'te doğan çocuklar hakkında bilgi içeriyor - "obsolete information" hakkında konuşabilir miyiz? Başka bir açıklayıcı durum, "Aiki Lists" durumunda kimlik kartları için kullanılan yüksek çözünürlüklü fotoğraflarla belgenin sızıntısıdır. Bu verilere erişim yalnızca devlet yetkilileri için mevcuttur. Ancak, bu malzemeler halka açık olarak mevcuttu Kazakistan Cumhuriyeti Ceza Yasası'nın 147. maddesi altında yargı uygulamaları inceledim: neredeyse hiçbir cümle yok. Bu sadece potansiyel violatörler için değil, aynı zamanda bir bütün olarak topluma da bir sinyaldir. Suçlu normun yurtta kaldığı sürece, kişisel verilerle ilgili yasaya uymaya yetecek kadar teşvik yoktur. Consistent ve kamu hukuku uygulama gereklidir - ancak o zaman gerçek bir önleyici etki hakkında konuşabiliriz Sıradan bir insan için ne kadar tehlikeli? Tehlike gerçek ve çok boyutlu. Kişisel veriler kişilik bir tür dijital oyuncudur ve sızıntıları geniş bir dizi insan için risk yaratır Acil tehditler arasında: dolandırıcılık programları (telefon aramaları, sosyal mühendislik), sapçılar tarafından taciz, güç kötüye kullanılması, koleksiyon yapılarından yetkisiz finansal bilgilere dayalı baskı Temel tanımlayıcıların kendileri – adı, IIN, telefon numarası, adresi – zararsız görünebilir. Ancak araç, kredi yükümlülükleri, akrabaları, sağlık durumu hakkında bilgi gibi ek bilgilerle birlikte, yüksek çözünürlükli bir dolandırıcılık aracı haline geldiler. Kurbanın “profesyonel”ını daha tam olarak, başarılı bir aldatmaca olasılığı daha yüksektir Veri satıcılarının aynı ülkede açıkça davrandığı önemlidir. Bu, sibercriminaller arasında bir haksızlık hissinın oluştuğuna işaret eder - ve bu bir alarm belirtisidir Sahtekarlar bir kimlik, telefon numarası ve adresi ile ne yapabilir? Kendileriyle, IIN, telefon numarası ve adresi bir temeldir, ancak yüksek kaliteli dolandırıcılık için yeterli bir koşul değildir. Deneyimli bir dolandırıcılık bu seriyi genişletmek isteyecektir: kredi yükü, mülk, teslimat, akrabaları, sağlık durumu hakkında bilgi ekleyin Temel bir setle saldırganlar şunlar olabilir: Böyle bir programla ilk karşılaşan eğitimli bir kişi için, doğru kişisel verilerin varlığı güvenin güçlü bir psikolojik etkisi yaratır. Bu ana hedef: sistemi kesmek değil, bir kişiyi hacklemek Verilerim zaten sızdırılmışsa, ne yapabilirim? Suçlu cezalandırılabilir veya telafi edilebilir mi? İlk adım ölçek değerlendirmektir. Açık araçları kullanın: Google'daki kendi adınıza, uzlaşmak için hizmetler, örneğin Pwned ve analoglar gibi. Apple'ın ve Google'ın yerleşik şifre yöneticileri de hesaplarınızın uzlaşmaya başladığını bildiriyor. Verilerinizi kamusal alanda bulursanız, kayıt edin (bugün ve zaman ile ekran çekimler) ve parolaları değiştirin, iki faktör doğrulama etkinleştirin İkinci adım yasal bir yanıt. Hangi organizasyonun sızdırdığı veya şüpheli olduğunu biliyorsanız, Kişisel Veriler ve Kanun'un 24. Maddesinde adresine bir istek gönderme hakkına sahipsiniz Korunması": Verilerinizin hangi kategorilerde, hangi temelde, hangi amaçlarla, kime aktarıldığı ve bunlara erişim prosedürünün nasıl işlendiğine ilişkin bilgi talebi. Kuruluş gerekçeli bir yanıt vermekle yükümlüdür Yanıt alınmazsa veya yetersizse bir sonraki adım, inceleme yapılması talebiyle MIIC'in Bilgi Güvenliği Komitesiyle iletişime geçmektir. Yetkili makam idari soruşturma başlatabilir ve para cezası verebilir Zararın tazminine gelince, Kazakistan mevzuatında hukuk davaları çerçevesinde kişisel verilerin sızması nedeniyle oluşan zararın tazmini için bir mekanizma bulunmaktadır, ancak bu gibi durumlarda uygulama asgari düzeydedir Proaktif olarak: Dijital ayak izinizi en aza indirin. Kayıtlar için tek kullanımlık e-posta adreslerini kullanın. Takma adlar oluşturan, haklı olduğu durumlarda VPN kullanan ve yalnızca belirli bir hizmet için nesnel olarak gerekli olan verileri sağlayan Temp Mail, iCloud+ veya analogları gibi hizmetler vardır Metinde bir hata bulursanız, bunu fareyle vurgulayın ve Ctrl+Enter tuşlarına basın Akıllı telefonunuzdaki metinde bir hata bulursanız, onu vurgulayın ve "Hata bildir" düğmesine tıklayın