Жаңалықтар | Новости

ҚҰПИЯ ДЕРЕКТЕРДІҢ ҚОЛДЫ БОЛУЫНА КІМ ЖАУАПТЫ?

Алаяқтардың алуан түрлі қитұрқылығына құқық қорғау органдары құрық сала алмай келеді. Керісінше, айласын асырып, ізін жасырған қаскөйлер қарапайым халықтың қалтасын қағып жатыр. Соған орай сарапшылар құпия болуы тиіс жеке деректер қолды болмау үшін қауіпсіздік жүйесін күн сайын жаңарту керек десе, жауапты мекемелер кез келген күмәнді хатты міндетті түрде сүзгіден өткізуге кеңес қылады. Алматы облысында интернет-алаяқтық былтырмен салыстырғанда 89 пайызға артып, биылдың өзінде 1193 дерек тіркелген. Күні кеше облыс сақшылары 71 адамның атына микрокредит рәсімдеген қылмыстық топты құрықтады.

Алматы облыстық ПД Баспасөз қызметінің мәліметінше, банк өкілі осы жылдың қаңтар-наурыз айларында өтініш берушінің қатысуынсыз интернет-алаяқтық жолмен, жалпы сомасы 2 470 000 теңгеге микрокредит алған алаяқтың үстінен арыз берген. Полицейлер Жаркент қаласында Hi-Tech жедел алдын алу іс-шарасы кезінде 21 және 38 жастағы жергілікті тұрғындардың қолына кісен салды. Нұр-Сұлтан қаласында да банк жүйесіне қатысты киберқылмыс өршіп тұр. Өткен жылы 203 оқиға, биыл төрт айдың өзінде 140 дерек тіркелген. Санның өзі елордалықтардың сеніміне оңай кіретін қаскөйлер банк жүйесінің бұғаттаулы құпиясын жиі қолды ететінін көрсетеді. Жуырда Есіл ауданының полицейлері жүзден астам адамның атына несие алған Аната Әбділдина есімді әйелдің ісін қараған. Ол ОЛХ-та түрлі жиһаздарды сату туралы хабарландыруда көрсетілген нөмірге хабарласып, тауарды сатып алуға бірден келіседі. Артынша сатушылардан ақша қаражатын аудару үшін 20 таңбалы шот пен ЖСН нөмірін сұрайды. Қолды еткен анкеталық деректерді онлайн қарыз алуға ресімдеп, айласын асырған соң сатушыға жіберген соманы түрлі сылтаулармен кері қайтаруды талап етеді. Алты баланың анасы Анатаға жеке деректерін ойланбастан жіберіп, опық жегендер бұдан да көп болуы мүмкін. Өйткені, оның үстінен арызданушылар әлі шығып жатыр.

Қауіпсіздік қызметінде кемшілік көп
Кибершабуылдарды зерттеу және талдау орталығының дерегіне сүйенсек, банктер өз веб ресурсының қауіпсіздігін жақсарту бойынша ең кең таралған және қарапайым ғана кеңестің өзін құлаққа ілмейді екен. Осыған дейін айтылған қауіпсіздік проблемалары кейбір сайттарда әлі де бар. Он өлшем бойынша жүргізілген талдау банктердің қауіпсіздік жүйесін қорғау күн сайын жаңартылу керектігін көрсеткен. Information leak, яғни ақпараттың тарауы бойынша 13 банктің қызметкері корпоративтік e-mail мекенжайларын түрлі сервистерде тіркелу үшін пайдалана алатынын аңғартқан. Электрондық пошта трафигінің 90%-дан астамында спам, фишинг, зиянды
бағдарламалар және басқа да электрондық қауіп бар. Тексеру кезінде веб-ресурстың пошта серверіне мұқият болмаған осындай 11 банк қызыл аймаққа кіріпті. Кибершабуылдарды зерттеу және талдау орталығының директоры Олжас Сәтиев банк секторы қырағы болмаса, алаяқтарға қарсы тұру қиын дейді. «Қазақстандық банктердің 88%-нда вебосалдық бар, 23%-нда SSL/TLS баптаулары тексеруден өтпеген. Сегіз банкте ашық порттар болды, бұл зиянкестердің ішкі ақпараттық ресурстарға заңсыз қол жеткізуіне және бақылауына әкелуі мүмкін», – дейді орталық басшысы.
Сондай-ақ, Сәтиев жүзге жуық хакердің басын қосқан қылмыстық топ арасында жаңа технологияның тілін меңгергендер көп екенін айтады. Мұндай топтарда банк инфрақұрылымына ену үшін банк қызметкерлерін іздеумен уайналысатын белгілі бір адамдар бар. Сол үшін қызметкерлерді ақпараттық қауіпсіздік бойынша қайта даярлықтан өткізу маңызды. «Киберқауіпсіздік – үздіксіз процесс. Бұзылмайтын жүйе жоқ. Хакерлер кез келген жүйені бұза алады. Пентагон жүйесін, Хиллари Клинтон мен Дмитрий Медведевтің шоттарын бұзған хакерлерге ескі қауіпсіздік жүйесін бұзу қиын емес. Банк жүйесін бұзған жағдайда барлық қызметкерлерге құпия сөздерді өзгерту туралы хабарлап, дерекқорды шифрлау қажет. Хакерлер – шығармашылық адамдар. Олар бүгін интернет-дүкеніңізге шабуыл жасаса және ол сәтсіз болса, ертең басқа айла-тәсілге көшеді. Сырттай қауіпсіздік жүйесін бұза алмаған бір ұйымды бір шоқ гүлмен-ақ алдап соғуға болатынын аңғардық. Ұйым қызметкерлерінің біріне үлкен раушан гүлін жіберген. Букеттің ішіне флэш-диск бар конверт болған. Қуанышы қойнына сыймаған қызметкер күмәнді букетті ішке кіргізді», – дейді орталық директоры.
Былтыр Comparitech компаниясының киберқауіпсіздік бойынша әлемнің 76 еліне жасаған талдауында еліміз 26-орынға жайғасқан. Kaspersky Lab компаниясының Орталық Азия, Қазақстан мен Моңғолиядағы басқарушы директоры Евгений Питолиннің айтуынша, еліміздің банк секторы үшін DDoS-шабуылдармен өңірлік кеңселер мен филиалдарға жасалған кибершабуылдардан келетін қауіп көп. Ал банк клиенттері үшін төнетін қатердің ішін дегі ең өзектісі – интернет-банкинг.
Сбербанк басқарма төрағасының орынбасары Станислав Кузнецов Ресейде банк ішінде телефон-алаяқтықпен күресу бағдарламасы қабылданғалы түрмелерден қоңырау соғып, алаяқтықпен айналысатындар саны күрт төмендеген. Банк өкілі алдымен антифрод-платформаны жетілдірудің маңыздылығын атап, жасанды интеллект алгоритмдері негізінде құрылған бағдарлама алаяқтар
қоңырау шалған кезде мобильді қосымша арқылы ескерту жасайтынын айтады. Банк жүйесіндегі киберқылмыстың жолын кесу үшін ақпарат алмасудың жаңа экожүйесін құру маңызды екенін айтқан Станислав Кузнецов «Құқық қорғау органдары мен мемлекеттік компанияларда ақпарат алмасудың бірыңғай платформасы жоқ» дейді. Оның үстіне, бүгінде алаяқтардың несие немесе басқа қаржы өнімдерін рәсімдеу үшін клиенттердің дауыстарын пайдаланудың көптеген жағдайы тіркелген. «Алаяқтар банк клиенттеріне қоңырау шалып, бір буынды «иә» немесе «жоқ» деген жауап алу үшін сұрақ қояды. Қажетті жауаптарды алғаннан кейін биометриялық деректерді қолдана отырып, несие алады», – дейді банк өкілі.

Фишинг және вишинг
Күн сайын қалта телефонымызға ұтыс ойындарынан бағымызды жандырып, қымбат сыйлықтан құралақан қалмауға шақыратын хабарлама келетіні тағы бар. Сондай сілтеменің соңы сан соқтырмау үшін Қаржы нарығын реттеу және дамыту агенттігі бірнеше кеңес ұсынады. Күмән тудыратын сайттарды ашуға, сілтеме бойынша өтуге немесе орындалатын файлдарды іске қосуға
мүлдем болмайды екен. Қазақстанда қаржылық алаяқтықтың кең тараған түрі – фишинг пен вишинг. Қаскөйлердің мақсаты – ақша алу болса, фишинг – жеке деректерді, азаматтардың шоттары туралы ақпаратты алу немесе оларға әртүрлі құралдар арқылы қол жеткізу. Ол үшін алаяқтар фишингтік сайттарды, e-mail арқылы жіберілетін хабарламаларды, қалқыма терезелерді, таргеттік жарнамаларды, мессенджерлердегі хабарламаларды пайдаланады. Адамдардың дені өздеріне таныс емес сілтемелерге өту немесе олар бойынша бағдарламалық қамтамасыз етуді орнату кезінде қауіпке ұшырайды. Мұндай бағдарламалар компьютер мен ұялы телефондағы әмиянға 100% зиян тигізеді. Фишингтік сайттармен күресу үшін интернет пен оны пайдалану қағидаларын, ақпаратты қорғау әдістерін білу қажет. Түсінікті тілмен айтсақ, қызықтырған сайттың мекенжайы http:// деп емес, https:// деп басталуы тиіс. Бұдан басқа, банктік немесе өзге қаржы операцияларын жүзеге асыру кезінде wi-fi-дың ашық қолжетімді нүктелерін қолданбаған жөн. Төлқұжат пен аударым деректерін, әсіресе, аударудың құпия кодын ешкім білмеу керек. Алаяқтықтың тағы бір түрі – вишинг. Бұл банк клиенттерінің құпия ақпаратын ұрлау мақсатында жасалатын телефон алаяқтығы. Қаскөйлер шоттарға қол жеткізу немесе кредит ресімдеу үшін дауыстық биометрия жүйесін қолданады. Мұндай жағдайда ең дұрысы – әңгімені тез аяқтап, ақпаратты нақтылау үшін қызмет көрсететін банкке қоңырау шалу керек. Сондай-ақ, банктің ең жақын бөлімшесіне барып, шоттарыңызға алаяқтық шабуыл жасау әрекеті болғандығы туралы өтініш жазған абзал. Алаяқ қажетті дерекке қол жеткізсе, қарызға белшеден батырып кетеді. Өйткені, олар қолда бар дерек арқылы тауарлар мен қызметтерді сатып алуға, шот ашу, ақша аудару немесе кредит алуға өтінішті оңай бере алады. Сондықтан сақтық шарасына мұқият болу маңызды. «Компьютердің және мобильдік құрылғылардың вирусқа қарсы қорғаныс, күрделі құрама парольдер секілді қауіпсіздік функцияларын пайдаланған жөн. Жеке және банктік деректерді түрлі
форум мен әлеуметтік желілерде жария етуге болмайды. Бейтаныс адамдармен телефонда төлем карточкасы туралы тілдесуден аулақ болып, күдікті мекенжайлардан түскен хаттарды ашуға, күмәнді сілтемелерді бөліспеген дұрыс. Онлайн-сатып алу үшін жеке карта ашып, кірген сайттың интернет-дүкенге тиесілі екеніне, оның мекенжайына мән беру керек. Одан кейін өз төлем карталарыңызға SMS-хабарлама қызметін қосып, төлем картаңыздағы 3D-Secure функциясын ешқашан ажыратпауға тырысыңыз. ПИН-кодты карточкамен бірге сақтауға, жария етуге болмайды. Банк картасын кафе мен мейрамхана қызметкерінің қолына ұстату дұрыс емес. Тіпті, туыстардың өзіне төлем карточкасын ұстату қауіпті», – дейді Қаржы нарығын реттеу және дамыту агенттігінің мамандары.
Агенттіктің дерегінше, МҚҰ-ға қатысты былтыр 77,9 млн теңгеге жалған микрокредит ресімдеген 956 оқиға анықталған. Оның 96%-на адамдардың сенгіштігі себеп болыпты. Соған орай агенттік микрокредитте алаяқтық орын алмау үшін тиісті қадағалау шарасын қабылдаған. Бұл ақпаннан бастап агенттік МҚҰ-ға қатысты электрондық цифрлық қолтаңбаның көмегімен биометриялық идентификаттаусыз не электрондық тәсілмен микрокредиттер беруді тоқтатты. Екінші, зардап шеккен азаматтарды қорғау үшін МҚҰ алаяқтық тәсілмен алынған микрокредит бойынша сыйақы мен айыпақы есептеу тоқтатылып, кредиттік бюроға кредиттік тарихты түзетуге тапсырылды. Үшінші, онлайн-қарыз беруді жүзеге асыратын барлық МҚҰға клиентті нақты тексеруді, деректерін өтінімде берілген дерекпен салыстырып тексеруді, клиенттің нақты биометриялық дерегінің жеке басын куәландыратын құжатта көрсетілген дерекке сәйкес болуын қамтамасыз етуді тапсырған.
Микрокредитке қатысты алаяқтыққа жол бермеу үшін агенттік онлайн микрокредиттер беру кезінде қарыз алушыларды идентификаттаудың жаңа тәртібін енгізген. Енді онлайн микрокредит алу үшін қарыз алушыны тек идентификаттау электрондық-цифрлық қолтаңба арқылы не Ұлттық
банктің ҚБЕО РМҚК СДАО сервисін пайдалана отырып, қарыз алушының биометриялық өлшемдеріне сәйкестігі немесе нақты уақыт режимінде қарыз алушының жеке деректері мен бейнесін екі факторлы тексеру арқылы жүзеге асыру қадағаланады. Бұдан бөлек, МҚҰ ақпаратқа заңсыз қол жеткізу, заңсыз өзгерту, үшінші тұлға тарапынан заңсыз іс-әрекеттерді жүзеге асыру анықталса, екі жұмыс күнінде осындай іс-әрекеттердің себеп-салдарын жою үшін нақты шара қабылдауға міндетті.

Салғырттық сан соқтырады
Кибершабуылдарды зерттеу және талдау орталығының киберқауіпсіздік бойынша сарапшысы Иван Филько алаяқтар деректерді тек тікелей банктен алмайтынын алға тартады. Құнды мәліметті қаскөйлер кез келген орын мен қажет көзден іздейді. «Мысалы, микрокредиттік ұйымдарға несие алу үшін өтініш бергенде жеке куәлік, карточкаларының нөмірін береді. Дәл сол микрокредиттік ұйымдар көп жағдайда қауіпсіздік мәселесіне бас ауырта бермейді. Қызметкерлер жұмысқа тұратын кезде жұмыс берушіге өздерінің құжат, дерегін береді. Яғни, жеке құжат деректері қолжетімді болады. Қазір қызметін ұсынатын жердің көпшілігінде адамдардың жеке бас құжаты, ЖСН нөмірі талап етіледі. Бұл жерде жұмыс беруші қызметкерлер дерегіне мұқият болмайды. Интернет сайттарға кіргенде, құпия мәліметін қалдыратындардың қарасы көп. Алаяқтардың жеке мәліметтерге қол жеткізе алатын әдіс-тәсілдерінде шек жоқ. Бүгін есікті бекітсең, ертең терезеден кіреді», – дейді сарапшы маман. Банк жүйесіндегі алаяқтықтың артуына қауіпсіздіктен бұрын халықтың жеке құжатқа салғырттығы себеп. «Банк өкілі болып есепшоттағы ақшаларды сыпырып
кеткен жағдайлардың барлығында адамдар бар жиған-тергенін өз қолдарымен берген. Бұл жерде адамдар жеке куәлігінің көшірмесін (банк қызметінің жазығы жоқ) кез келген жерде жасата береді немесе қоқысқа тастай салады. Студенттер де құжатының фотосын кураторларына телефон арқылы жібереді. Бірақ, банк жүйесіне қатысты қылмыстардың өршуіне банкті кінәлау үрдіске айналған. Шын мәнінде, адамдардың 99 пайызы қадағалаудың төмендігінен опық жейді. Қоңырау соққан адам есепшотта қанша ақша жатқанын білмейді. Олар адамның іші-бауырына кіріп, тұзаққа
түсіреді. Немесе психологиялық шабуыл жасайды. Сөйтіп адамдар байқаусызда барлық мәліметті беріп қояды. Қазір әлеуметтік желіде азаматтардың бүкіл өмірі жарияланады. Жүрген-тұрғаны, ішіп-жегені, жеке куәлік ауыстырып, жүргізу куәлігін алғаны, тіпті шетелге саяхатқа шығып бара
жатқанын фотоға түсіріп салып қояды. Оны көрген алаяқтар «Каспий банктен хабарласып тұрмын, Түркияға бару үшін есепшотыңыздан ақша аударыпсыз. Енді қауіпсіздік үшін деректеріңізді тексеріп алу керек» деп сұрайды. «Шынымен Түркияға бару үшін ақша алған едім» деген азаматтар, барлығын өзі айтып береді», – дейді Иван Филько.
Өзге адамның атынан кредит алатындар елдің сенгіштігін жақсы пайдаланып жүр. Осындай жағдайда банк жүйесінің қауіпсіздігі мың жерден мықты болғанымен, адамдардың аңғалдығынан
алаяқтар оңай олжаға қарық болады. «Сізге келген нөмірді ешкімге ешқашан айтуға болмайды» деп тайға таңба басқандай жазылған банк ескертпесін елемейтіндердің қатары көп. Оған ойланбай онлайн-сауда жасап, опық жейтіндерді қосыңыз. «Алаяқтар басқа адамның атынан уақытша төлем карточкасын аштырып, ақша аударымын жасағаннан кейін қайта жаптырып тастайды. Көп
жағдайда мұндай карточка үйсіз-күйсіз жүрген, шалғайдағы ауылда тұратын шаруаның атына ашылады. Қаскөйлер көбінесе көше кезіп жүрген адамдардың атын пайдаланады. Банк бұл жағдайда ештеңе істей алмайды. Себебі, заң бойынша олар кез келген азаматтың атына карточка ашуға міндетті», – дейді Иван Филько.

Елнұр БЕЙСЕНБАЕВ, Мәжіліс депутаты:
– Біреудің атына несие рәсімдеу мәселесін бір емес, бірнеше рет көтерген болатынбыз. Өйткені, қабылдауға келген 10 адамның төртеуі осындай жағдайға тап болғандар. Бір жылдың ішінде интернет-алаяқтық жеті мыңға өскен. Төлем карточкасын смс код арқылы аштыра салуға түбегейлі қарсымын. Техникалық заттар сататын дүкендерде сауда жасап, жеке деректерін қолды қылған арызданушылар көп. Техника алғыңыз келді, банк үстінен 100 мың теңге артық төлем жасататын жолды ұсынады. Келесі банкке жүгінесіз. Алғашқы банктің қызметкерлері сол жерде-ақ алаяқтармен бөлісіп, өтініш берушімен жазылған бейне-фото, жеке деректерді несие алуға пайдаланған. Жыл сайын банктің қауіпсіздік жүйесіне қыруар қаржы бөлінеді. Бірақ, мәселе түбегейлі шешілген жоқ. Сондықтан банк жүйесіндегі мәселені шешу үшін реттеуші орган әлі де жұмыс жасау керек. Біздің ұсынысымыз 90 пайыз қолданысқа енгізіліп жатыр. Оның өзі көңілге медет.
Жадыра МҮСІЛІМ

Комментарий (1)

  1. Рауза

    Материал өте сауатты түсінікті тілде жазылыпты

Комментарий