Утечки данных в Казахстане: от инцидента к социальному явлению

За громкими заголовками об утечках данных стоят не только хакеры. Причины кроются в архитектуре систем, управлении доступами и привычках пользователей.

В 2025 году в Казахстане было зафиксировано более 40 крупных инцидентов информационной безопасности, связанных с компрометацией данных. Масштаб проблемы тогда констатировал премьер-министр Олжас Бектенов, комментируя утечку персональных данных 16 миллионов казахстанцев. По его словам, информация могла оказаться в открытом доступе в результате утечек из медицинских организаций. По факту правоохранительные органы возбудили уголовное дело.

Среди других резонансных случаев — задержание в июне этого же года группы из 140 человек, подозреваемых в незаконной торговле персональными данными, а также компрометация в марте 2024 года более двух миллионов записей клиентов одной из микрофинансовых организаций.

Проблема не ограничивается Казахстаном. К примеру, в начале февраля 2026 года в Узбекистане распространились сообщения о компрометации данных не менее 15 миллионов граждан: утверждалось, что информация попала в Dark Web из государственных информационных систем. В декабре 2025 года в открытом доступе также оказались данные национальной системы видеонаблюдения за дорожным движением. Инциденты информационной безопасности все отчетливее приобретают региональный характер.

Если подобное происходит в инфраструктуре, которая должна быть эталоном дисциплины и контроля, речь идет не только о халатности и не только о действиях хакеров. Утечка постепенно превращается из разового ЧП в социальное явление — новую норму риска, которая меняет отношение людей к государству, бизнесу и собственным цифровым привычкам.

В киберреальности есть неприятная истина: безопасность на этапе приемки и безопасность в процессе эксплуатации — это разные вселенные. В Государственная техническая служба КНБ РК подготовили кибердайджест, в котором описывается типичный системный разрыв: объект информатизации допускается к эксплуатации после испытаний, однако его дальнейшее развитие остается «на усмотрение собственника». Как отмечается в документе, отсутствие контроля за изменениями после ввода в эксплуатацию приводит к появлению уязвимостей и несанкционированному доступу к данным.

Именно так утечка перестает быть аномалией и становится ожидаемым исходом. Добавляется новая интеграция, подрядчику выдается временный доступ, включается «удобный» административный интерфейс — и у системы появляется очередной шов, по которому она со временем рвется. В кибердайджесте ГТС отмечается, что в 2025 году совокупный объем скомпрометированной информации исчислялся десятками миллионов строк.

В такой логике утечка перестает быть редким происшествием и становится устойчивым контекстом, в котором вынуждены существовать и государство, и бизнес, и граждане.

С юридической точки зрения определение персональных данных в Казахстане сформулировано достаточно строго. Елжан Кабышев, партнер юридической фирмы и эксперт в области цифрового права, поясняет, что согласно Закону РК «О персональных данных и их защите», персональные данные — это сведения, относящиеся к определенному или определяемому субъекту, зафиксированные на электронном, бумажном или ином материальном носителе.

Однако ключевой провал происходит на бытовом уровне. Люди по-прежнему интуитивно делят информацию на «важную» и «неважную», не учитывая, насколько легко отдельные фрагменты данных могут «склеиваться» в единый цифровой профиль.

Эксперт подчеркивает, что пользователи систематически недооценивают тот факт, что практически любая информация может быть отнесена к персональным данным — даже если сами они этого не осознают.

«Поэтому любые данные, которые находятся у вас или которые вы генерируете, следует адекватно защищать. Безобидная на первый взгляд фотография в социальной сети может содержать метаданные или детали интерьера, по которым при желании несложно установить точный домашний адрес человека, его уровень достатка и распорядок дня — о чем сам пользователь зачастую не задумывается при публикации», — объясняет Кабышев.

Отдельной казахстанской спецификой остается связка «ИИН + номер телефона». Елжан Кабышев отмечает, что именно она стала критической уязвимостью из-за законодательно закрепленной деанонимизации абонентов и архитектуры цифровых сервисов в стране.

«После введения обязательной регистрации абонентских устройств (IMEI) и их привязки к ИИН номер телефона перестал быть просто средством связи. Он трансформировался в основной цифровой идентификатор личности. В базе данных идентификационных кодов жестко связаны три элемента: устройство, SIM-карта и юридическая личность гражданина», — говорит эксперт.

По его словам, для мошенников эта связка фактически является «универсальным ключом», поскольку современная инфраструктура банковских и государственных сервисов, включая eGov, строится на доверии к владению номером телефона. Во многих случаях он выступает вторым, а иногда и единственным фактором аутентификации.

Далее в игру вступает поведенческий фактор. Эксперт отмечает, что даже при использовании биометрической идентификации именно связка «ИИН + телефон» позволяет злоумышленникам инициировать процесс авторизации или восстановления доступа.

«Завладев вниманием жертвы через телефонный звонок, мошенники с помощью социальной инженерии вынуждают человека самостоятельно пройти биометрию, превращая защитный механизм в инструмент легализации атаки. Фактически контроль над номером телефона при известном ИИН дает преступнику возможность управлять цифровой личностью гражданина руками самой жертвы», — предупреждает Кабышев.

В кибердайджесте ГТС приводится показательный кейс: в одной телеком-компании результат сканирования лица кэшировался на 15 минут, и в этот временной промежуток можно было зарегистрировать новый номер с использованием данных другого пользователя. Как отмечается в документе, злоумышленники нашли эту лазейку и оформляли номера на чужие ИИН.

Когда риск становится постоянным, общество адаптируется — не всегда рационально, но вполне предсказуемо. Социолог Айсулу Алиева выделяет три типовые реакции людей на цифровые угрозы.

«Одни воспринимают осторожность как новую форму грамотности и начинают относиться к номеру телефона как к ключу, разделяя сценарии его использования. Другие устают и цинично констатируют: “все уже утекло”, используя это как оправдание бездействия. И лишь немногие идут глубже — оценивают сервисы через призму контроля доступа, прозрачности инцидентов и готовности уведомлять пострадавших. Сегодня утечка воспринимается не как авария, а как погода: плохая, тревожная, но уже привычная», — отмечает социолог.

Разговор о цифровой гигиене легко сводится к банальностям, однако существуют меры, способные изменить ситуацию на системном уровне. Елжан Кабышев выделяет две инициативы с наибольшим эффектом в краткосрочной перспективе.

Первая — обязательное логирование всех действий с данными.

«Любой сотрудник, имеющий доступ к базе данных, должен оставлять цифровой след при каждом входе и просмотре информации. Это позволяет сохранять непрерывную цепочку действий и точно устанавливать ответственность в случае утечки», — поясняет эксперт.

Вторая мера — независимый аудит.

«Мы проводим аудит организаций на соответствие законодательству о персональных данных, выявляем риски и помогаем выстроить процессы так, чтобы компании могли работать без нарушения закона. Это превентивный механизм, позволяющий закрыть уязвимости до инцидента», — добавляет Кабышев.

На уровне граждан логика проще: цель не в том, чтобы стать «неуязвимым», а в том, чтобы сделать атаку дороже и сократить потенциальный ущерб. Это означает меньше универсальных цифровых ключей в обороте, больше внимания к подтверждениям действий и осторожность там, где мошенники рассчитывают на автоматизм.

Утечки персональных данных уже невозможно рассматривать исключительно как техническую проблему. Это вопрос доверия и общественного договора в условиях цифрового государства. Если утечка стала фоном, следующий шаг — вернуть ей статус исключения. Для этого недостаточно реактивных наказаний «после». Необходимы управляемые доступы, неизменяемые журналы действий, независимый аудит и честная коммуникация с гражданами о рисках и последствиях — а параллельно формирование новой бытовой нормы цифровой осторожности: без паники, но и без наивности.