«ПООЩРЯЕТ УТЕЧКУ БАЗЫ ДАННЫХ»
Лот опубликован на портале закупок холдинга «Самрук-Казына» 11 марта. Заявки потенциальных поставщиков будут приниматься до 24 марта. После подписания договора победителю будут предоставлены номера по меньшей мере 1650 абонентов «Казахтелекома».
Заместитель директора Высшей школы права Университета КАЗГЮУ имени М. С. Нарикбаева Дана Мухамеджанова объясняет, что номерами телефонов могут воспользоваться третьи лица.
— Утечка может повлиять на личные карточные счета пользователей, оформления микрокредитных организаций. Вероятность утечки данных влияет на суть прав человека, потому как данные субъекта могут использоваться в мошеннических целях, вымогательских, людей могут по номерам телефонов без согласия присоединять к разным группам. Сейчас, как мы знаем, абонентские номера часто получают рассылки без своего на то согласия. В последующем будет очень тяжело рассказать, как вы оказались в той или иной группе и кто вас туда добавил.
По некоторым данным, базы данных телефонов могут продаваться, приводится и цена — от 50 до 100 тенге за контакт.
С учетом этой информации странной выглядит другая часть требований, о которых говорится в выложенном национальным оператором документе. Поставщик должен будет обзвонить абонентов не только компании «Казахтелеком», но и ее конкурентов: клиентов «КаР-Тел» (Beeline) — 500 человек, «Транстелеком» — 300 человек, KazTransCom — 300 человек и «Алма Телекоммуникейшнс Казахстан» (AlmaTV) — 500 человек.
«Цель мониторингового исследования: Оценить на количественном уровне лояльность абонентов по методике NPS Группы компаний АО "Казахтелеком" на корпоративном и розничном сегментах рынка и абонентов компаний-конкурентов», — сказано в документе.
Потенциальный поставщик Ольга Буторина недоумевает, считая это поощрением утечки данных.
— На мой взгляд, требование, указанное в технической спецификации относительно «наличия базы данных клиентов конкурентов АО "Казахтелеком"», является по меньшей мере некорректным. Возникает вопрос: где и при каких условиях поставщик должен располагать этой базой? Думаю, организации, которые специализируются на проведении исследований, не занимаются целенаправленной сборкой подобных данных, рассчитывая, что когда-нибудь она пригодится. Таким образом, фактически заказчик поощряет утечку базы данных компаний-конкурентов. Также интересно, насколько компании-конкуренты готовы к тому, что их клиентов будут опрашивать?
В компании «КаР-Тел» пока не смогли поделиться своим мнением о том, откуда может взяться база данных их абонентов у частных компаний, они попросили выслать запрос. Азаттык отправил официальные запросы в «Казахтелеком» и «КаР-Тел». Ответ от национального оператора, предположительно, придет 28 марта — такой срок указан для рассмотрения, то есть уже после завершения конкурса.
ЧИТАЙТЕ ТАКЖЕ: ИИН в открытом доступе: насколько это опасно?«НИКТО НЕ КОНТРОЛИРУЕТ»
Дана Мухамеджанова объясняет, что в различных документах четко прописан порядок передачи персональных данных. Она называет «передачу данных в случае возникновения угрозы безопасности», «особые предписания КНБ», «на основании санкций и решения суда», «оперативно-следственные мероприятия».
— Для передачи данных, особенно оператором сети, — в данном случае это «Казахтелеком» — должны быть четкие обоснования, согласие абонентов. А здесь я вижу по документу большое количество номеров абонентов, которые будут предоставлены. В результате будет обзвон. На основании каких документов «Казахтелеком» планирует передачу данных абонентов лицам, которые выиграют тендер? На проведение маркетинговых исследований должно быть получено согласие от пользователя абонентской сети, — говорит она.
Дана Мухамеджанова подчеркивает, что национальный оператор должен был получить от своих клиентов явное выражение согласия на передачу номера телефона частной компании. То, что будет использована еще и база данных конкурентов «Казахтелекома», приводит эксперта в недоумение.
— Сложилось впечатление, что в целом это не первичный случай, раз с такой легкостью говорится о том, что столько-то номеров абонентов таких-то компаний будет использовано. Если так, то это идет вразрез с нашими нормами. Тем самым возникают сомнения по порядку соблюдения конфиденциальности данных и вопросу их защиты. Потому как оператор, в соответствии с законом, несет ответственность по сбору, хранению и других процедур, — говорит Мухамеджанова.
ЧИТАЙТЕ ТАКЖЕ: «Карательная мера». Как данные о «чекинах» из системы Ashyq попали в налоговую службу«ПОЛОВИНА СЛУЧАЕВ УТЕЧЕК ПРИХОДИТСЯ НА ГОСОРГАНЫ»
В последнем отчете экспертно-аналитического центра InfoWatch по утечкам конфиденциальной информации говорится, что в Казахстане в период с 2018 по 2020 год утекло более 11 миллионов персональных данных, в том числе и платежной информации. 72,7 процента утечек, пишет центр, произошли в результате умышленных или случайных, вызванным человеческим фактором действий.
«В отраслевом распределении утечек конфиденциальной информации доминируют органы власти и государственные организации, на них пришлось 50 процентов всех зарегистрированных в республике случаев», — сказано в исследовании.
Дана Мухамеджанова рассказывает, что утечки в основном наказываются штрафами, которые она считает не впечатляющими для компаний.
— Последние события, связанные с кибератаками, уязвимостями и в целом глобальными утечками персональных данных пользователей социальных сетей, утечки с E-gov, Генпрокуратуры, Центральной избирательной комиссии не рассматривались в рамках уголовных дел, потому как не было доказательств по уголовным составам.
Уголовное дело по утечке данных избирателей из ЦИК, к примеру, было прекращено.
Дана Мухамеджанова объясняет, что агентство, которое занимается защитой персональных данных в Казахстане, создали всего год назад и всерьез оно за работу не бралось.
В октябре 2021 года на заседании комиссии по вопросам внедрения цифровизации президент Казахстана отметил, что «следует разработать пакет законодательных изменений по ужесточению ответственности за потерю или кражу персональных данных граждан».
ЧИТАЙТЕ ТАКЖЕ: Сделка со Сбером и интересы ERG. Грозит ли Казахстану «цифровая колонизация»?В апреле 2021 года проходило бурное обсуждение предлагаемых поправок «по вопросам защиты персональных данных». Поправки, по мнению независимого от государства экспертного сообщества, были направлены на защиту интересов чиновников, стремящихся скрыть информацию о своей деятельности и активах, а также на вмешательство в частную жизнь казахстанцев.
Дана Мухамеджанова считает, что начать необходимо с проверки самих госорганов и частных организаций, собирающих персональные данные.
— В качестве превентива можно ввести плановые и внеплановые проверки госорганов, частных организаций на предмет избыточного сбора персональных данных. Микрокредитные организации, даже салоны красоты собирают избыточно персональные данные, и в последующем никто не контролирует, как эта информация утилизируется.
Ранее в этом месяце в АО «Казахтелеком» прошли допросы и обыски в связи с делом о хищении в особо крупном размере. В нем антикоррупционная служба подозревает племянника Нурсултана Назарбаева Кайрата Сатыбалды, имеющего, по некоторым данным, 25-процентную долю в АО. Сатыбалды также вменяют «причастность к другим преступлениям, подрывающим безопасность государства». Председатель правления АО «Казахтелеком» Куанышбек Есекеев проходит по делу свидетелем.
Your browser doesn’t support HTML5