6 января на заседании правительства вице-премьер-министр искусственного интеллекта и цифрового развития Жаслан Мадиев сделал любопытное признание. «Госорганы и организации зачастую нарушают законодательно установленные требования информационной безопасности», — сказал он, хотя ранее подчеркивал, что в госсистеме утечек нет, а скандалы с массовым распространением персональных данных связаны с деятельностью частных информационных систем. А что вдруг случилось? Ведь всего две недели назад, отвечая на запрос группы депутатов, Жаслан Мадиев был не так категоричен и заверил мажилисменов, что законодательно и технически государство держит цифровые ресурсы под контролем.
ТОТАЛЬНЫЙ ЦИФРОВОЙ КОНТРОЛЬ
Группа мажилисменов подняла важный для всех казахстанцев вопрос – кто, зачем и с какой целью за нами следит?
«В Казахстане активно внедряются системы распознавания лиц и биометрической идентификации. По официальным данным, такие технологии уже подключены к уличным камерам в крупных городах и используются для розыска преступников и пропавших без вести. Эти системы способны не просто фиксировать изображение, а идентифицировать личность, отслеживать маршруты и формировать поведенческие профили. Однако правовая база их использования остается туманной и противоречивой. Не определено, кто имеет доступ к базам биометрии, на каком основании они формируются, где и как хранятся данные, кто несет ответственность за их защиту. Сегодня граждане даже не знают, когда и где фиксируются их лица и действия. Это создает ощущение постоянного наблюдения — и постепенно формирует атмосферу недоверия между государством и обществом. Дополнительную тревогу вызывает отсутствие единых технических стандартов безопасности и контроля», — написали министру искусственного интеллекта депутаты.
По их мнению, система кибербезопасности Казахстана по-прежнему реагирует постфактум — после утечек и злоупотреблений, а потому государству нужна модель превентивной защиты, где угрозы выявляются и нейтрализуются заранее.
«Без перехода на такой подход ситуация может стать необратимой. Казахстан рискует превратиться в «прозрачное государство», где каждый гражданин окажется под цифровым надзором, а его личная информация — в свободном обращении. Это недопустимо», — заявили мажилисмены и предложили правительству:
- провести комплексную инвентаризацию всех систем биометрической идентификации и распознавания лиц, используемых на территории страны, и ввести их обязательную сертификацию;
- разработать единые стандарты и протоколы обращения с биометрическими данными — от сбора и хранения до уничтожения;
- усилить контроль за цифровыми системами в автомобилях, исключив возможность передачи данных граждан третьим лицам и за рубеж;
- создать государственный центр превентивного мониторинга угроз кибербезопасности и механизм реагирования в режиме реального времени.
МЫ ВАС УСЛЫШАЛИ, НО…
В лучшем правительственном стиле Жаслан Мадиев ответил депутатам, что Цифровой кодекс (в конце декабря он был принят парламентом) отрегулирует все неясные вопросы.
«Биометрическая аутентификация осуществляется с применением национальной системы биометрической аутентификации в соответствии с правилами ее функционирования и подключения, утвержденными уполномоченным органом. Наряду с этим в рамках проекта Цифрового кодекса планируется разработка правил, функционирования и подключения к Национальной системе биометрической аутентификации, в рамках которых будут учтены алгоритмы сбора, хранения и удаления биометрических данных», — указал министр.
Он уточнил также, что в Казахстане действует механизм, который допускает проведение проверок и применение мер административной ответственности.
«В целях исключения несанкционированного доступа к персональным данным прорабатывается вопрос о внедрении понятий по маскированию и хешированию данных, а также по внедрению законодательного запрета на массовые выгрузки из баз, содержащих персональные данные, что также поспособствует исключению возможности передачи данных граждан третьим лицам и за рубеж», — тоже очень любопытная информация из официального ответа Жаслана Мадиева депутатам.
Наконец, по поводу создания государственного центра превентивного мониторинга угроз кибербезопасности и механизма реагирования в режиме реального времени глава министерства ИИ сказал, что и без него создана экосистема в составе Национального координационного центра информационной безопасности (НКЦИБ), Государственного оперативного центра (ГОЦИБ), отраслевого центра информбезопасности в финансовом секторе и частных оперативных центров информбезопасности (ОЦИБ).
ДЕЙСТВИЯ ДОРОЖЕ СЛОВ
Не ставя под сомнение слова министра Мадиева, мы все же, как и депутаты, волнуемся, что «комплексная инвентаризация всех систем биометрической идентификации и распознавания лиц» — совсем не одно и то же, что «действует механизм, который допускает проведение проверок».
Формально Жаслан Хасенович депутатам ответил очень даже развернуто, а по существу обозначенных проблем – нет.
Ведь мажилисмены не спрашивали у министра, какие законы и подзаконные акты в стране защищают цифровые данные казахстанцев от утечек третьим лицам. Они попросили провести реальную инвентаризацию всех систем биометрии и распознавания лиц, обеспечить фактический контроль доступа к базам биометрии, минимизировать риски использования частных и иностранных решений без аудита, внедрить превентивную модель кибербезопасности.
Что сделал министр? Сослался на Цифровой кодекс и другие законодательные нормы, описал формальную архитектуру экосистемы по кибербезопасности и указал на административную ответственность в случае чего. А проводил ли кто-нибудь инвентаризацию многочисленных информационных систем, собирающих о гражданах самую разную информацию по поводу и без (зачастую даже без их согласия) – умолчал. Как и о том, кто именно и в каком объеме сегодня имеет доступ к уже собранным цифровым сведениям.
В качестве примера – даже школы (не говоря уже про банки, поликлиники и прочие структуры, по умолчанию собирающие цифровой портфель на потребителей) ежегодно собирают сведения обо всех учащихся и их семьях, в том числе данные родителей, их контакты, место работы. Попробуй ребенок не принести эту информацию в школу – на классных руководителей начинается административное давление сверху. Родительская общественность, как правило, с пониманием относится к педагогам, поэтому нужные данные текут в школы рекой. Хотя мы и понятия не имеем, вправе ли школы вообще собирать такие данные не только на детей, но и на взрослых, обладают ли они техническим инструментарием сохранить эти данные от посторонних глаз и проверяет ли кто-то, как школы этими данными распоряжаются.
Что в итоге вытекает из ответа Жаслана Мадиева депутатам в конце декабря и вчерашнего его заявления на заседании правительства? На наш взгляд, противоречие. Потому что в декабре министр констатирует наличие механизма проверок, предусмотренных мер, созданной устойчивой и безопасной цифровой экосистемы, а спустя две недели заявляет, что «госорганы и организации зачастую нарушают законодательно установленные требования информационной безопасности». Обратите внимание – не изредка нарушают, а зачастую, что является признанием системной проблемы, а не периодических частных сбоев.
Можно было бы не сильно обращать внимание на все эти факты, если бы не одно «но» — 2026-й заявлен президентом годом цифровизации и ИИ. То есть государство продолжит оцифровку всего, до чего еще не добралось. А точно ли институционально и управленчески страна к этому готова, учитывая перманентно возникающие проблемы с массовыми утечками персональных данных граждан?
Нужно отдать должное – внедрять цифровые сервисы и писать современное цифровое законодательство страна, однозначно, умеет. А дальше все работает ситуативно. Случился инцидент – возникает реакция, но мы прекрасно понимаем, что любая информация, попавшая в интернет, остается там навсегда. Наказан за это кто-то или нет – последствия-то не обратимы. Отсюда и недоверие граждан к любым запросам об их личных сведениях.
Наверное, в этой ситуации самым лучшим адекватным решением государства была бы доскональная инвентаризация всех существующих в стране информсистем и публичный отчет о ее результатах, а также регулярные аудиты действующей экосистемы информбезопасности. Даже если эта информация пригодится 5-10% наблюдательных казахстанцев, это все равно будет демонстрацией готовности государства открыто отвечать за свои обязательства перед населением.
