2023 жылы саяси мотивациядан туындаған хакерлік шабуылдар көрініс берді
Деректердің қолды болуы – бұл нақты адамның нақты мекен-жайы, телефон нөмірі, банктік картасы және сол адамға қатысты өзге де жеке мәліметтердің өзгелерге мәлім болуы
Бүгінде хакерлік белсенділік тек киберқауіпсіздік саласының мамандары үшін ғана емес, қарапайым азаматтар үшін де түйінді мәселеге айналған. Қаржы ұйымдарының клиенттері DDOS-шабуыл, фишингтік хат сынды киберқылмыс әлемінің небір келеңсіз құралдары аясында өмір сүруге бейімделіп те қалды.
ҚР Қаржы нарығын реттеу және дамыту агенттігінің Ақпараттық және киберқауіпсіздік департаментінің директоры Роман Перминовтың айтуынша, қауіпсіздік бақылауы ұдайы жетілдіріліп, күшейтіліп отырады, бірақ киберқауіптің де бұл жаңартуларға бейімделу мүмкіндігі жоқ емес.
Салық түсімдерінің өсу қарқыны бес есе төмендеді
Қазақстан қаржыгерлері қауымдастығының (ҚҚҚ) талдау орталығы 2023 жылдың бі... →
«Қауіптер [киберқауіптер] дамып, үнемі жетілдіріліп отыратын қауіпсіздік бақылауына бейімделе алады, сондықтан біз статистиканы негізге ала отырып және жаңа зиянды бағдарламалар мен хакерлік топтардың әдістерінің дамуын бақылай отырып, өзіндік бірқатар қорытынды жасай аламыз», - дейді ол.
Мысалға, қаржы нарығында түгелдей дерлік Open Source, яғни бастапқы ашық код негізіндегі жиынтықтар қолданылады. Бұл – бастапқы кодты еркін таратып, өзгертуге болатын программа. Оған бағдарлама әзірлеушілер өз жобаларын жасау үшін қолданатын әртүрлі программаларды, компоненттерді, жиынтықтарды жатқызуға болады.
Аппараттық және программалық код базаларындағы кодтардың 78%-дайы бастапқы ашық код негізіндегі жиынтықтан тұрады және оларды өз күшімен әзірленген дей алмаймыз. Олар жиынтық-репозиторийлерде сақталады. Көптеген қосымшалар мен қызметтер бастапқы ашық код негізіндегі жиынтықтарды қолданып әзірленеді.
Сондықтан да хакерлердің негізгі нысаны – осы бастапқы ашық код негізіндегі программалық жиынтықтар болып табылады. Ұйымдар мен қолданушылар үшін ашық жиынтықтардың тәуекелі мейлінше көп, әсіресе, есептік жазбаларға әзірлеушілер қол жеткізе алатынын ескеретін болсақ. Осының салдарында компрометация мүмкіндігі белең алуда. Бұл арада, әдетте, көп факторлы аутентификацияның болмауы да қолданушы үшін тәуекел туғызатын жағдай, өйткені бұл кеңінен қолданылатын жиынтықтарға зиянды кодтың еніп, тұрақтауына жол береді.
2023 жылғы 1 тоқсанда шоғырландырылған бюджеттің салық түсімдері 5,7 трлн теңгені құрады
Бұл 2022 жылдың сәйкес кезеңімен салыстырғанда 21% - ға көп →
Жеткізу тізбегіндегі мұндай шабуылдарға қарсы тұру үшін бастапқы кодтарды дұрыстап тексеру керек. Бұл үшін арнайы программалық өнімдер қажет, мысалға, бастапқы код сканерлері секілді. Мамандардың айтуынша, қаржы ұйымдары, әсіресе, осы бағытқа барынша көңіл бөліп, назар аударғандары жөн.
Жойқын әрі зиянды басқа да код түрлерін жиынтықтың шынайы авторы әдейі енгізуі де мүмкін, айталық, хактивизмнің немесе саяси наразылықтың бір түрі ретінде. 2023 жылдағы маңызды тенденцияның бірі – саяси немесе әлеуметтік мотивацияға негізделген хакерлік шабуылдар болғанын байқай алдық. Оның ішінде шет мемлекеттердің демеушілігімен орын алған қарсыластарға қарсы кибершабуылдар да бар. Саяси мотивацияға негізделген шабуылдар қаржы нарығына ғана емес, жалпы, экономикаға залал келтіріп, тіпті, тәртіпсіздіктерге жол беруі мүмкін екенін де ұмытпау керек.
Қаржы ұйымдарының ақпараттық қауіпсіздігін қамтамасыз ету жүйелерінің орнықтылығын арттыру барысында ақпараттық қауіпсіздікке дер кезінде мерзімді аудит жүргізумен қатар, ақпараттық қауіпсіздікті басқару жүйелерінің жағдайын тексеріп, тестілеп отыру да өте маңызды: жүйе ішіне бөтен нысандар мен формалардың еніп кетпеуіне жол бермеу үшін. Және де бұл тұрғыда тек ішкі тексерумен ғана шектелмей, сырттан маман тартуды да ескерген дұрыс – объективті әрі тәуелсіз көзқарас керек десек.
Айтқандай, соңғы бір-екі жылда кеңінен көрініс берген карантин аясында көз жеткізгеніміздей, қазіргі таңда қаржы ұйымдарының қызметкерлері мен олар қолданатын құралдардың қай жерде орналасқаны, бұрынғыдай аса маңызды емес. Қазір компаниялар өз шешімдерін мәліметтер негізінде қабылдайды. Ал жұмыс орны мәдениеті бүгінде жұмыскердің ҚАЙДА отырғанына емес, оның НЕ істеп жатқанына жүгініп, қалыптасатын ұғым. Байыппен қарасақ, цифрлық әлем мен шынайы өмір аясындағы кедергілер жойыла бастаған соңғы екі жылдағы аралас әлем 2023 жылы да жалғасып, дамуда.
Қазақстандық Арай Сабыржан Google компаниясына қалай орналасты?
Google компаниясында қанша қазақстандық жұмыс істейді, онда мамандарға қанд... →
Әйтсе де, икемділік басымдық алған бүгінгідей жағдайда қаржы нарығы өз базасындағы мәліметтер мен деректердің қауіпсіздігін және құпиялылығын қорғау проблемасы дегенге тап болды, өйткені қазір бұл мәліметтер мен деректер бірнеше құрылғыдан да, желіден де оңай көшіріліп, тіпті, коммуникациялар үшін әртүрлі платформаларды да пайдалана алады.
«Сондықтан да Агенттік коммуникациялық инфрақұрылымының қауіпсіздігін қамтамасыз етудің ішкі процестерін ұйымдастыруға ғана емес, сондай-ақ олардың сыртқы әлеммен, ең алдымен, байланыс операторларымен өзара әрекеттескен іс-қимылына да назар аударуда. Шарттардағы ақпараттық қауіпсіздікті қамтамасыз ету үшін жауапкершілік мәселелеріне қатысты ережелерге ерекше назар аудару керек», - дейді бұл тұрғыда Роман Перминов.
Өз кезегінде, киберқауіп пен киберқатер ұлғая түскен бүгінгідей жағдайда – Қаржы нарығын реттеу агенттігі қаржы нарығында киберқауіпсіздіктің тиісті деңгейіне қол жеткізу мақсатындағы талаптарды жетілдіріп, күшейтуді әрі қарай жалғастыруда. 2023 жылы қаржы ұйымдарын реттеуге ғана емес, сондай-ақ олардың өз жүйелері мен деректерін қорғауға көмектесетін киберқауіпсіздік талаптарына сәйкестігіне де баса назар аударылатын болады.
Кәсіпкер Аманбек Мағзұмхан: Қазақ жігіттерін стильді етіп киіндіргім келеді
Bekman.Style брендінің негізін қалаған қазақстандық жас кәсіпкер елімізде е... →
Реттеуші ұйым өкілінің айтуынша, Агенттіктің салалық ақпараттық қауіпсіздік орталығын және «Qainar» автоматтандырылған ақпараттық жүйесін дамытып, оларды қаржы нарығындағы киберқауіпсіздікті бағалауға және банктер мен басқа да қаржы ұйымдарына төнген өзекті қауіптер туралы ескертулерді жинақтауға мүмкіндік беретін талдау функционалдарымен толықтыру да өте маңызды.
Агенттік мамандары, биыл SMS сияқты ескірген екі факторлы аутентификация мен push-хабарламалар негізіндегі көп факторлы аутентификациялық шешімдерге шабуылдар жалғасуда, деп ескертеді. Фишинг және аутентификациялау токендерін басып алуға арналған шабуылдар да белсенділік танытуда, дейді олар.
Осындай қиын жағдайда, нарық ішінде Нөлдік сенім (Zero Trust) сынды қауіпсіздік моделінің танымалдылығы арта түскен, оған сәйкес кез келген транзакцияның, пайдаланушының немесе құрылғының функциясы толық дәлелденбей, қандай да бір әрекет жасауға рұқсат етілмейді. Және де транзакцияның, пайдаланушының немесе құрылғының дәйектілігі қайта-қайта расталуы тиіс.
Қаржы ұйымдары да өздері қолданатын аутентификациялау әдістерін жетілдіруді әрі қарай жалғастыруда. Құпия сөздердің баламалары күшейіп келеді, бірақ аутентификациялаудың дәстүрлі әдістері әзірге жойылған жоқ. Көптеген веб-сайттар мен қосымшалар аутентификацияның баламалы тетіктерін ұсынуда, көбісі биометрияны қосуда. Қолданушылар мен ұйымдардың біразы біртіндеп құпия сөздер менеджеріне, құпия сөзсіз және аппараттық сәйкестендіру токендеріне көшуде.
Әуе тасымалындағы «қара тізімге» ілінбес үшін нені білу керек?
Биыл наурыздан бастап әуе компаниялары – ұшақ ішінде жанжал шығарып, әуе та... →
Цифрлық деңгейі кемелденіп, жетілген қаржы ұйымдары өз өнімдерін әзірлеу тәсілдерін өзгертуге ден қоюда. Бүгінгідей жаңа жағдайларда әртүрлі бөлімшелердегі қызметкерлердің өзара кросс-функционалды қимыл-әрекетінің тиімді стратегиясы – өнімді қолданудың барлық кезеңінде қауіпсіздікті қамтамасыз етуді ықпалдастырып, ұйым ішіндегі процестерді бақылауға және тәуекелдерді азайтуға мүмкіндік беруде.
Осы арада айта кету керек, DevSecOps әдіснамасы қаржы сегментінің дамуына әсер ете отырып, онымен ықпалдасуын әрі қарай жалғастыруда. Сол сияқты, аутсорсинг әдісіне деген сұраныс та өсіп келеді. Сервистік модельдің танымалдылығы да арта түскен, өйткені ол нарық ішінде тапшы саналатын сараптамаға жол ашып, жауапкершілік пен сапа критерийлерінің ашықтығын қамтамасыз етуде. Қаржы ұйымдарының ақпараттық қауіпсіздігін қамтамасыз етуші өз инфрақұрылымы мен киберқауіпсіздікке негізделген сыртқы сервистерді біріктіретін аралас модельдерді қолдану да кең тарауда.
«Жалпылай алғанда, әртүрлі елдердегі киберқауіпсіздік арасында айтарлықтай айырмашылық жоқ. Бұл тұрғыда, әлемдік деңгейдегі трендтер Қазақстанда да басымдыққа ие деп айта аламыз. Айтқандай, өткен жылы Қазақстанның қаржы нарығында киберқауіпсіздік тұрғысында қандай да бір резонанс туғызған оқиға байқалған жоқ», - деп түйіндейді өз пікірін Роман Перминов.
