Если вы владелец бизнеса в Казахстане, читающий эту статью, прямо сейчас на ваш корпоративный сайт идут попытки подбора паролей. Не теоретически. Реально. По данным Министерства цифрового развития РК, в Казахстане ежеминутно отражаются тысячи DDoS-атак. Только за первый квартал 2025 года в стране зарегистрировано более 30 тысяч инцидентов в сфере информационной безопасности — вдвое больше, чем годом ранее.
Что на самом деле произошло в Казахстане за последние годы
Чтобы вы понимали масштаб — конкретные кейсы.
«Жители Казахстана 2024». В июне 2025 года в открытом доступе появился CSV-файл с данными 16,3 миллиона казахстанцев — крупнейшая утечка персональных данных в истории страны. TSARKA подтвердил подлинность. Имена, ИИН, номера телефонов, адреса — всё в открытом доступе.
- Zaimer.kz. Личные данные миллионов клиентов МФО оказались в открытом доступе из-за слабого шифрования и устаревших систем.
- Alma TV. 9 мая 2025 года — многоуровневая кибератака, парализовавшая работу сервисов.
- Аэропорт Астаны. Хакеры скомпрометировали официальный сайт, ЦАРКА проводила расследование.
- КазНУ. В открытом доступе оказались личные данные сотен студенток, включая результаты медицинских обследований.
И это только публичные кейсы. Большинство компаний скрывают факты взломов — потому что новости об этом убивают доверие клиентов сильнее самого взлома.
Сколько это стоит бизнесу
Согласно исследованию Cloudtek, в 2025 году 68% казахстанских компаний, подвергшихся кибератакам, теряют от 4,5 миллионов тенге. Эти 4,5 миллиона включают:
- Остановка бизнеса на время восстановления (среднее время — 3–7 дней после ransomware-атаки)
- Стоимость экспертизы и восстановления данных
- Выкуп злоумышленникам (ransomware в 1С в РК — около $5000)
- Штрафы по статье 147 УК РК за разглашение персональных данных
- Юридические расходы на разбирательства с клиентами
- Долгосрочные репутационные потери
Пять типовых атак на казахстанский бизнес в 2026
Фишинг бухгалтерии
60% всех успешных атак в Казахстане начинаются с поддельного письма «от банка» или «от налоговой». Бухгалтер открывает «отчёт об оплате» — файл оказывается трояном, и через несколько часов вся корпоративная сеть скомпрометирована.
Ransomware в 1С
Вирус шифрует базу данных бухгалтерской системы. На экране — сообщение с требованием перевести криптовалюту за расшифровку. Средняя сумма выкупа в РК около $5000, но бывает значительно больше. Часть компаний платит, часть теряет данные навсегда.
DDoS-шантаж
Хакеры отправляют письмо «заплатите $500, иначе положим ваш сайт на неделю». Демонстрируют возможности коротким тестовым DDoS. Часть компаний платит — после чего шантаж повторяется.
Эксплуатация уязвимостей в WP-плагинах
Если у вас сайт на WordPress и вы давно не обновляли плагины — это вопрос времени, когда вас взломают. В 2024–2025 годах обнаружены десятки критических уязвимостей в популярных WP-плагинах с миллионами установок.
Доступ у бывших сотрудников
По данным Kaspersky, 37% уволенных сотрудников всё ещё имеют рабочий доступ к корпоративным аккаунтам через несколько месяцев после увольнения.
Цифровой кодекс и юридическая ответственность
В январе 2026 года в Казахстане подписан Цифровой кодекс. Впервые на конституционном уровне закреплены цифровые права граждан, включая защиту персональных данных.
85% казахстанских компаний нарушают правила локализации данных, даже не подозревая об этом. Google Drive с клиентскими данными? Нарушение. CRM на серверах в США? Нарушение. По мере усиления контроля все эти практики начнут штрафоваться.
- Статья 147 УК РК — уголовная ответственность за разглашение охраняемой законом тайны.
- Административные штрафы за нарушение требований к защите персональных данных — до нескольких миллионов тенге.
- Обсуждается введение «оборотных штрафов» по примеру GDPR — процент от годового оборота компании.
Типовые уязвимости сайтов на конструкторах
Если вы заказали сайт у фрилансера за 50 тысяч тенге или собрали его на конструкторе — почти наверняка ваша безопасность на нуле:
- Слабые пароли. WordPress и Tilda не требуют сложных паролей по умолчанию. Брутфорс взломает admin123 за несколько минут.
- Отсутствие 2FA. На стандартных шаблонных сайтах двухфакторная аутентификация либо отсутствует, либо требует отдельного плагина.
- Нет rate limiting. Любой может отправить тысячу заявок через форму на сайте за минуту.
- Открытые директории. /wp-admin/, /wp-includes/, дамп базы данных в открытом доступе — хакеры специально сканируют такие сайты.
- Устаревшие плагины. Если плагин не обновлялся полгода, и в нём обнаружена уязвимость — ваш сайт практически точно будет взломан.
- Отсутствие бэкапов. Без свежего бэкапа единственный вариант — восстанавливать всё с нуля.
Что должно быть на каждом серьёзном сайте
Что делать прямо сейчас
Проверка за пять минут — прямо сейчас:
- Откройте сайт. Должен быть HTTPS (замочек в адресной строке). Если нет — ваш сайт небезопасен.
- Откройте админ-панель. Если пароль admin/123456/название компании — смените немедленно.
- Спросите разработчика, когда последний раз делали бэкап и где он хранится.
- Узнайте, где физически находятся серверы вашего сайта. Если не в Казахстане — это нарушение закона.
Если хоть в одном пункте красный сигнал — пора разговаривать с серьёзными разработчиками.
Безопасность как часть архитектуры, не опция
Студия Amanix занимается кастомной разработкой сайтов в Казахстане с 2023 года. Кибербезопасность для нас — не дополнительная услуга, а обязательная часть архитектуры каждого проекта.
Что мы делаем по умолчанию: HTTPS с TLS 1.2+, bcrypt, JWT с refresh-токенами в Redis, параметризованные SQL, защита от XSS/CSRF, rate limiting, CORS whitelist, безопасная загрузка файлов, ежедневные бэкапы на отдельное хранилище, регулярный мониторинг CVE, серверы в Казахстане.