Егер сіз осы мақаланы оқып отырған Қазақстандағы бизнес иесі болсаңыз, дәл қазір сіздің корпоративтік сайтыңызға парольдерді іріктеу әрекеттері жасалып жатыр. Теориялық тұрғыда емес. Шынайы мағынада. ҚР Цифрлық даму министрлігінің деректері бойынша, Қазақстанда минутіне мыңдаған DDoS-шабуылдары тойтарылады. Тек 2025 жылдың бірінші тоқсанында ғана елде ақпараттық қауіпсіздік саласында 30 мыңнан астам оқиға тіркелді — бұл бір жыл бұрынғымен салыстырғанда екі есе көп.
Қазақстанда соңғы жылдары шынымен не болды
Ауқымды түсіну үшін — нақты кейстер.
«Қазақстан тұрғындары 2024». 2025 жылдың маусымында ашық қолжетімділікте 16,3 миллион қазақстандықтың деректері бар CSV-файл пайда болды — бұл елдің тарихындағы жеке деректердің ең ірі ағып кетуі. TSARKA деректердің шынайылығын растады. Аты-жөндер, ЖСН, телефон нөмірлері, мекенжайлар — бәрі ашық қолжетімділікте.
- Zaimer.kz. МҚҰ-ның миллиондаған клиенттерінің жеке деректері әлсіз шифрлау мен ескірген жүйелер салдарынан ашық қолжетімділікте опып кетті.
- Alma TV. 2025 жылғы 9 мамыр — сервистер жұмысын тоқтатқан көп деңгейлі кибершабуыл.
- Астана әуежайы. Хакерлер ресми сайтты бұзды, ЦАРКА тергеу жүргізді.
- ҚазҰУ. Ашық қолжетімділікте жүздеген студенткалардың жеке деректері, соның ішінде медициналық тексерулер нәтижелері жарияланды.
Бұл тек жариялы кейстер ғана. Компаниялардың көпшілігі бұзылу фактілерін жасырады — өйткені бұл туралы жаңалықтар клиенттердің сенімін бұзылудың өзінен де күштірек жойады.
Бизнеске бұл қанша тұрады
Cloudtek зерттеуіне сәйкес, 2025 жылы кибершабуылға ұшыраған қазақстандық компаниялардың 68%-ы 4,5 миллион теңгеден жоғалтады. Бұл 4,5 миллионға мыналар кіреді:
- Қалпына келтіру кезінде бизнестің тоқтап қалуы (ransomware-шабуылдан кейінгі орташа уақыт — 3–7 күн)
- Сараптама мен деректерді қалпына келтіру құны
- Шабуылшыларға төлем (ҚР-дағы 1С-те ransomware — шамамен $5000)
- Жеке деректерді жария ету үшін ҚР ҚК 147-бабы бойынша айыппұлдар
- Клиенттермен дауларға байланысты заңдық шығындар
- Ұзақ мерзімді беделдік шығындар
2026 жылы қазақстандық бизнеске жасалатын бес типтік шабуыл
Бухгалтерияға фишинг
Қазақстандағы барлық сәтті шабуылдардың 60%-ы «банктен» немесе «салық органынан» деген жалған хатпен басталады. Бухгалтер «төлем туралы есепті» ашады — файл троян болып шығады, бірнеше сағаттан кейін бүкіл корпоративтік желі бұзылады.
1С-те Ransomware
Вирус бухгалтерлік жүйенің деректер базасын шифрлайды. Экранда — шифрды шешу үшін криптовалюта аударуды талап ететін хабарлама. ҚР-дағы орташа өтем сомасы шамамен $5000, бірақ едәуір жоғары болуы мүмкін. Кейбір компаниялар төлейді, кейбіреулері деректерін мәңгі жоғалтады.
DDoS-қорқыту
Хакерлер «$500 төлеңіздер, болмаса сайтыңызды бір аптаға жабамыз» деген хат жібереді. Қысқа сынақтық DDoS арқылы мүмкіндіктерін көрсетеді. Кейбір компаниялар төлейді — содан кейін қорқыту қайталанады.
WP-плагиндердегі осалдықтарды пайдалану
Егер сізде WordPress сайты болса және плагиндерді ұзақ уақыт жаңартпасаңыз — бұзылу тек уақыт мәселесі. 2024–2025 жылдары миллиондаған орнатылымдары бар танымал WP-плагиндерде ондаған критикалық осалдықтар анықталды.
Бұрынғы қызметкерлердің қолжетімділігі
Kaspersky деректері бойынша, жұмыстан шығарылған қызметкерлердің 37%-ы жұмыстан шыққаннан бірнеше ай өткен соң да корпоративтік аккаунттарға жұмыс қолжетімділігін сақтайды.
Цифрлық кодекс және заңдық жауапкершілік
2026 жылдың қаңтарында Қазақстанда Цифрлық кодекс қабылданды. Алғаш рет конституциялық деңгейде азаматтардың цифрлық құқықтары, соның ішінде жеке деректерді қорғау бекітілді.
Қазақстандық компаниялардың 85%-ы деректерді жергіліктендіру ережелерін бұзады, тіпті бұл туралы білмейді. Клиенттік деректері бар Google Drive? Бұзушылық. АҚШ серверлеріндегі CRM? Бұзушылық. Бақылаудың күшеюімен бұл тәжірибелердің барлығы айыппұлданатын болады.
- ҚР ҚК 147-бабы — заңмен қорғалатын құпияны жария ету үшін қылмыстық жауапкершілік.
- Жеке деректерді қорғау талаптарын бұзғаны үшін әкімшілік айыппұлдар — бірнеше миллион теңгеге дейін.
- GDPR үлгісі бойынша «айналым айыппұлдарын» енгізу талқыланып жатыр — компанияның жылдық айналымының пайызы.
Конструктор сайттарының типтік осалдықтары
Егер сіз сайтты фрилансерге 50 мың теңгеге тапсырыс берсеңіз немесе конструктордан жинасаңыз — қауіпсіздігіңіз іс жүзінде нөлде:
- Әлсіз парольдер. WordPress пен Tilda әдепкі бойынша күрделі парольдерді талап етпейді. Brute force admin123-ті бірнеше минутта бұзады.
- 2FA жоқ. Стандартты шаблондық сайттарда екі факторлы аутентификация не жоқ, не бөлек плагин қажет.
- Rate limiting жоқ. Кез келген адам минутта мыңдаған өтінімді сайт формасы арқылы жіберуі мүмкін.
- Ашық каталогтар. /wp-admin/, /wp-includes/, деректер базасының dump-ы ашық қолжетімділікте — хакерлер осындай сайттарды арнайы іздейді.
- Ескірген плагиндер. Егер плагин жарты жыл бойы жаңартылмаса және онда осалдық анықталса — сайтыңыз іс жүзінде бұзылады.
- Backup жоқ. Жаңа backup-сыз жалғыз нұсқа — бәрін нөлден қалпына келтіру.
Әрбір ауқымды сайтта болуы тиіс нәрселер
Дәл қазір не істеу керек
Бес минуттық тексеру — дәл қазір:
- Сайтыңызды ашыңыз. HTTPS болуы тиіс (мекенжай жолындағы құлыптама). Жоқ болса — сайтыңыз қауіпсіз емес.
- Әкімші панелін ашыңыз. Егер пароль admin/123456/компания атауы болса — дереу ауыстырыңыз.
- Әзірлеушіден соңғы backup қашан жасалғанын және қай жерде сақталғанын сұраңыз.
- Сайтыңыздың серверлері физикалық тұрғыда қай жерде екенін біліңіз. Қазақстанда болмаса — бұл заң бұзушылық.
Егер кем дегенде бір тармақта қызыл сигнал болса — ауқымды әзірлеушілермен сөйлесетін уақыт келді.
Қауіпсіздік — архитектураның бөлігі, қосымша опция емес
Amanix студиясы 2023 жылдан бері Қазақстанда сайттарды кілттік әзірлеумен айналысады. Бізге киберқауіпсіздік — қосымша қызмет емес, әрбір жобаның архитектурасының міндетті бөлігі.
Біз әдепкі бойынша жасайтын нәрселер: TLS 1.2+ бар HTTPS, bcrypt, Redis-тегі refresh-токендермен JWT, параметрленген SQL, XSS/CSRF-тен қорғау, rate limiting, CORS whitelist, файлдарды қауіпсіз жүктеу, бөлек сақтауға күнделікті backup-тар, CVE-ні тұрақты бақылау, Қазақстандағы серверлер.