Казахстанский рынок быстро цифровизируется: онлайн-банкинг, маркетплейсы, облака, удалённая работа, интеграции с подрядчиками. И чем больше у компании точек входа в ИТ-среду, тем выше вероятность, что одна из них станет дверью для злоумышленников или источником утечки. Хорошая новость: большинство инцидентов предсказуемы — а значит, управляемы.
Ниже разберём самые частые риски информационной безопасности для бизнеса в РК и покажем, как системный подход (в том числе через ISO 27001 и ISO 27701) помогает снизить потери, простой и репутационные удары.
1) Фишинг и компрометация корпоративной почты (BEC)
Самый народный сценарий атак — письмо «от директора», «от банка» или «от подрядчика» с просьбой срочно оплатить счёт, открыть вложение или перейти по ссылке. В казахстанских компаниях фишинг особенно опасен там, где:
- нет строгих правил согласования платежей;
- сотрудники используют одинаковые пароли;
- почта не защищена базовыми механизмами (MFA, SPF/DKIM/DMARC).
Последствия — от утечки переписки и баз клиентов до «подмены реквизитов» и прямых финансовых потерь. Международные отчёты по инцидентам стабильно относят фишинг к топ-причинам взломов, потому что он бьёт не по серверам, а по человеческой привычке «кликать быстро».
2) Слабое управление доступом: «лишние права» и отсутствие MFA
Когда сотрудники меняют роли, уходят из компании, подключаются внешние специалисты — права доступа часто не пересматриваются. В итоге бухгалтер может иметь доступ к CRM, а бывший подрядчик — к облаку с документами.
Критичные признаки:
- общие учётные записи («один логин на отдел»);
- отсутствие многофакторной аутентификации (MFA) для почты, VPN и облачных сервисов;
- нет регулярного пересмотра прав (recertification).
Это не «техническая придирка», а причина утечек №1 в компаниях, где процессы растут быстрее, чем регламенты.
3) Утечки персональных данных и клиентских баз
Для бизнеса в Казахстане персональные данные — это не только репутация, но и комплаенс-риски. Утечки случаются не только из-за хакеров: частая причина — неправильная отправка файлов, публикация ссылок на облачные папки без ограничений, копирование баз «на флешку», использование личных мессенджеров для рабочих документов.
Особенно уязвимы отрасли, где много клиентских данных и транзакций: финансы, финтех, e-commerce, сервисные компании. В таких случаях связка ISO 27001 + ISO 27701 помогает выстроить не только защиту, но и управление приватностью: кто, зачем и на каком основании обрабатывает данные.
4) Риски облака: неверные настройки и теневая ИТ
Облака удобны, но «по умолчанию безопасно» — миф. Самые болезненные проблемы:
- открытые хранилища и публичные ссылки без срока действия;
- слабый контроль администраторских прав;
- отсутствие журналирования и мониторинга;
- «теневые» сервисы, которые сотрудники подключают сами (файлообменники, заметки, таск-трекеры).
Облако — как офис: если двери не закрываются, виноват не дом, а режим доступа.
5) Риски подрядчиков и цепочки поставок
Подрядчики по бухгалтерии, разработке, техподдержке, маркетингу часто получают доступ к вашим системам. И если у них слабая защита, атаковать будут не вас напрямую, а самое мягкое звено.
Передача доступов без договора, без ограничений по времени и без контроля действий — типичная причина инцидентов. В ISO 27001 это закрывается требованиями к управлению отношениями с поставщиками, оценкой рисков и контролем доступа.
6) Инсайдерские угрозы: ошибки и злоупотребления
Инсайдер — это не обязательно «злодей». Чаще это:
- сотрудник, который случайно отправил файл не туда;
- менеджер, который сохранил базу клиентов на личный диск;
- специалист, который «временно» отключил защиту ради скорости.
Чтобы снизить риск, нужны не только запреты, но и понятные правила + обучение + технические ограничения (DLP/MDM, классификация данных, контроль носителей).
7) Вымогатели (ransomware) и простой бизнеса
Если резервные копии не тестируются, обновления откладываются, а сегментации сети нет — вымогатели превращают один заражённый ноутбук в остановку процессов на дни и недели. Бизнес страдает дважды: простой + восстановление + репутация.
Перед списком — короткая самопроверка. Если у вас совпало 2–3 пункта, риски уже не теоретические.
- Резервные копии есть, но никто не проверял восстановление за последние 3–6 месяцев.
- Обновления серверов/ПК ставятся «когда будет время».
- Админские права выдаются «чтобы не мешать работе».
- Нет плана реагирования на инциденты: кто решает, кого уведомлять, что отключать.
- Увольнение сотрудника не сопровождается чек-листом отключения доступов.
Если вы узнали свою компанию — это нормально: так выглядит рост без системы. Важно не искать виноватых, а выстроить управляемую модель защиты.
Как снизить риски системно: роль ISO 27001 и ISO 27701
Точечные меры помогают, но устойчивый эффект даёт внедрение СМИИБ (СМИБ) — системы менеджмента информационной безопасности. Она отвечает на главный вопрос руководителя: «Кто за что отвечает, какие риски мы принимаем, а какие закрываем, и как это контролируется».
Что обычно включает практический консалтинг ISO 27001:
- оценку рисков и инвентаризацию активов (данные, системы, процессы);
- политики и процедуры (доступы, резервное копирование, работа с подрядчиками);
- обучение персонала и проверку осведомлённости;
- подготовку к внутренним аудитам и сертификации;
- связку с приватностью через ISO 27701 (если много персональных данных).
Если вы работаете в столице и нужен проект «под ключ», логично выбирать консалтинг ISO 27001 Астана с очными сессиями, вовлечением руководства и быстрым согласованием документов.
Отдельно для финансового сектора и финтеха полезно посмотреть профильные рекомендации и практику управления данными по ссылке.
Что делать дальше
Начните с короткой диагностики: где хранятся критичные данные, кто имеет к ним доступ, есть ли MFA и тестируемые бэкапы, как контролируются подрядчики. А затем переводите защиту из режима «латания дыр» в режим управляемой системы.
Команда BALTUM BUREAU помогает выстроить СМИБ по ISO 27001 и расширить её до ISO 27701 там, где важна приватность и персональные данные — так, чтобы безопасность поддерживала рост бизнеса, а не тормозила его.