Эксперт Softline сделал детальный разбор резонансных утечек 2025–2026 годов в Центральной Азии
Классическое определение инсайдера — лицо внутри компании, злоупотребляющее легитимным доступом. Но инциденты 2025–2026 годов в Центральной Азии продемонстрировали, что эта формула устарела. В современной цифровой архитектуре инсайдер — это любой субъект, которому система доверяет.
Я, Олег Щербина, руководитель направления развития кибербезопасности в Центральной Азии, разбираю крупные инциденты утечки данных в регионе и объясняю, почему старые подходы к защите больше не работают.
Невольный инсайдер: человек — лишь точка входа
Осенью 2025 года атака на инфраструктуру Google показала, как уязвима «цепочка поставок доверия» даже в технологически зрелых компаниях. Группа ShinyHunters применила голосовой фишинг против сотрудника, имевшего доступ к внутренним инструментам. Злоумышленники представились ИТ-поддержкой и убедили его авторизовать стороннее приложение через утилиту для работы с данными в CRM. Сотрудник не продавал данные и не нарушал регламенты — он использовал легитимные инструменты в рамках своей роли. Однако именно эта авторизация открыла доступ к массиву контактной информации Gmail-пользователей по всему миру, в том числе из Казахстана.
Данный случай демонстрирует принципиально новый тип угрозы: человек становится лишь точкой входа, а само нарушение происходит на уровне доверенных системных связей.
Привилегия без надзора: масштаб казахстанской утечки
Казахстанский инцидент 2025 года по охвату оказался беспрецедентным для региона: в открытом доступе оказались данные более 16 млн граждан при населении страны около 20 млн человек. Опубликованный массив включал имена, даты рождения, ИИН, номера телефонов и адресов.
Ключевой момент — не человеческий фактор, а сама модель распределения прав: длительное существование неконтролируемых привилегий без регулярного пересмотра и поведенческого анализа предопределяет масштаб утечки.
Реакция властей оказалась ощутимой: административные штрафы за утечки персональных данных выросли до 2000 МРП. Также были запущены программа вознаграждения за обнаружение уязвимостей (bug bounty) для государственных систем и сервис NomadGuard, позволяющий гражданам проверить возможную утечку данных.
Когда инсайдером становится сама инфраструктура
Концептуально сложный инцидент был зафиксирован в Узбекистане. В феврале 2026 года произошла предполагаемая компрометация сервера авторизации электронного правительства, работающего по протоколу OAuth и связанного с Единой идентификационной системой OneID. Через этот механизм аутентифицируются десятки государственных сервисов — от Национального агентства социальной защиты до Комитета по статистике.
Такая компрометация потенциально может позволить действовать от имени легитимных пользователей и получать доступ к множеству связанных систем без необходимости взламывать каждую из них отдельно. Это классическая атака на единую точку доверия — и именно она становится главной уязвимостью централизованных цифровых государств.
В ответ власти Узбекистана усилили меры безопасности в OneID: теперь доступ к персональным данным со стороны банков и телеком-операторов требует отдельного согласия пользователя.
Инсайдер-документ: утечка как инструмент атаки
Операция APT-группы UAC-0063 (связываемой с APT28) добавила еще одно измерение к картине угроз. Скомпрометированные документы МИД Казахстана использовались как «приманка» в фишинговых атаках на дипломатические миссии в Германии, Великобритании, Нидерландах, Румынии и Грузии. Заражение осуществлялось с помощью вредоносного ПО HATVIBE и DownEx, а само продление TLS-сертификатов для командных серверов указывало на намерение поддерживать операцию в течение длительного времени.
Публикация служебной документации или базы данных — не финал инцидента, а его начало. Появление данных во внешней среде должно немедленно запускать расследование и переоценку глубины компрометации.
Архитектура безусловного доверия
Все эти случаи объединяет один системный дефект: архитектура по умолчанию доверяет любому субъекту внутри периметра — будь то сотрудник, сервисная учетная запись или узел аутентификации. Контролировать необходимо не конкретного человека, а поведение сущностей: учетных записей, токенов, интеграционных узлов. Концепция нулевого доверия предполагает, что даже аутентифицированный запрос требует дополнительной проверки. Без постоянного мониторинга привилегированных учетных записей и оперативного реагирования на нетипичные сценарии доступа любая цифровая система остается уязвимой — независимо от уровня ее зрелости.
Описанные инциденты демонстрируют, что периметровая защита как основная модель безопасности исчерпала себя. Новая реальность инсайдерских угроз требует не просто новых инструментов, а принципиально иной логики доверия внутри цифровой инфраструктуры.
Источники изображений:
Личный архив компании
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: