Безопасность сайта в Казахстане 2026: как защитить бизнес от взлома

По данным KZ-CERT, количество кибератак на казахстанские сайты в 2025 году выросло на 43% по сравнению с предыдущим годом. При этом большинство успешных взломов происходит из-за устаревшего ПО и отсутствия базовых мер защиты.

Что говорит закон Казахстана о безопасности сайтов

Закон «О персональных данных и их защите»

С 2021 года в Казахстане действует обновлённый закон о персональных данных. Если ваш сайт собирает данные пользователей (форма обратной связи, регистрация, корзина), вы обязаны:

1. Хранить персональные данные граждан РК на серверах в Казахстане
2. Обеспечить технические меры защиты данных
3. Уведомлять пользователей о сборе данных (политика конфиденциальности)
4. Получать согласие на обработку данных

Штраф за нарушение: До 200 МРП (800 000 ₸ в 2026 году) + предписание об устранении.

Требования МЦРИАП

Министерство цифрового развития, инноваций и аэрокосмической промышленности РК устанавливает дополнительные требования для государственных и квазигосударственных организаций:

• HTTPS обязателен для всех сайтов
• Регулярный аудит безопасности
• Сертификация по стандартам СТ РК

Топ-7 уязвимостей казахстанских сайтов

1. Устаревший PHP (7.x и ниже)

PHP 7.4 получил последние патчи безопасности в ноябре 2022 года. PHP 7.1 — в декабре 2022. Если ваш сайт работает на PHP 7.x:

Риски:
- CVE-2022-31626: Remote Code Execution
- CVE-2021-21708: Buffer overflow
- Десятки незакрытых уязвимостей

Именно это мы наблюдали в случае egemen.kz — PHP 7.1 на EOL-системе создавал критические риски для одного из крупнейших медиапорталов страны.

2. SQL-инъекции

Классическая атака, актуальная до сих пор. Пример уязвимого кода:

Копировать
1// ОПАСНО — не делайте так
2$query = "SELECT * FROM users WHERE id = " . $_GET['id'];

Решение: ORM (Eloquent, Prisma, TypeORM) с параметризованными запросами.

3. XSS (Cross-Site Scripting)

Если ваш сайт отображает данные от пользователей без экранирования — он уязвим для XSS. Злоумышленник может:

• Похитить куки/сессии пользователей
• Перенаправить на фишинговый сайт
• Изменить контент страницы

4. Отсутствие HTTPS

В 2026 году HTTP — это не просто плохой тон. Это:

• Предупреждение «Не защищено» в браузере
• Штраф в PageSpeed
• Данные пользователей передаются в открытом виде
• Google понижает в поиске

5. Слабые пароли в админке

По статистике, 60% успешных взломов — это брутфорс слабых паролей или credential stuffing (использование утёкших паролей).

6. Открытые директории и файлы конфигурации

Типичные находки при аудите:
/config.php — открыт для всех
/.env — доступен по прямой ссылке
/backup.sql — дамп базы данных
/phpinfo.php — полная информация о сервере

7. Устаревшие CMS и плагины

WordPress с непроверенными плагинами — №1 источник взломов в Казахстане. Если последнее обновление плагина было 3+ года назад — он опасен.

Чеклист безопасности для казахстанского бизнеса

Обязательные меры (делайте прямо сейчас)

• [ ] Установите SSL-сертификат и принудительный редирект на HTTPS
• [ ] Обновите PHP до 8.2+
• [ ] Смените все дефолтные пароли (admin/admin123 и т.д.)
• [ ] Скройте .env и config-файлы от публичного доступа
• [ ] Включите двухфакторную аутентификацию в админке
• [ ] Настройте регулярные бэкапы (3-2-1 правило)

Дополнительные меры

• [ ] Используйте WAF (Web Application Firewall) — Cloudflare Free работает
• [ ] Настройте Content Security Policy (CSP) в заголовках
• [ ] Внедрите rate limiting для форм и API
• [ ] Проведите аудит зависимостей (npm audit / composer audit)
• [ ] Добавьте мониторинг uptime и аномалий

Для e-commerce и финтех

• [ ] PCI DSS соответствие для платежей
• [ ] Хранение только необходимых данных карт
• [ ] Дополнительный слой шифрования для финансовых данных
• [ ] Отдельная изолированная среда для платёжного модуля

Как мы обеспечиваем безопасность в наших проектах

При разработке сайтов в Казахстане мы придерживаемся принципа Security by Design:

Архитектура:

• Next.js 16 + TypeScript — строгая типизация исключает целый класс уязвимостей
• Supabase с Row Level Security — политики доступа на уровне базы данных
• Zod-валидация — все входящие данные проверяются до обработки
• Никаких "any" в TypeScript — только типизированные данные

Инфраструктура:

• Docker-контейнеризация — изоляция сервисов
• Nginx с hardened конфигурацией
• Автоматические обновления через Dependabot
• GitHub Actions — проверка зависимостей при каждом деплое

Операционная безопасность:

• Секреты только в переменных окружения, никогда в коде
• Ротация API-ключей
• Минимальные права доступа для каждого компонента

Что делать, если вас уже взломали

1. Немедленно: Снимите сайт в оффлайн или поставьте заглушку
2. В течение часа: Смените все пароли (хостинг, БД, CMS, email)
3. Первые 24 часа: Сделайте бэкап «грязного» состояния для анализа
4. Анализ: Найдите точку входа (логи Nginx, PHP error logs)
5. Восстановление: Разверните из чистого бэкапа или пересоберите
6. Уведомление: Если утекли персональные данные — уведомите КНБ в течение 72 часов

Итог: безопасность — не опция, а требование

Современный сайт в Казахстане без базовой защиты — это риск штрафов, потери данных клиентов и репутационного ущерба. Хорошая новость: правильная архитектура изначально защищена.

Хотите узнать, как мигрировать с устаревшей платформы безопасно? Читайте кейс миграции egemen.kz. А если нужна разработка нового защищённого сайта — расскажите о проекте в брифе.

Также рекомендуем: полный гайд по разработке сайтов в Казахстане с учётом местных требований и интеграций.