ИБ в Узбекистане (ITTS)

🔍Мы провели исследование базы решений уголовных судов в Узбекистане по делам о нарушении правил обработки персональных данных. До СМИ доходили только два из них - о контрабанде телефонов и регистрации их в UzIMEI и недавний случай с пробивом у операторов мобильной связи.
На самом деле за время появления профильной статьи в уголовном кодексе дел набралось уже несколько сотен. Большая часть из них не чисто по теме ПДн. Часть о персональных данных идёт “прицепом” к мошенничеству, контрабанде и т.п.

😮Пожалуй, самое показательное дело с которым мы встретились это 1-1003-2204/773. Там злоумышленники под разными предлогами регистрировали ничего не подозревающих людей в онлайн-приложениях банков и потом использовали аккаунты для вывода средств от мошенничества и сокрытия истинных бенефициаров. По данным дела за каждый новый аккаунт в онлайн-банке исполнители преступления получали от заказчика по $40.

📎В целом практика такова что если уголовное дело связано только с ПДн, то обычно назначается штраф или ограничение свободы (запрет покидать место жительства в ночное время). А когда дело проходит по нескольким статьям, там сроки за другие преступления перекрывают санкцию за статью о персональных данных, происходит так называемое “частичное сложение сроков”. Но есть случаи когда именно нарушения в части ПДн исключают, оставляя другие обвинения.

Также бегло просмотрели решения по административным делам. Их меньше. В одном деле по итогам проверки Узкомназорат (ГИС) оштрафовала на 7,5 млн. сум руководителя предприятия, которое открыло сайт где регистрировались покупатели, но саму эту базу не зарегистрировало в госреестре баз ПДн.
👩‍🏫Берём этот случай в наш семинар "Защита персональных данных в Узбекистане" в качестве страшилки для тех кто не хочет заниматься темой ПДн.

📐В вопросе о способах обработки персональных данных граждан Узбекистана, о локализации, и спорах о том “как правильно” возможно будет третий, перпендикулярный, вариант решения вопроса. Это применение особого правового режима обработки персональных данных для иностранных компаний (писали об этом тут).
К сожалению, детали особого правового режима пока неизвестны, но можно предположить что будут существенные послабления в части регулирования защиты персональных данных. Иначе все иностранные компании могли бы работать на общих основаниях - как все остальные.
🤔То есть условный TikTok, доступ к которому сейчас ограничивается по специальный внесудебной процедуре, сможет стать резидентом центра и выйдет из под санкций не размещая оборудования на территории Узбекистан?

Также, в сообщениях о центре, получившем название Enterprise Uzbekistan, отмечается, что там “вводятся принципы английского права, свободного движения капитала, международные стандарты трудовых отношений”. Значит ли это что на резидентов парка будет тогда распространяться GDPR? Но соответствовать GDPR в разы (а то и на порядки) сложнее чем закону РУз “О персональных данных”.

📖Вероятно, ответы на эти вопросы даст закон о Международном центре цифровых технологий.

🤵Интересный случай с персональными данными в Казахстане. Там гражданин обратился в суд в связи с нарушением правил обработки ПДн во время референдума о строительстве АЭС - у него на избирательном участке сняли копию с документа, вместо того чтобы просто ознакомиться с документом и переписать его данные вручную. Теперь суд будет разбираться - было ли нарушение.

🏦Задумывались, а зачем у нас снимают копию с документа при каждом обращении в банк? Даже если вы там годами оформляете вклады и все-все данные уже есть в АБС. Единственное объяснение которое мы слышали - работник банка таким образом потом сможет доказать что человек приходил и предъявлял свой документ. Но что же получается - чтобы прикрыть свой тыл банк снимает копию нашего документа?
🛂Почему-то при пересечении границ копии не снимают, а в банке - каждый раз. Банк вправе вводить процедуры, но не за счёт персональных данных клиентов. В качестве варианта решения проблемы - применения сканеров документов, которые считывают по NFC информацию с документа и таким образом происходит ещё и проверка его подлинности, и копия не снимается, и отметка в системе остаётся, и скорость обслуживания увеличивается. В конце концов, для контроля за операционистами есть системы видеонаблюдения, которые уже установлены во всех филиалах банка.

О том на сколько высока реальная цена персональных данным мы смогли убедиться совсем недавно.

🇺🇿⚡️ С 1 июля 2025 года в Узбекистане цифровые версии персональных документов, включая паспорт и водительские права, будут официально признаваться наравне с бумажными. Их можно будет предъявлять через приложения ЕПИГУ (my.gov.uz) и «Социальная карта» в госорганах, банках и у нотариуса.
Это предусмотрено ПКМ № 897 от 27.12.2024 г. Подробнее - на Gazeta.uz
📱Электронные версии ID-карты, водительского удостоверения и загранпаспорта уже доступны в приложении MyGov.

🤔Возможно это поможет положит конец порочной практике снятия копий документов при любом обращении в банк. Нет физического документа - нечего копировать.

🇺🇿Тема персональных данных теперь встречается во всё большем числе нормативно-правовых актов. Например, ПКМ "О мерах по дальнейшему развитию сферы электронной коммерции в Узбекистане". Оно содержит требование к электронным торговым платформам, маркетплейсам, агрегаторам заказов и стриминговым сервисам соблюдать требования законодательства в области защиты персональных данных (будто они без этого не попадали под регулирование🤔).
Также все эти организации теперь могут быть только юридическими лицами и резидентами Узбекистана. Подробный разбор остальных тонкостей документа есть сделали на Gazeta.uz.

О том что с обеспечением комплаенса законодательству о персональных данных всё непросто даже в сфере ИТ-услуг мы писали многократно.

🇺🇿⚡️В самом конце прошлого года вышел ещё и Указ Президента Республики Узбекистан, № УП-229 от 27.12.2024 г. “Об очередных мерах по обеспечению равных условий для предпринимателей и справедливой конкурентной среды”. Нас же в первую очередь интересует пункт 37 "Дорожной карты" к нему. Она составлена по итогам встречи президента Узбекистана с предпринимателями, на котором поднимался вопрос об облачных технологиях и персональных данных.

✍️Этим пунктом КабМину, ЦБ, МинЮсту, МинЦифры и Центру кибербезопасности (СГБ) поручено к марту 2025 года (то есть в течение трёх месяцев) подготовить предложения по созданию центра обработки данных, работающего на основе облачных технологий, обеспечивающего информационную и кибербезопасность, защиту персональных данных и банковской тайны.
🤔Из дорожной карты непонятно - это будет один конкретный дата-центр, который будет рекомендован для этих целей или система требований, которую смогут имплементировать уже существующие дата-центры.

🧐Со своей стороны отметим, что сейчас в стране нет ни одного официального документа, который бы запрещал использование облачных технологий для обработки персональных данных, тем более внутри страны. Так же как нет запрета на трансграничную передачу ПДн и обработку их за рубежом, при выполнении статьи 27.1 закона “О персональных данных”. Трансграничная передача ПДн тоже прямо предусмотрена законом.

Хотите лучше разобраться в тонкостях регулирования сферы - приглашайте нас с семинаром «Персональные данные в Узбекистане».

👨‍⚖️Стали известны подробности уголовного дела в отношении двух граждан Узбекистана за нарушение правил обработки персональных данных о котором писали вчера.

🔍Целиком с приговором и деталями этого дела можно ознакомиться на сайте Верховного суда РУз выполнив поиск по номеру дела, которое приводится, например, на сайте Anhor.uz, на сайте Взгляд.uz и телеграм-канале Advokat G’aniyev - 1-1006-2407/980

📎Некоторые моменты из приговора:
- оперативные мероприятия проводились сотрудниками СГБ РУз;
- Непосредственные исполнители, работники компаний сотовой связи, были признаны виновными в нарушении законодательства о персональных данных (часть 2 статьи 141.2 УК РУз), но были освобождены от наказания в силу утраты лицом общественной опасности (ст.70);
-Заказчик/посредник, организовавший “пробив” уже был судим и получил дополнительно один год ограничения свободы - ему нельзя с 22:00 до 6:00 покидать место жительства;
- в качестве таксы за подобный "пробив" упоминаются суммы порядка $200.

🇺🇿Второй случай реального осуждения граждан за нарушение правил обработки персональных данных в Узбекистане.

СМИ Проект “Взгляд.uz” со ссылкой на телеграм-канал адвоката Бехзода Ганиева сообщает о вступлении в силу решения суда в отношении работников компаний Beeline.uz и Mobi.uz, которые передали посторонним данные о номерах телефонов, ФИО и адресах проживания абонентов. По данным проекта суд квалифицировал их действия как нарушение законодательства о персональных данных, совершённое группой лиц по предварительному сговору (часть 2 статьи 141.2 УК РУз). О санкции в отношении осуждённых - не сообщается.

Первое громкое уголовное дело по персональным данным было о преступной группе, занимавшейся незаконной регистрацией IMEI-кодов мобильных устройств на паспорта третьих лиц, об этом рассказала «Газета.uz» в 2022 году.

⚡🇺🇿В самом конце прошлого 2024 года был опубликован и сразу вступил в силу закон Республики Узбекистан “О телекоммуникациях” в новой редакции.

На что стоит обратить внимание:
- Министерство цифровых технологий определено уполномоченным органом (ст.9)
Статья 11 описывает “регулирующий орган” и его права, определяться он будет КабМином. Чем он отличается от “уполномоченного органа” или это тоже будет МинЦифры - пока непонятно.
- В статье 23 указывается что средства оперативно-розыскных мероприятий (СОРМ) приобретаются за счёт провайдера и по требованию специального уполномоченного органа. Но закон определяет “уполномоченный орган”, это МинЦифры, а “специальный уполномоченный орган” явно в законе не определён. В прежней редакции закона он был (профильное министерство). Вероятно, при принятии новой редакции где-то в тексте остались рудименты этого термина. Ну или придётся предположить что будут существовать разные “уполномоченный орган”, “специальный уполномоченный орган”, “регулирующий орган”.🤔

- Примечательное нововведение в статье 13:

Лицензия на эксплуатацию и оказание услуг сети передачи данных не требуется при использовании сетей передачи данных в производственно-технологическом процессе и в целях доставки сигналов для оказания услуг банка, платежной системы, платежной организации, а также платформы электронной коммерции.

До этого в первую очередь платёжные организации зачем-то получали лицензию на проектирование, строительство, эксплуатацию и обслуживание сетей телекоммуникации, хотя занимались этим не в большей степени чем любое другое современное предприятие.

Канал КорпИнфо сделал разбор нового закона с точки зрения прав собственности под несколько кликбейтным заголовком “Запрещено ли теперь использование VPN, и что такое «Связь» в Узбекистане ?!”
Краткий ответ - нет. Разъяснения на этот счёт давал даже МинИнфоком. Такая мысль могла появиться потому что в статье 20 есть фрагмент о запрете использования сети телекоммуникаций в обход установленных систем защиты. На самом деле эта норма была уже давно, в Кодексе об административной ответственности была статья 278.7. Незаконный (несанкционированный) доступ к сети телекоммуникаций с практически идентичным текстом. Она касается терминации телефонного трафика в обход традиционных операторов и GSM-шлюзов. Зачем понадобилось повторять эту норму ещё и в тексте закона - непонятно.

🇺🇿Министерство юстиции Республики Узбекистан напоминает, что с 1 января 2025 будет введен единый электронный реестр населения, содержащий гражданское состояние физических лиц и другие сведения об их личности.
Собственно все что пока известно об этом реестре содержится в п.14 приказа Указа президента РУз № УП-80 от 24.05.2024 г.

Установить, что Единый электронный реестр населения:
- является единой электронной базой персональных данных граждан Республики Узбекистан, иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Узбекистан;
- интегрируется с информационными системами соответствующих государственных органов и организаций, и при оказании государственных услуг гражданам, оформлении нотариальных действий, предоставлении банковских, коммунальных, страховых и других массовых услуг используется данный реестр;
- ведется Агентством персонализации при Министерстве юстиции.

🤔Интересно, пополнится ли теперь профессиональный жаргон ИТ, ИБ и ПДн специалистов новой аббревиатурой ЕЭРН?

🇺🇿📚Опубликован текст Национального стандарта Узбекистана OʻzMSt ISO/IEC 27002:2024 (ISO/IEC 27002:2022, IDT) "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".
Нужно понимать что стандарты ISO/IEC 27001 и ISO/IEC 27002 идут в паре. Первый - перечень требований, именно по нему проводят сертификацию. По данным ISO в Узбекистане сейчас только три предприятия имеют такой сертификат.
Второй - подробный справочник по каждому требованию с примерами и рекомендациями. То есть специалистам в работе полезнее именно второй.
Итак, кратко ещё раз ISO/IEC 27001 - требования , ISO/IEC 27002 - справочник по каждому требованию.

Основной (старший, родительский) стандарт по ИБ в Узбекистане Oʻz DSt ISO/IEC 27001:2020 пока остался без изменений и идентичен предыдущей версии международного ISO/IEC 27001:2013. Сведений о его обновлении у нас нет. Обзор новых национальных стандартов ИБ Узбекистана мы делали совсем недавно.

UDP: В приложении C стандарта OʻzMSt ISO/IEC 27002:2024 "Сведения о соответствии ссылочных международных стандартов государственным стандартам Республики Узбекистан" есть важное примечание о ISO/IEC 27001:

* В настоящее время действует новая версия международного стандарта. До принятия новой версии
международного стандарта в качестве национального стандарта использовать действующий государственный стандарт или новую версию международного стандарта

🇺🇿💭Примечательный диалог состоялся у представителя TBC Group Оливера Хьюза с президентом Узбекистана в прошлую пятницу, 20 декабря 2024 г. Хьюз выдвинул предложение внести изменения в законодательство, позволяющие хранить персональные данные и банковскую информацию с использованием облачных технологий. Президент отметил серьезность вопроса и подчеркнул необходимость продуманного решения.
🎞Видеозапись этого фрагмента диалога приводит Kun.uz

🧐Со своей стороны отметим, что сейчас в стране нет ни одного официального документа, который бы запрещал использование облачных технологий для обработки персональных данных, тем более внутри страны. Так же как нет запрета на трансграничную передачу ПДн и обработку их за рубежом, при выполнении статьи 27.1 закона “О персональных данных”. Трансграничная передача ПДн тоже прямо предусмотрена законом.
Но в отсутствии официальных и публичных разъяснений от регуляторов предприниматели руководствуются принципом “все что явно не разрешено - то запрещено”. Потому что при очередной проверке объяснить почему это вы используете арендованный сервер в дата-центре, а не строите свой собственный дорогущий ЦОД будет сложно. Ведь у проверяющего будет своё мнение и скорее всего очень консервативное.
🤔При этом погруженные “в тему” понимают что почти все уже используют и облака, и трансграничную передачу (проводили опрос тут).

Возвращаясь к теме поднятой Оливером Хьюзом - по сути даже не требуется вносить какие-то изменения в законодательство. Наше регулирование плюс-минус такое же как у соседей. Нужны комментарии регуляторов по применению норм, разбор схем - как правильно (например так). Ну и конечно нужно размещение комментариев на официальных сайтах, чтобы потом при проверке можно было сослаться на позицию регулирующего органа. Сейчас этого нет.

🗞🇺🇿Одно из отчественных СМИ сообщило о проблемах с работой некоторых протоколов (упоминается TLS 1.3) в Узбекистане.

При этом пока никаких новостей по этой теме в каналах официальных ведомств, курирующих сферу ИКТ - нет.
⚒️В этой связи можно напомнить о прекрасном инструменте ssllabs.com. Там можно посмотреть какие протоколы поддерживает и ваш браузер.
Также можно посмотреть какую версию TLS использует браузер для работы с конкретным сервером используя “инструмент разработчика” прямо в любом браузере:
1. Откройте сайт с HTTPS-соединением.
2. Нажмите F12 или Ctrl+Shift+I , чтобы открыть инструменты разработчика.
3. Перейдите на вкладку Network (Сеть) и обновите страницу (нажмите F5).
4. Выберите запрос к главной странице (обычно это первый элемент списка).В разделе Security (Безопасность) можно увидеть информацию о протоколе TLS.

Вдвойне странно выглядит предположение о причинах возможного ограничения работы некоторых протоколов, упоминаемых Podrobno.uz: "Некоторые ресурсы начали использовать эти протоколы для сокрытия персональных данных, поэтому их решили заблокировать"

Вообще-то криптографическая защита персональных данных это прямая обязанность оператора персональных данных. Про это сказано в п.30.9 приказа МинЮста №3478:

В целях обеспечения защиты персональных данных собственник и (или) оператор обязаны обеспечить использование средств криптографической защиты информации для персональных данных ограниченного доступа

👨‍🏫В общем сейчас рекомендуется использовать TLS 1.2 и 1.3. Настоятельно рекомендуется отказываться от “младших” версий и уж точно недопустимо использование старых протоколов SSL, так как они призваны уязвимыми. Об этом пишут и PCI Council и Microsoft.

🔎🇺🇿Продолжая изучать документ об организации азартных игр в Узбекистане, обнаружили несколько интересных моментов.

Пунктом 9. б) прил.№ 3 к ПКМ № 814 от 6.12.2024 предусмотрено:

Информационная система, используемая организатором игры в процессе проверки и идентификации личности клиента отправляет запрос (по представленным клиентом данным) в центральную базу данных и получает из неё:
...
сведения о поле, стране рождения, месте рождения, национальности, гражданстве и месте постоянного или временного проживания;

Возникает резонный вопрос - зачем организатору лотереи знать национальность игрока? Какова цель и как этом может ему помочь? Неужели ПИНФЛа, номера паспорта и биометрической фотографии недостаточно чтобы точно идентифицировать игрока?

Вторая сложность - сведения о национальности однозначно относятся к специальным персональным данным (ст.25 закона "О ПДн") и их обработка наиболее строго регулируется, а в общем случае вообще запрещена. Да, в законе так и написано:

Обработка специальных персональных данных запрещается, за исключением случаев, предусмотренных частью третьей настоящей статьи.

Настолько большие объемы обрабатываемых ПДн однозначно потребуют наличия DPO у каждого букмекера. Где на рынке труда их найдут - неясно, ведь их пока нет даже у некоторых крупных отечественных банков.

Мы же напоминаем про наш семинар «Персональные данные в Узбекистане»

Действительно ли необходимо хранить информацию о национальности игрока в базе данных букмекера?
👍Да, это усилит защиту
👎Нет, это требование явно излишнее
🤔Не могу определиться, наверное есть какие-то тонкости

🗞Интервью с начальником Центра кибербезопасности МВД РУз приводит Spot. Большинство мошеннических схем стары и прекрасно знакомы читателя канала.
📞Из впервые упоминаемого на таком уровне - подмена номера звонящего:

Мошенники, используя интернет-телефонию, могут подделывать номера телефонов, так что на экране вашего устройства отображается любой желаемый ими номер. Если вы получили подозрительный звонок, рекомендуется сбросить его и самостоятельно перезвонить на этот номер. В большинстве случаев вы обнаружите, что номер либо не существует, либо на другом конце ответит человек, не имеющий никакого отношения к мошенничеству.

Тут дело не в использовании интернет-телефонии, а существующей уязвимости в системе сигнализации ОКС-7 (SS7), используемой в системах телефонии по всему миру. Хорошее объяснение уязвимости ОКС-7 (SS7) здесь.
😡К сожалению, от использования такой схемы пострадали уже и некоторые наши знакомые. Их номера использовали для подмены мошенники для звонков своим жертвам. Устранить уязвимость можно было бы разом перейдя на другую систему сигнализации по всему миру. А так как это практически невозможно, проблема эта останется с нами ещё многие годы. Поэтому тут нужно хотя бы знать, что такая схема возможна и скептически относиться к номеру, отображаемому при входящем звонке.

Вы знали о существовании уязвимости из-за которой можно подменять номер звонящего?
👍Да, знаю о такой проблеме
🤔Не верю что это возможно на практике
👎Нет, впервые узнал(а) только что

🎰Интересные аспекты регулирования ИТ и защиты ПДн поднимаются в ПКМ-е о требованиях к организаторам азартных игр, лотерей и ставок в интернете. Разбор документа сделали Gazeta.uz и Spot.

В этой связи обращают на себя внимание два вопроса:
🌍1. Определение принадлежности IP-адреса к Узбекистану
Все клиенты букмекеров, онлайн-игр и онлайн-лотерей должны проходить цифровую (удаленную) идентификацию. Процедура может проводиться только с IP-адреса либо номера телефона, относящегося к Узбекистану или стране, гражданином которой является клиент-иностранец.
Если с номером телефона просто, то с определением “географии” ip-адреса всё сложнее. Провайдеры покупают и продают IPv4 адреса на рынке, привязка постоянно меняется. Организатором игрищ нужно будет озаботится тем как они верифицируют привязку ip-адреса к Узбекистану и как они смогут это подтвердить в случае спорной ситуации.
Эксперты предполагают два вариант решения:
- Использовать сервис Whois от от регионального интернет-регистратора RIPE NCC (правильнее).
- Использование фильтрации по спискам подсетей TAS-IX (хуже, слишком грубо).

🛂2. Создание отдельной базы, содержащей значительные объемы персональных данных.
НАПП отвечает за ведение Единого государственного регистра ставок и игроков (ЕГРСИ), оператором которого выступит Uzinfocom.
Клиент(игрок) обязан предоставить организатору свое фото и отсканированную копию идентификационного документа (паспорт, ID-карта). Для верификации будут использоваться данные из центральной базы электронного правительства. Если найти сведения о клиенте не удалось, представитель организатора может заверить личность по видеосвязи.
То есть появится полноценная база данных игроков со всем-всеми данными, раз даже предусмотрена биометрическая идентификация и будет хранение истории транзакций и выплат по выигрышам.

📝Обновили нашу статью “Краткий анализ нормативной базы по информационной безопасности в Узбекистане”. Впервые она была опубликована в ноябре 2014 и периодически актуализируется. Статья будет полезна молодым специалистам в сфере ИБ, комплаенса и тем кто пробует разобраться в защите персональных данных.

🆕Что нового?
- Добавлена Конституция Республики Узбекистан в новой редакции. С 2023 года в тексте основного закона упоминается интернет и право на защиту своих персональных данных.
- Добавили Закон "Об электронной цифровой подписи" в новой редакции.
- Актуализировали документы ЦБ РУз по ИБ, приказы МинЮста и СГБ.

🗞Краткий анализ нормативной базы по информационной безопасности в Узбекистане.

Показательный кейс коллизии законодательства о персональных данных и здравоохранения в Узбекистане подсветили в Gazeta.uz.

Подробнее можно послушать по таймкоду, но кратко ситуация такая:
В Узбекистане возникла необходимость создания канцер-регистра - информационной системы отслеживания больных раком в масштабах страны, изучения и управления лечением. Международная организация (МАИР) предлагала готовое бесплатное решение - свою собственную разработку, которая размещается на их же серверах за рубежом. Но из-за требований по локализации обработки ПДн (ст.27.1 необходимость физического оборудования на территории Узбекистана), готовое, бесплатное, испытанное облачное решение было отвергнуто.
Вместо этого пришлось изыскивать средства в размере миллиона долларов на приобретение оборудования и ПО для создание локализованного канцер-регистра. По этой же причине сам регистр начал разворачиваться только в апреле 2024 года, хотя постановление о его создании вышло в 2017 году.

👩🏻‍💻Что же можно предложить чтобы из-за требований закона действительно важные инициативы не буксовали годами?
1️⃣. Сделать достаточным чтобы оператор был резидентом Узбекистана и зарегистрировал базу госреестре. В этом случае можно было бы не требовать размещения серверов в Узбекистане. Ведь сейчас строго по закону можно разместить базу в стране, сделать сбор, а потом осуществить трансграничную обработку ПДн и обрабатывать их далее уже в облаке.
Наличие базы физически на территории страны не сильно влияет на вероятность утечки. При пренебрежении ИБ утечка может произойти и с локального сервера, и из облака.
2️⃣. Если оператор - нерезидент, тогда требование по локализации обработки оправдано, так как это единственный способ в случае чего призвать его к ответу, найти и оштрафовать. Если оператор ПДн - резидент, то ответственного найти не составит труда, как минимум это руководитель предприятия.
3️⃣. В крайнем случае для таких жизненно-важных проектов предусматривать так называемый особый правовой режим. Причём, он сейчас уже есть, но (неожиданно) только для некоторых иностранных компаний (писали об этом тут).

🤔Иначе получается странная картина. Многие коммерческие компании (типа страховых) спокойно работают, не делая ничего в части защиты ПДн, а действительно важная инициатива буксует так как её создатели стараются придерживаться требований закона.