ИБ в Узбекистане (ITTS)

🇺🇿🌐Сайты всех госорганов Узбекистана “переедут” на домен gov.uz. Это определено в ПКМ № 54 от 31.01.2025 "О мерах по совершенствованию официальных веб-сайтов государственных органов и организаций" (перевод названия - неофицильный)

Kun.uz со ссылкой на lex.uz провёл краткий обзор и сообщает, что, например, адрес официального сайта Министерства юстиции adliya.uz изменится на https://gov.uz/adliya
🗓Миграция сайтов госорганов на новый адрес должна пройти до 1 марта 2025 года.

🔍Центр кибербезопасности при СГБ совместно с Министерством цифровых технологий будет каждые шесть месяцев бесплатно проводить экспертизу Единой платформы на соответствие требованиям кибербезопасности.

Документ содержит и другие требования по размещению информации на сайтах госорганов после их миграции на единую платформу.

🇺🇿🔐Постановлением № ПП-30 от 27.01.2025 г. внесены изменения и дополнения в постановление Президента РУз «О мерах по организации криптографической защиты информации в Республике Узбекистан».

По данным канала "Правовая информация" этим документом внесены изменения и дополнения предусматривающие:
- совершенствование процедур разработки средств криптографической защиты информации;
- установление требований использования программных средств криптографической защиты информации при защите государственных секретов;
- продление срока сертификации средств криптографической защиты информации;
- совершенствование порядка признания зарубежных сертификатов соответствия.

🇺🇿👩🏻‍🎓На прошлой неделе вышли сразу несколько документов о высшем образовании в сфере кибербезопасности.

1. Постановление Президента Республики Узбекистан, от 20.01.2025 г. № ПП-14 “О создании Государственного университета «Cyber university»”
Основная задача университета - подготовка кадров в области защиты информации, информационной и кибербезопасности, цифровых технологий и цифровой экономики, создания автоматизированных информационно-аналитических систем на основе искусственного интеллекта, робототехники и других смежных направлений.
🗓 Учебный процесс в университете начнется в сентябре 2025 года.

2. Постановление Президента «О мерах по внедрению системы подготовки профессиональных кадров для сферы противодействия преступлениям, совершаемым с использованием цифровых технологий» (№ 17 от 22.01.2025 г.)
- в Академии МВД появится бакалавриат по специальности «Деятельность по борьбе с преступностью в сфере цифровых технологий»;
- в Правоохранительной академии появится Магистратура по специальности «Правовое обеспечение кибербезопасности»;
- Через информационно-образовательный портал Правоохранительной академии в дистанционном формате будут организованы постоянно действующие специализированные учебные курсы по направлению «Цифровая криминалистика».

🤔К сожалению, ни в одном из документов не удалось найти упоминания защиты персональных данных и подготовку специалистов в этой сфере. Зато о проведении семинара по ПДн с рассмотрением опыта GDPR сообщает ГИС/O‘zkomnazorat. Значит контрольные мероприятия выйдут на новый уровень - прозрачное предупреждение для всех операторов ПДн. Тем более что именно ГИС причастна к кейсу, когда компанию оштрафовали за нарушение правил обработки.

🇺🇿Статистика по количеству кибератак за 2023 и 2024 годы
приводится в телеграм-канале ГУП “Центр кибербезопасности”:

В 2023 году зафиксировано более 11 миллионов попыток кибератак.
В 2024 году этот показатель превысил 12 миллионов.
Число киберинцидентов в 2024 возросло со 158 до 261.

Методика подсчёта и область исследуемого киберпространства в сообщении не указываются. Даже такие обобщенные цифры помогут начальникам отделов ИБ в споре с руководством о важности ИБ на предприятии.

🗞Напомним, впервые на высшем уровне цифры по кибератакам озвучил премьер-министр Узбекистана Абдулла Арипов в 2019 году - тогда было выявлено 8 миллионов кибератак.

Определения согласно Закону РУз “О кибербезопаности”:

кибератака — действие, представляющее угрозу кибербезопасности, умышленно осуществляемое в киберпространстве с использованием аппаратных, аппаратно-программных и программных средств;
инцидент кибербезопасности — событие в киберпространстве, приведшее к сбоям в работе информационных систем и (или) нарушениям доступности информации в них, целостности и ее свободного использования;

🔍Мы провели исследование базы решений уголовных судов в Узбекистане по делам о нарушении правил обработки персональных данных. До СМИ доходили только два из них - о контрабанде телефонов и регистрации их в UzIMEI и недавний случай с пробивом у операторов мобильной связи.
На самом деле за время появления профильной статьи в уголовном кодексе дел набралось уже несколько сотен. Большая часть из них не чисто по теме ПДн. Часть о персональных данных идёт “прицепом” к мошенничеству, контрабанде и т.п.

😮Пожалуй, самое показательное дело с которым мы встретились это 1-1003-2204/773. Там злоумышленники под разными предлогами регистрировали ничего не подозревающих людей в онлайн-приложениях банков и потом использовали аккаунты для вывода средств от мошенничества и сокрытия истинных бенефициаров. По данным дела за каждый новый аккаунт в онлайн-банке исполнители преступления получали от заказчика по $40.

📎В целом практика такова что если уголовное дело связано только с ПДн, то обычно назначается штраф или ограничение свободы (запрет покидать место жительства в ночное время). А когда дело проходит по нескольким статьям, там сроки за другие преступления перекрывают санкцию за статью о персональных данных, происходит так называемое “частичное сложение сроков”. Но есть случаи когда именно нарушения в части ПДн исключают, оставляя другие обвинения.

Также бегло просмотрели решения по административным делам. Их меньше. В одном деле по итогам проверки Узкомназорат (ГИС) оштрафовала на 7,5 млн. сум руководителя предприятия, которое открыло сайт где регистрировались покупатели, но саму эту базу не зарегистрировало в госреестре баз ПДн.
👩‍🏫Берём этот случай в наш семинар "Защита персональных данных в Узбекистане" в качестве страшилки для тех кто не хочет заниматься темой ПДн.

📐В вопросе о способах обработки персональных данных граждан Узбекистана, о локализации, и спорах о том “как правильно” возможно будет третий, перпендикулярный, вариант решения вопроса. Это применение особого правового режима обработки персональных данных для иностранных компаний (писали об этом тут).
К сожалению, детали особого правового режима пока неизвестны, но можно предположить что будут существенные послабления в части регулирования защиты персональных данных. Иначе все иностранные компании могли бы работать на общих основаниях - как все остальные.
🤔То есть условный TikTok, доступ к которому сейчас ограничивается по специальный внесудебной процедуре, сможет стать резидентом центра и выйдет из под санкций не размещая оборудования на территории Узбекистан?

Также, в сообщениях о центре, получившем название Enterprise Uzbekistan, отмечается, что там “вводятся принципы английского права, свободного движения капитала, международные стандарты трудовых отношений”. Значит ли это что на резидентов парка будет тогда распространяться GDPR? Но соответствовать GDPR в разы (а то и на порядки) сложнее чем закону РУз “О персональных данных”.

📖Вероятно, ответы на эти вопросы даст закон о Международном центре цифровых технологий.

🤵Интересный случай с персональными данными в Казахстане. Там гражданин обратился в суд в связи с нарушением правил обработки ПДн во время референдума о строительстве АЭС - у него на избирательном участке сняли копию с документа, вместо того чтобы просто ознакомиться с документом и переписать его данные вручную. Теперь суд будет разбираться - было ли нарушение.

🏦Задумывались, а зачем у нас снимают копию с документа при каждом обращении в банк? Даже если вы там годами оформляете вклады и все-все данные уже есть в АБС. Единственное объяснение которое мы слышали - работник банка таким образом потом сможет доказать что человек приходил и предъявлял свой документ. Но что же получается - чтобы прикрыть свой тыл банк снимает копию нашего документа?
🛂Почему-то при пересечении границ копии не снимают, а в банке - каждый раз. Банк вправе вводить процедуры, но не за счёт персональных данных клиентов. В качестве варианта решения проблемы - применения сканеров документов, которые считывают по NFC информацию с документа и таким образом происходит ещё и проверка его подлинности, и копия не снимается, и отметка в системе остаётся, и скорость обслуживания увеличивается. В конце концов, для контроля за операционистами есть системы видеонаблюдения, которые уже установлены во всех филиалах банка.

О том на сколько высока реальная цена персональных данным мы смогли убедиться совсем недавно.

🇺🇿⚡️ С 1 июля 2025 года в Узбекистане цифровые версии персональных документов, включая паспорт и водительские права, будут официально признаваться наравне с бумажными. Их можно будет предъявлять через приложения ЕПИГУ (my.gov.uz) и «Социальная карта» в госорганах, банках и у нотариуса.
Это предусмотрено ПКМ № 897 от 27.12.2024 г. Подробнее - на Gazeta.uz
📱Электронные версии ID-карты, водительского удостоверения и загранпаспорта уже доступны в приложении MyGov.

🤔Возможно это поможет положить конец порочной практике снятия копий документов при любом обращении в банк. Нет физического документа - нечего копировать.

🇺🇿Тема персональных данных теперь встречается во всё большем числе нормативно-правовых актов. Например, ПКМ "О мерах по дальнейшему развитию сферы электронной коммерции в Узбекистане". Оно содержит требование к электронным торговым платформам, маркетплейсам, агрегаторам заказов и стриминговым сервисам соблюдать требования законодательства в области защиты персональных данных (будто они без этого не попадали под регулирование🤔).
Также все эти организации теперь могут быть только юридическими лицами и резидентами Узбекистана. Подробный разбор остальных тонкостей документа есть сделали на Gazeta.uz.

О том что с обеспечением комплаенса законодательству о персональных данных всё непросто даже в сфере ИТ-услуг мы писали многократно.

🇺🇿⚡️В самом конце прошлого года вышел ещё и Указ Президента Республики Узбекистан, № УП-229 от 27.12.2024 г. “Об очередных мерах по обеспечению равных условий для предпринимателей и справедливой конкурентной среды”. Нас же в первую очередь интересует пункт 37 "Дорожной карты" к нему. Она составлена по итогам встречи президента Узбекистана с предпринимателями, на котором поднимался вопрос об облачных технологиях и персональных данных.

✍️Этим пунктом КабМину, ЦБ, МинЮсту, МинЦифры и Центру кибербезопасности (СГБ) поручено к марту 2025 года (то есть в течение трёх месяцев) подготовить предложения по созданию центра обработки данных, работающего на основе облачных технологий, обеспечивающего информационную и кибербезопасность, защиту персональных данных и банковской тайны.
🤔Из дорожной карты непонятно - это будет один конкретный дата-центр, который будет рекомендован для этих целей или система требований, которую смогут имплементировать уже существующие дата-центры.

🧐Со своей стороны отметим, что сейчас в стране нет ни одного официального документа, который бы запрещал использование облачных технологий для обработки персональных данных, тем более внутри страны. Так же как нет запрета на трансграничную передачу ПДн и обработку их за рубежом, при выполнении статьи 27.1 закона “О персональных данных”. Трансграничная передача ПДн тоже прямо предусмотрена законом.

Хотите лучше разобраться в тонкостях регулирования сферы - приглашайте нас с семинаром «Персональные данные в Узбекистане».

👨‍⚖️Стали известны подробности уголовного дела в отношении двух граждан Узбекистана за нарушение правил обработки персональных данных о котором писали вчера.

🔍Целиком с приговором и деталями этого дела можно ознакомиться на сайте Верховного суда РУз выполнив поиск по номеру дела, которое приводится, например, на сайте Anhor.uz, на сайте Взгляд.uz и телеграм-канале Advokat G’aniyev - 1-1006-2407/980

📎Некоторые моменты из приговора:
- оперативные мероприятия проводились сотрудниками СГБ РУз;
- Непосредственные исполнители, работники компаний сотовой связи, были признаны виновными в нарушении законодательства о персональных данных (часть 2 статьи 141.2 УК РУз), но были освобождены от наказания в силу утраты лицом общественной опасности (ст.70);
-Заказчик/посредник, организовавший “пробив” уже был судим и получил дополнительно один год ограничения свободы - ему нельзя с 22:00 до 6:00 покидать место жительства;
- в качестве таксы за подобный "пробив" упоминаются суммы порядка $200.

🇺🇿Второй случай реального осуждения граждан за нарушение правил обработки персональных данных в Узбекистане.

СМИ Проект “Взгляд.uz” со ссылкой на телеграм-канал адвоката Бехзода Ганиева сообщает о вступлении в силу решения суда в отношении работников компаний Beeline.uz и Mobi.uz, которые передали посторонним данные о номерах телефонов, ФИО и адресах проживания абонентов. По данным проекта суд квалифицировал их действия как нарушение законодательства о персональных данных, совершённое группой лиц по предварительному сговору (часть 2 статьи 141.2 УК РУз). О санкции в отношении осуждённых - не сообщается.

Первое громкое уголовное дело по персональным данным было о преступной группе, занимавшейся незаконной регистрацией IMEI-кодов мобильных устройств на паспорта третьих лиц, об этом рассказала «Газета.uz» в 2022 году.

⚡🇺🇿В самом конце прошлого 2024 года был опубликован и сразу вступил в силу закон Республики Узбекистан “О телекоммуникациях” в новой редакции.

На что стоит обратить внимание:
- Министерство цифровых технологий определено уполномоченным органом (ст.9)
Статья 11 описывает “регулирующий орган” и его права, определяться он будет КабМином. Чем он отличается от “уполномоченного органа” или это тоже будет МинЦифры - пока непонятно.
- В статье 23 указывается что средства оперативно-розыскных мероприятий (СОРМ) приобретаются за счёт провайдера и по требованию специального уполномоченного органа. Но закон определяет “уполномоченный орган”, это МинЦифры, а “специальный уполномоченный орган” явно в законе не определён. В прежней редакции закона он был (профильное министерство). Вероятно, при принятии новой редакции где-то в тексте остались рудименты этого термина. Ну или придётся предположить что будут существовать разные “уполномоченный орган”, “специальный уполномоченный орган”, “регулирующий орган”.🤔

- Примечательное нововведение в статье 13:

Лицензия на эксплуатацию и оказание услуг сети передачи данных не требуется при использовании сетей передачи данных в производственно-технологическом процессе и в целях доставки сигналов для оказания услуг банка, платежной системы, платежной организации, а также платформы электронной коммерции.

До этого в первую очередь платёжные организации зачем-то получали лицензию на проектирование, строительство, эксплуатацию и обслуживание сетей телекоммуникации, хотя занимались этим не в большей степени чем любое другое современное предприятие.

Канал КорпИнфо сделал разбор нового закона с точки зрения прав собственности под несколько кликбейтным заголовком “Запрещено ли теперь использование VPN, и что такое «Связь» в Узбекистане ?!”
Краткий ответ - нет. Разъяснения на этот счёт давал даже МинИнфоком. Такая мысль могла появиться потому что в статье 20 есть фрагмент о запрете использования сети телекоммуникаций в обход установленных систем защиты. На самом деле эта норма была уже давно, в Кодексе об административной ответственности была статья 278.7. Незаконный (несанкционированный) доступ к сети телекоммуникаций с практически идентичным текстом. Она касается терминации телефонного трафика в обход традиционных операторов и GSM-шлюзов. Зачем понадобилось повторять эту норму ещё и в тексте закона - непонятно.

🇺🇿Министерство юстиции Республики Узбекистан напоминает, что с 1 января 2025 будет введен единый электронный реестр населения, содержащий гражданское состояние физических лиц и другие сведения об их личности.
Собственно все что пока известно об этом реестре содержится в п.14 приказа Указа президента РУз № УП-80 от 24.05.2024 г.

Установить, что Единый электронный реестр населения:
- является единой электронной базой персональных данных граждан Республики Узбекистан, иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Узбекистан;
- интегрируется с информационными системами соответствующих государственных органов и организаций, и при оказании государственных услуг гражданам, оформлении нотариальных действий, предоставлении банковских, коммунальных, страховых и других массовых услуг используется данный реестр;
- ведется Агентством персонализации при Министерстве юстиции.

🤔Интересно, пополнится ли теперь профессиональный жаргон ИТ, ИБ и ПДн специалистов новой аббревиатурой ЕЭРН?

🇺🇿📚Опубликован текст Национального стандарта Узбекистана OʻzMSt ISO/IEC 27002:2024 (ISO/IEC 27002:2022, IDT) "Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью".
Нужно понимать что стандарты ISO/IEC 27001 и ISO/IEC 27002 идут в паре. Первый - перечень требований, именно по нему проводят сертификацию. По данным ISO в Узбекистане сейчас только три предприятия имеют такой сертификат.
Второй - подробный справочник по каждому требованию с примерами и рекомендациями. То есть специалистам в работе полезнее именно второй.
Итак, кратко ещё раз ISO/IEC 27001 - требования , ISO/IEC 27002 - справочник по каждому требованию.

Основной (старший, родительский) стандарт по ИБ в Узбекистане Oʻz DSt ISO/IEC 27001:2020 пока остался без изменений и идентичен предыдущей версии международного ISO/IEC 27001:2013. Сведений о его обновлении у нас нет. Обзор новых национальных стандартов ИБ Узбекистана мы делали совсем недавно.

UDP: В приложении C стандарта OʻzMSt ISO/IEC 27002:2024 "Сведения о соответствии ссылочных международных стандартов государственным стандартам Республики Узбекистан" есть важное примечание о ISO/IEC 27001:

* В настоящее время действует новая версия международного стандарта. До принятия новой версии
международного стандарта в качестве национального стандарта использовать действующий государственный стандарт или новую версию международного стандарта

🇺🇿💭Примечательный диалог состоялся у представителя TBC Group Оливера Хьюза с президентом Узбекистана в прошлую пятницу, 20 декабря 2024 г. Хьюз выдвинул предложение внести изменения в законодательство, позволяющие хранить персональные данные и банковскую информацию с использованием облачных технологий. Президент отметил серьезность вопроса и подчеркнул необходимость продуманного решения.
🎞Видеозапись этого фрагмента диалога приводит Kun.uz

🧐Со своей стороны отметим, что сейчас в стране нет ни одного официального документа, который бы запрещал использование облачных технологий для обработки персональных данных, тем более внутри страны. Так же как нет запрета на трансграничную передачу ПДн и обработку их за рубежом, при выполнении статьи 27.1 закона “О персональных данных”. Трансграничная передача ПДн тоже прямо предусмотрена законом.
Но в отсутствии официальных и публичных разъяснений от регуляторов предприниматели руководствуются принципом “все что явно не разрешено - то запрещено”. Потому что при очередной проверке объяснить почему это вы используете арендованный сервер в дата-центре, а не строите свой собственный дорогущий ЦОД будет сложно. Ведь у проверяющего будет своё мнение и скорее всего очень консервативное.
🤔При этом погруженные “в тему” понимают что почти все уже используют и облака, и трансграничную передачу (проводили опрос тут).

Возвращаясь к теме поднятой Оливером Хьюзом - по сути даже не требуется вносить какие-то изменения в законодательство. Наше регулирование плюс-минус такое же как у соседей. Нужны комментарии регуляторов по применению норм, разбор схем - как правильно (например так). Ну и конечно нужно размещение комментариев на официальных сайтах, чтобы потом при проверке можно было сослаться на позицию регулирующего органа. Сейчас этого нет.

🗞🇺🇿Одно из отчественных СМИ сообщило о проблемах с работой некоторых протоколов (упоминается TLS 1.3) в Узбекистане.

При этом пока никаких новостей по этой теме в каналах официальных ведомств, курирующих сферу ИКТ - нет.
⚒️В этой связи можно напомнить о прекрасном инструменте ssllabs.com. Там можно посмотреть какие протоколы поддерживает и ваш браузер.
Также можно посмотреть какую версию TLS использует браузер для работы с конкретным сервером используя “инструмент разработчика” прямо в любом браузере:
1. Откройте сайт с HTTPS-соединением.
2. Нажмите F12 или Ctrl+Shift+I , чтобы открыть инструменты разработчика.
3. Перейдите на вкладку Network (Сеть) и обновите страницу (нажмите F5).
4. Выберите запрос к главной странице (обычно это первый элемент списка).В разделе Security (Безопасность) можно увидеть информацию о протоколе TLS.

Вдвойне странно выглядит предположение о причинах возможного ограничения работы некоторых протоколов, упоминаемых Podrobno.uz: "Некоторые ресурсы начали использовать эти протоколы для сокрытия персональных данных, поэтому их решили заблокировать"

Вообще-то криптографическая защита персональных данных это прямая обязанность оператора персональных данных. Про это сказано в п.30.9 приказа МинЮста №3478:

В целях обеспечения защиты персональных данных собственник и (или) оператор обязаны обеспечить использование средств криптографической защиты информации для персональных данных ограниченного доступа

👨‍🏫В общем сейчас рекомендуется использовать TLS 1.2 и 1.3. Настоятельно рекомендуется отказываться от “младших” версий и уж точно недопустимо использование старых протоколов SSL, так как они призваны уязвимыми. Об этом пишут и PCI Council и Microsoft.

🔎🇺🇿Продолжая изучать документ об организации азартных игр в Узбекистане, обнаружили несколько интересных моментов.

Пунктом 9. б) прил.№ 3 к ПКМ № 814 от 6.12.2024 предусмотрено:

Информационная система, используемая организатором игры в процессе проверки и идентификации личности клиента отправляет запрос (по представленным клиентом данным) в центральную базу данных и получает из неё:
...
сведения о поле, стране рождения, месте рождения, национальности, гражданстве и месте постоянного или временного проживания;

Возникает резонный вопрос - зачем организатору лотереи знать национальность игрока? Какова цель и как этом может ему помочь? Неужели ПИНФЛа, номера паспорта и биометрической фотографии недостаточно чтобы точно идентифицировать игрока?

Вторая сложность - сведения о национальности однозначно относятся к специальным персональным данным (ст.25 закона "О ПДн") и их обработка наиболее строго регулируется, а в общем случае вообще запрещена. Да, в законе так и написано:

Обработка специальных персональных данных запрещается, за исключением случаев, предусмотренных частью третьей настоящей статьи.

Настолько большие объемы обрабатываемых ПДн однозначно потребуют наличия DPO у каждого букмекера. Где на рынке труда их найдут - неясно, ведь их пока нет даже у некоторых крупных отечественных банков.

Мы же напоминаем про наш семинар «Персональные данные в Узбекистане»

Действительно ли необходимо хранить информацию о национальности игрока в базе данных букмекера?
👍Да, это усилит защиту
👎Нет, это требование явно излишнее
🤔Не могу определиться, наверное есть какие-то тонкости

🗞Интервью с начальником Центра кибербезопасности МВД РУз приводит Spot. Большинство мошеннических схем стары и прекрасно знакомы читателя канала.
📞Из впервые упоминаемого на таком уровне - подмена номера звонящего:

Мошенники, используя интернет-телефонию, могут подделывать номера телефонов, так что на экране вашего устройства отображается любой желаемый ими номер. Если вы получили подозрительный звонок, рекомендуется сбросить его и самостоятельно перезвонить на этот номер. В большинстве случаев вы обнаружите, что номер либо не существует, либо на другом конце ответит человек, не имеющий никакого отношения к мошенничеству.

Тут дело не в использовании интернет-телефонии, а существующей уязвимости в системе сигнализации ОКС-7 (SS7), используемой в системах телефонии по всему миру. Хорошее объяснение уязвимости ОКС-7 (SS7) здесь.
😡К сожалению, от использования такой схемы пострадали уже и некоторые наши знакомые. Их номера использовали для подмены мошенники для звонков своим жертвам. Устранить уязвимость можно было бы разом перейдя на другую систему сигнализации по всему миру. А так как это практически невозможно, проблема эта останется с нами ещё многие годы. Поэтому тут нужно хотя бы знать, что такая схема возможна и скептически относиться к номеру, отображаемому при входящем звонке.

Вы знали о существовании уязвимости из-за которой можно подменять номер звонящего?
👍Да, знаю о такой проблеме
🤔Не верю что это возможно на практике
👎Нет, впервые узнал(а) только что