ИБ в Узбекистане (ITTS)

В соответствии с Указом УП №85 от 03.06.2024 года, с 1 января 2025 года операторам телекоммуникаций, имеющим мобильные и (или) проводные сети телекоммуникаций, осуществляющим деятельность на территории Узбекистана, в качестве эксперимента, будет предоставлено право на прямое подключение к международным сетям интернет для собственных коммерческих нужд с полным соблюдением требований оперативно-розыскной деятельности, систем информационной и кибербезопасности.

- сообщает канал Правовая информация.🇺🇿 Что означает “в качестве эксперимента” - пока не ясно. Но необходимость альтернативных каналов связи назрела давно. Низкую связность с внешними каналами и наличие единых точек отказа отмечали в прошлом году, коллеги из RIPE NCC и приводили вот эту иллюстрацию. ⬆️

🇺🇿Накануне центр кибербезопасности «CERT-CBU» Центрального банка РУз опубликовал краткие итоги изучения состояния обеспечения кибербезопасности в отечественных коммерческих банках и платежных организациях в I квартале 2024 года и список получивших самые высокие показатели:

Коммерческие банки (ТОП-5) 1) АКБ “O‘zbekiston sanoat-qurilish banki” - 99,2 балл 2) ЧАКБ “Orient Finans” - 96,5 балл 3) АО “Asakabank” - 94,1 балл 4) АКБ “Turonbank” - 93,0 балл 5) АКБ “Agrobank” - 90,1 балл Платежные организации (ТОП-5) 1) ООО “CS Express Pay” - 91,8 балл 2) ООО “Uzpaynet” - 90,1 балл 3) ООО “Pay-Way” - 89,8 балл 4) ООО “Click” - 85,6 балл 5) ООО “National Pay” - 82,1 балл

✍️Напомним: В Узбекистане сейчас три центра кибербезопасности. Похожие сводные рейтинги и отчёты о кибербезопасности в Узбекистане публикует ГУП «Центр кибербезопасности».

Требования по защите персональных данных появились и в принятом накануне Положении об обеспечении информационной безопасности и кибербезопасности у поставщиков платежных услуг. В нём, в главе 3, ещё раз указывается на необходимость обработки ПДн в соответствие с действующими нормативами. Например “Оператор базы персональных данных обязан утвердить состав персональных данных, необходимый и достаточный для выполнения ими задач”. Это такой реестр обработок на минималках (писали про него). У многих ли есть что-то подобное? 🕵️‍♂️🇺🇿Мы в своё время делали исследование по платёжным организациям в Узбекистане и тогда выяснилось что только треть из них зарегистрировало базу в госреестре. Т.е. продемонстрировали что хотя бы начали наводить порядок с персональными данными. 71% - ничего не делали в этой части. В то же время все банки имеют базы в ресстре, а то и по нескольку. Очевидно, что регуляторное давление на платёжные организации будет только возрастать. ⚒Навести порядок с персональными данными можно или в рамках консалтингового проекта или самостоятельно, прослушав наш семинар - тем более что DPO в любом случае должен появиться на предприятии.

🇺🇿🛂Ещё одна новость о системе Face ID (вторая за неделю) в Узбекистане. Указом президента Узбекистана № УП-80 от 24.05.2024 г., его пунктом 8.б определяется что: "До конца 2024 года при оказании государственных услуг внедряется метод биометрической идентификации личности (Face ID). При этом предоставление гражданами документов, устанавливающих личность, не требуется." То есть шутка из мультфильма "Каникулы в Простоквашино" звучит по-новому. Там у кота документами были усы, лапы и хвост. А без паспорта ему почтальон не выдавал посылку. Теперь человеку человеку достаточно будет показать лицо, чтобы получить основные госуслуги.

⚡️🇺🇿Опубликовано решение правления Центрального банка Республики Узбекистан рег. в МинЮст №3513 от 21.05.2024 "Об утверждении Положения об обеспечении информационной безопасности и кибербезопасности у операторов платежных систем и поставщиков платежных услуг и принятии мер по предотвращению правонарушений, совершаемых с использованием цифровых технологий". 🗓Документ вступит в силу 23.08.2024 С этой же даты утратит силу действующее сейчас Положение об обеспечении информационной безопасности в платежных системах операторов платежных систем и поставщиков платежных услуг (рег. в МинЮсте № 3268 30.06.2020)

На прошедшей в пятницу конференции GDPR Day 2024, организованной Data Privacy Office, был рассказан практически анекдотический, но реальный случай. Он прекрасно демонстрирует чтО происходит когда бизнес не учитывает требования по защите персональных данных. Эксперт описывает реальный пример работы интернет-магазина. 🛒Ничего не подозревающий пользователь просматривает страницы интернет-магазина и откладывает заинтересовавшие его товары в корзину. В разделе интимных товаров он выбрал гель-лубрикант, но не стал его покупать.🧪 А когда приближается его день рождения, то друзьям, тем кто записан у него в контактах, приходит сообщение: "У вашего друга близится день рождения, вот что он хотел бы получить в подарок - гель-лубрикант." 📩 Именно такое письмо эксперт и получила, с упоминанием что именинник это её давнишний контакт, который был записан в адресной книжке как "Сергей-парикмахер". Был приложен перечень того, что “Сергей-парикмахер” выбирал в магазине. Очевидно, приложение магазина при установке запрашивает доступ к контактам и использует их для такого вот агрессивного маркетинга. Когда эксперт попробовала указать на ошибку администрации интернет-магазина, те стали утверждать: “Да-да, так и было задумано”. 😂Буквальная иллюстрация фразы - история смешная, ситуация страшная.😱 Если вы работает в Узбекистане, думаете ваша служба маркетинга понимает, что так делать нельзя?

🇺🇿🏛Министерство юстиции Узбекистана сообщает, что с 1 января 2025 года будет внедрен Единый электронный реестр населения, включающий в себя гражданское состояние физических лиц. Единый электронный реестр населения станет единой электронной базой персональных данных граждан Республики Узбекистан, иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Узбекистан. Вестись он будет Агентством персонализации при Министерстве юстиции. Также, скорее всего, эта же единая база будет содержать биометрические персональные данные, которые будут использоваться для системы идентификации физических лиц по лицу (Face ID).

🧔🏻 Анекдот-притча про начальника отдела ИБ (CISO) и три конверта. Когда начальник отдела информационной безопасности (CISO) устроился на новое место, то нашел в сейфе три пронумерованных конверта, которые оставил его предшественник. На них было написано “1. Открой когда будет трудно”, “2. Открой когда будет совсем тяжело”, “3. Открой когда станет невыносимо”. ✉️Через пол-года работы, когда стало трудно, начальник открыл первый конверт. Там написано: “Обвиняй во всём меня”. И на очередном совещании начальник стал говорить что все проблемы - из-за старого начальника и его ошибок. И это сработало. ✉️Ещё через пол-года, когда первый совет перестал работать и стало тяжело, открывает второй конверт. Там написано: “начинай модернизацию”. На совещании начальник стал говорить, что всё что было сделано ранее - абсолютно устарело, нужно срочно всё менять, переделывать. Помогло, стало легче. ✉️Ещё через год, когда все прежние советы перестали помогать и стало невыносимо, начальник открыл третий конверт, а там написано “готовь три конверта и оставляй их приемнику”. Вывод: работа в ИБ очень непростая (помните, как спят разные начальники?). С одной стороны - армии киберпреступников, атакующих инфраструктуру. С другой - регуляторы, требующие исполнения нормативов. С третьей - бизнес-подразделения, требующие решения первых двух проблем, но урезающие бюджет. 🤔А что делать тем начальникам, у кого конверты в сейфе уже кончились? И это при том, что более 80% опрошенных, отметили сложности с укомплектования ИБ-подразделения.