26 января Законодательная палата Олий Мажлиса Узбекистана в первом чтении приняла законопроект «О кибербезопасности». Ранее депутат парламента Расул Кушербаев сообщал, что, согласно законопроекту, уполномоченным государственным органом в области кибербезопасности определяется Служба государственной безопасности (СГБ).
До настоящего времени вопросами кибербезопасности в стране занималось государственное унитарное предприятие (ГУП) «Центр кибербезопасности» при Министерстве внутренних дел республики.
Обсуждения проблемы интернет-безопасности совпали по времени с массовым отключением электроэнергии в Узбекистане и еще в двух странах Центральной Азии.
Специалисты отрасли выражают обеспокоенность тем, что передача спецслужбам полного контроля над кибербезопасностью может привести к еще большему усилению контроля над гражданами Узбекистана.
Кибербезопасность и «информационная безопасность»
IT-эксперты, с которыми пообщался «Озодлик», говорят, что важно понимать разницу между «кибербезопасностью» (предотвращение технологических угроз) и «информационной безопасностью» (угрозы, исходящие от контента).
По словам консультанта по вопросам информационной безопасности компании Cisco Systems Алексея Лукацкого, согласно сложившейся практике, на Западе ведется борьба за «кибербезопасность», а в России – за «информационную безопасность».
– Все чаще тема кибербезопасности, сохранности личных цифровых данных, становится предметом скандалов, причем предметы для скандалов самые горячие: личная жизнь, политика и финансы. Данные высокопоставленных лиц в том числе – переписки и пин-коды – становятся желаемой добычей для киберпреступников. Но и государство, которое должно защищать наше право частной жизни, также желает получить данные о нас. И получается, что с одной стороны пользователю угрожает хакер, который хочет похитить его ценные данные, а с другой стороны – государство, желающее контролировать каждый шаг гражданина. В разных системах данная проблема решается по разному. Вместе с тем, хакеры выполняют свои задачи ради довольно банальной выгоды – заработать денег либо на прямом взломе, либо на перепродаже того, что они взломали, – говорит «Озодлику» Алексей Лукацкий.
В частности, он напомнил об опасности кибератак, особенно для стран, на территории которых расположены атомные электростанции, поскольку за последние 15 лет АЭС подвергались хакерским атакам не менее десяти раз.
По словам эксперта, если хакеры перейдут на службу к спецслужбам, то киберопасность для населения удвоится.
В ноябре прошлого года издание Washington Post писало о том, что в борьбе с интернет-технологиями страны Центральной Азии, в том числе Узбекистан, берут пример с Китая и России, которые вносят значительные инвестиции в регион.
Авторитарные режимы стремятся взять контроль над Интернетом
По мнению специалистов по информационной безопасности, сегодня даже люди без специальной компьютерной грамоты могут приобрести на онлайн-рынках программы, которые умеют считывать кредитные карты, организовывать DDoS-атаки или управлять ботами.
Российский IT-эксперт, который попросил «Озодлик» по определенным причинам не разглашать его имени, заявил, что «самый легкий путь для спецслужб выполнять свои задачи – это установить полный контроль над Интернетом».
– Спецагенты могут выявлять сайты, на которых совершаются преступления, собирать о них информацию законным способом и ликвидировать их через суд. Но нет, они ищут легкие пути: берут под контроль серверы, организовывают хакерские атаки, заставляют Интернет-провайдеров делиться информацией или еще проще – ставят запреты. Особенно этот метод широко применяется в странах с авторитарным режимом, таких как Китай и, в последние годы, в России. Китай пытается взять под интернет-контроль свое 1,5-миллиардное население. Любой, кто выступает против правительства, будет наказан, – сказал специалист.
Российский эксперт уверен, что в плане кибербезопасности правительство Узбекистана идет по пути Китая, нежели России. По его мнению, китайский метод контроля над контентом в Сети отличается от российского.
– В чем их разница – это отдельная тема. Но я знаю, что правительство Узбекистана идет именно по китайскому пути. В Узбекистане компания Huawei приступила к созданию системы «умного города», то есть компания установит в стране систему единого видеоконтроля, а это сделает на шаг ближе контроль над Интернетом. Внедрение китайского «файрвола», естественно поможет установить наблюдение за «неугодными лицами», что будет на руку в таких закрытых государствах, как Узбекистан. Например, в Казахстане после январских событий Huawei и Hikvision приступили к восстановлению камер, которые были повреждены во время беспорядков. С помощью этой системы они помогают выявлять тех, кто выходил на акции протеста, – говорит собеседник.
У IT-специалистов, с которыми пообщался «Озодлик», подвергают серьезному сомнению безопасность дата-серверов в Узбекистане.
В начале 2021 года 11 сайтов хокимиятов Сурхандарьинской области, а также городов и районов региона подверглись хакерской атаке. Gосле хакерской атаки на первой странице сайта областной администрации на черном фоне было размещено сообщение о том, что атаку осуществила группа Clone Security.
В июне 2013 года хакерская группа Clone Security также атаковала официальный сайт Федерации футбола Узбекистана. Тогда из строя вышли сайт федерации, все аккаунты в Twitter'е и электронные почты. Ранее Clone Security взломал сайт Национальной телерадиокомпании Узбекистана.
СГБ нельзя назначать уполномоченным органом в области кибербезопасности
Сообщения о том, что контроль за кибербезопасностью в Узбекистане планируется передать в ведение Службы государственной безопасности (СГБ), на которую возлагают ответственность за нарушения прав человека и политические репрессии в прошлом, вызвали серьезные опасения по поводу возможного установления тотального контроля над гражданами страны.
По словам директора базирующегося в Кыргызстане Общественного фонда «Медиа центр информационной безопасности» Шахруха Саипова, «тотальный контроль» государства намного опаснее для населения, чем атака кибертеррористов. Саипов считает, что кибербезопасность должна быть отдельной структурой, подотчетной парламенту.
– В авторитарных государствах кибербезопасность, в основном, понимается законное и незаконное наблюдение за оппозиционерами, правозащитниками, активистами, представителями неправительственных и международных организаций, получение доступа к их электронным данным и сбор компромата на них. И, конечно же, на основе полученной информации государство может перейти к очернению, запугиванию, тюремному заключению и даже убийству тех, кого считает своими оппонентами, – говорит Шахрух Саипов.
По его словам, в рамках программы кибербезопасности государство должно обеспечить защиту электронных данных страны и граждан от внешних атак и различных вирусов.
– К сожалению, в некоторых странах из-за плохих мер безопасности хакеры похищают из государственных серверов электронную информацию о гражданах, после чего она становится достоянием общественности. В таких случаях, конечно же, похищается и информация государственной важности, что представляет угрозу для страны. На самом деле, было бы целесообразно создать отдельное государственное агентство по кибербезопасности, которое занималось бы исключительно защитой электронной информации о государстве и гражданах, – сказал директор базирующегося в Кыргызстане Общественного фонда «Медиа центр информационной безопасности» Шахрух Саипов.
По словам IT-экспертов, вся информация на порталах государственных органов и организаций Узбекистана хранится на серверах в России, что противоречит закону и условиям безопасности.
Ранее премьер-министр Узбекистана Абдулла Арипов сообщал, что за девять месяцев 2019 года в стране было выявлено около 8 млн кибератак.
С 20 мая 2021 года в государственных органах и организациях в Узбекистане запретили использование анонимайзеров и VPN-сервисов, которые «помогают обходить установленные для безопасности барьеры». Данное ограничение было введено на всей территории страны. Тогда специалисты обратили внимание на то, что этот закон похож на российское законодательство.
В концепции информационной безопасности, разработанной правительством Узбекистана в феврале прошлого года (в распоряжении «Озодлика» имеется копия документа – Ред.), социальные сети были описаны как «реальная угроза безопасности через информационную среду».
Власти Узбекистана заблокировали ряд сайтов на территории страны, в том числе контент Радио Озодлик, доступ к которому возможен только через VPN. В стране по-прежнему заблокированы Skype, Twitter, WeChat и ряд других приложений.
В соответствии со статьей 27-1 принятого в Узбекистане закона «О персональных данных», с 16 апреля социальные сети и мировые интернет-компании обязаны обрабатывать персональные данные граждан Узбекистана на серверах, расположенных на территории страны.
В ноябре прошлого года действия Государственной инспекции по контролю в сфере информатизации и телекоммуникаций («Узкомназорат») по обеспечению исполнения данного закона привели к крупному скандалу, связанному с блокировкой соцсетей, и закончившемуся отставкой министра по развитию информационных технологий и коммуникаций и советника премьер-министра.