НОВОСТИ В УЗБЕКИСТАНЕ
Шерзод Шерматов.
Фото: Орифжон Хошимов / Gazeta
«Мы двигались слишком быстро». После утечки данных подход к кибербезопасности ужесточат
Цифровые госуслуги в Узбекистане развиваются быстрее, чем системы их защиты, заявил министр цифровых технологий. Стремление сделать сервисы удобнее для граждан привело к росту рисков. Ведомство намерено пересмотреть подходы к защите данных, даже если это создаст неудобства для пользователей.
Сегодня, 21:13
Общество
Массовая цифровизация государственных сервисов в Узбекистане шла быстрее внедрения адекватных требований кибербезопасности, что создало риски утечек данных. Об этом 12 февраля на пресс-конференции заявил министр цифровых технологий Шерзод Шерматов, передаёт корреспондент «Газеты».
Глава ведомства заявил, что в погоне за удобством для граждан и скоростью оказания услуг вопросы безопасности перестали быть приоритетом. «Мы очень быстро движемся в направлении цифровизации. Это наш основной недостаток. У цифровизации есть сопутствующие риски», — отметил министр.
По его словам, государство стремилось обеспечить максимальное удобство для граждан, чтобы услуги были доступны «в телефоне».
«Однако с такой же скоростью мы не усиливаем требования к кибербезопасности. Причина в том, что в первую очередь мы стремились обеспечить удобство для граждан. Это можно открыто назвать одним из недостатков государственных организаций — по крайней мере, у нас такие внутренние выводы», — заявил Шерматов.Реклама на Gazeta
Он сравнил нынешний этап цифровизации с ситуацией в сфере городского строительства, когда упрощение условий для бизнеса привело к росту нарушений.
«Если сравнивать с другими сферами, можно привести пример предпринимательства: когда для бизнеса были созданы очень благоприятные условия, когда были сняты проверки и ограничения, в ряде отраслей впоследствии начали возникать проблемы, и затем ограничения пришлось вводить снова», — сказал он.
«Без риска не бывает развития», — подчеркнул Шерматов, добавив, что во многих развитых странах до сих пор отсутствуют такие удобные p2p-переводы и онлайн-банкинг, как в Узбекистане, поскольку эти сферы там жёстко регулируются.
«Мы не можем просто всё выключить»
Сейчас в цифровой среде происходит процесс «отрезвления»: рост числа систем, избыточная свобода и слабый контроль порождают новые угрозы, требующие усиления надзора. При этом полный отказ от цифровых решений невозможен, так как это лишит граждан привычных удобств.
«Мы не можем просто выключить всё и заставить людей снова стоять в очередях в банках, чтобы оплатить коммуналку. Цифровизация — это всегда баланс. Кибератаки существовали и раньше, а с развитием ИИ-инструментов их число только растёт. Для безопасности мы ввели дополнительные идентификации, например MyID или MobileID. Это создаёт определённые неудобства для граждан, но но без таких мер невозможно защитить данные», — сказал глава Минцифры.
Шерматов отметил, что ведомство намерено использовать широкое общественное обсуждение киберугроз для пересмотра регламентов безопасности, чтобы впредь защита «шла в ногу» с развитием сервисов.
После инцидента с утечкой в Единой системе идентификации OneID были внедрены дополнительные меры защиты: теперь пользователи должны самостоятельно разрешать доступ к своим данным банкам, телекоммуникационным и другим организациям.
Кроме того, если номер телефона раньше мог быть оформлен на дочь, на отца и других родственников, теперь требования постепенно ужесточаются. «Номер, который вы используете для идентификации, должен быть зарегистрирован на ваше имя. Это, безусловно, создаёт неудобства. Конечно, может возникнуть недовольство», — сказал глава Минцифры.
Министерство намерено усилить координацию с профильными центрами кибербезопасности для оперативного реагирования на угрозы в условиях постоянно растущего числа атак.
«Я совершенно не пытаюсь сказать, что в этом виноваты граждане или что ответственность лежит на них. Речь идёт о том, что с развитием цифровизации государства, онлайн-услуг и других сервисов требования к безопасности и кибербезопасности во всех государственных органах начинают становиться приоритетом», — заявил министр.
«Это правильное движение, но для граждан это означает определённые неудобства. Я подчёркиваю — именно неудобства, а не серьёзные трудности», — указал Шерматов.
Причины появления уязвимостей
Говоря о технических причинах уязвимостей, Шерматов пояснил, что государственные информационные системы обязаны проходить трёхступенчатую сертификацию. Однако отдельные сервисы иногда запускаются без полного прохождения процедур либо используют тестовые серверы, которые более уязвимы.
Именно в тестовых системах или сервисах, не прошедших полный цикл сертификации, чаще всего происходят инциденты, через которые злоумышленники могут получить доступ к другим данным. Министр заверил, что государственные тайны защищены надёжно и резонансных случаев в этой сфере не бывает.
«Доступ в большинстве случаев осуществлялся через комбинации скомпрометированных логинов и паролей обычных пользователей, но не на уровне системных администраторов. Это принципиально разные уровни доступа», — отметил министр.
Он также указал на проблему «киберкультуры» среди госслужащих: даже современные системы защиты неэффективны, если сотрудники открывают подозрительные ссылки, используют заражённые флеш-накопители или подключают рабочие устройства к небезопасным сетям Wi-Fi.
Отдельным риском министр назвал привлечение частных разработчиков через тендеры — контролировать добросовестность каждого сотрудника подрядчика крайне сложно.
Дефицит кадров и глобальный вызов
Шерматов признал, что серьёзной проблемой остаётся нехватка квалифицированных специалистов по кибербезопасности. Частные финтех-компании предлагают зарплаты в два-три раза выше государственных, из-за чего госсектор испытывает кадровый голод.
Для решения проблемы создан профильный Cyber University и предпринимаются меры по повышению зарплат.
«Я не собираюсь утверждать, что у нас всё идеально и можно быть абсолютно спокойными. Проблем много, и мы над ними работаем. Не бывает такого, чтобы система была защищена на сто процентов и ничего никогда не случалось. Это глобальный вызов, с которым сталкиваются все страны мира, поэтому и государственным органам, и гражданам нужно учиться защищать себя самостоятельно», — подчеркнул Шерматов.
Гражданам, считающим себя пострадавшими от утечек данных, министр рекомендовал обращаться в правоохранительные органы.
В конце января в Узбекистане кибератакам подверглись три ведомства. По словам министра цифровых технологий, распространено около 60 тысяч единиц уникальных данных, а не информация о 15 млн граждан, как неверно сообщалось в соцсетях.
В министерстве уточнили, что под «утечкой персональных данных» не подразумевается взлом личных аккаунтов граждан. Речь может идти о получении отдельных сведений — фамилии и имени, даты рождения, адреса проживания, номера телефона и других подобных данных.
Ранее специалисты группы компаний кибербезопасности C7 Cybersecurity проанализировали кибератаку и сообщили, что заявление злоумышленника о получении 15 млн записей не верифицируемо, так как представлена только выборка из 5522 записей. Однако были верифицированы 24 фотографии сотрудников МВД, 15 874 медицинских работников из данных Нацагентства соцзащиты, 446 ипотечных записей из финансовых данных Компании по рефинансированию ипотеки.
