Тему ответственности за такие утечки поднял эксперт по цифровой безопасности Шухрат Курбанов. Он напомнил, что ещё в 2017 году в отечественных СМИ выходила статья, в которой говорилось о рисках беспечного отношения к персональным данным.

Главная идея тогда была довольно простой: стране нужен закон о персональных данных, где особое внимание должно уделяться ответственности организаций, которые собирают и хранят информацию о гражданах. Речь шла о защите данных, обязательном уведомлении людей о сборе их информации и получении согласия на её хранение.

Спустя два года такой закон действительно появился. В 2019 году был принят закон о персональных данных, который позже даже получил громкое дополнение – требование хранить данные граждан на серверах внутри Узбекистана. Сейчас в документ вновь готовят изменения.

Но, по словам эксперта, ключевая проблема так и не решена. Закон практически не работает в части ответственности за утечки данных, а также не объясняет, что именно должны делать организации, если утечка всё-таки произошла.

Для сравнения Курбанов привёл европейское регулирование GDPR (General Data Protection Regulation). Там всё устроено куда строже: за утечку персональных данных компании могут получить штраф до 4% годового оборота или до 20 миллионов евро в зависимости от того, какая сумма больше.

Кроме того, организации обязаны в течение 72 часов уведомить регулятор о случившейся утечке. А если есть риск для прав и свобод граждан, то необходимо сообщить и самим пользователям, чьи данные могли попасть в чужие руки. Причём уведомление должно быть максимально прозрачным с объяснением, какие именно данные утекли, чем это может грозить и какие меры нужно принять.

По словам эксперта, в наших реалиях всё чаще происходит другая история.

«А мы, к сожалению, получаем игру под названием «вы все врете, ничего не было». И даже признав, что утекло «всего лишь 60 тысяч записей», вряд ли кто то уведомил лиц, зафиксированных в этих записях, что их данные утекли», – отметил Курбанов, вспоминая самую громкую хакерскую атаку, которая произошла в конце января этого года.

Есть и ещё один важный момент. По словам эксперта, наш закон в основном сосредоточен на том, где должны храниться данные, тогда как европейское регулирование делает акцент на ответственности за их сохранность, независимо от того, где находятся серверы.

Возможно, и нам стоит сместить фокус именно в эту сторону. Потому что пока получается странная ситуация: закон вроде бы есть, а персональные данные граждан продолжают гулять по сети практически бесконтрольно.

И ещё одна проблема – люди часто вообще не знают, кто запрашивает их данные и зачем.

По мнению Курбанова, решить это можно довольно просто: пользователь должен получать уведомление вида «ваши данные запрашивает такая-то организация. Разрешить? Да / Нет».

Но пока всё выглядит иначе: данные собираются, базы периодически всплывают в интернете, а люди часто узнают об этом уже постфактум. И то – если узнают.

Сообщение Закон есть, а данные гуляют: эксперт поднял неудобный вопрос о защите персональной информации в Узбекистане появились сначала на Vaib.uz.

При этом Национальное агентство социальной защиты выступило с довольно расплывчатым сообщением, отметив, что опубликованные данные могли относиться к старым базам, а информация СМИ не соответствует реальному положению дел.

В результате общество до сих пор фактически не понимает ни реальных масштабов возможной утечки, ни того, какие меры предпринимаются для поиска уязвимостей в системе и привлечения виновных к ответственности.

Что украли?

Между тем, судя по фрагментам информации, опубликованным хакером, утечка могла затронуть крайне чувствительные массивы данных. По словам эксперта в сфере цифровой безопасности Шухрата Курбанова, он нашел в опубликованных хакером данных фрагменты следующих баз:

• база eGOV (ПИНФЛ, логин в системе, полное ФИО, номер паспорта или ID-карты, дата рождения, ИНН, название юридического лица (если пользователь был к нему привязан)
• База данных компании по рефинансированию ипотеки (ПИНФЛ, МФО банка, выдавшего кредит, ФИО клиента, пол и возраст, адрес проживания, ежемесячный доход, тип жилья, количество комнат и площадь, сумма кредита, сумма залога, сроки начала и окончания кредита, процентная ставка
• База сотрудников МВД (полное ФИО, дата рождения, паспортные данные, ПИНФЛ, пол и национальность, адрес, номер телефона, рост и вес, ссылки на внутренние ресурсы с фотографиями)

Отметим, что на данный момент речь идёт о неподтверждённых данных. Кроме того, даже если хакеру удалось получить доступ к части информации, это ещё не означает, что в сеть утекли данные 15 миллионов человек – масштаб утечки может варьироваться от сотен до миллионов записей. Однако если опубликованная информация соответствует действительности, речь идёт уже не просто об утечке, а о серьёзной угрозе личной, финансовой и даже физической безопасности граждан.

Депутатский запрос

Учитывая серьёзность ситуации и необходимость публичного разъяснения, сегодня депутат, член Социал-демократической партии «Адолат» Мухаммаджон Валиев направил депутатские запросы сразу нескольким ответственным должностным лицам.

В обращении к министру цифровых технологий Шерзоду Шерматову депутат потребовал разъяснить, подтверждён ли факт утечки, насколько защищены персональные данные граждан, какие факторы могли привести к возникновению уязвимостей и какие технические и организационные меры принимаются для того, чтобы подобные ситуации не повторялись, в том числе в работе инфраструктуры аутентификации и портала my.gov.uz.

Министру внутренних дел Азизу Тошпулатову были адресованы вопросы о том, какие оперативно-розыскные мероприятия уже проводятся, как идёт поиск лиц, причастных к кибератаке, какие меры принимаются для профилактики преступлений, связанных с незаконным распространением персональных данных, а также какие изменения в законодательстве и правоприменительной практике МВД считает необходимыми для предотвращения подобных ситуаций в будущем.

Кроме того, депутат обратился к председателю Национального комитета по статистике с вопросами о том, как обеспечивается сохранность данных, собранных в ходе переписи населения, и в какой степени соблюдаются требования закона «О персональных данных».

Общество ждёт ответов

Депутат потребовал от ответственных лиц обоснованных и предметных разъяснений по данной ситуации. Остаётся надеяться, что после получения ответов они будут опубликованы в открытом доступе. Речь идёт об общественно значимой информации, которую граждане имеют право знать, особенно когда на кону безопасность их персональных данных.

Сообщение Утечка данных или «старая база»? Депутат «Адолат» потребовал разъяснений по делу о краже данных узбекистанцев появились сначала на Vaib.uz.

В числе скомпрометированных данных назывались паспортные сведения, адреса проживания, номера телефонов и электронных почт, а также медицинская информация и даже фотографии граждан с паспортами в руках. Это вызвало серьёзное беспокойство в обществе.

На фоне этих сообщений многие пользователи вспомнили о недавней переписи населения. Люди начали выражать опасения, что данные, которые они предоставляли, также могли попасть к злоумышленникам.

В течение дня сразу несколько государственных структур поспешили опровергнуть информацию об утечке. В Министерстве внутренних дел Узбекистана заявили, что их базы данных не подвергались взлому. Аналогичную позицию озвучил и Налоговый комитет Узбекистана.

Отдельное разъяснение дал Комитет по статистике Узбекистана, где подчеркнули, что все данные, полученные в ходе недавней переписи населения, зашифрованы и хранятся на отдельных серверах, не имеющих отношения к обсуждаемому инциденту.

Тем временем Центр кибербезопасности Узбекистана сообщил о начале проверки и расследования информации о возможной утечке.

К вечеру появилась первая официальная конкретика. Национальное агентство социальной защиты признало, что хакеры действительно получили доступ к информации из старой базы данных, которая ранее использовалась Агентством.

При этом в ведомстве подчеркнули, что сведения, опубликованные на ряде информационных ресурсов, не соответствуют реальному масштабу и сути произошедшего. В настоящее время по данному факту проводится проверка в установленном порядке.

В Агентстве также сообщили, что уже принимаются необходимые меры для обеспечения безопасности персональных данных граждан. По итогам расследования общественности пообещали предоставить дополнительную официальную информацию.

Пока остаётся открытым главный вопрос – какой именно объём данных оказался скомпрометирован и могут ли они быть использованы мошенниками. Ответы на него, по всей видимости, появятся уже после завершения проверки.

Сообщение Утечка данных 15 миллионов узбекистанцев: что известно появились сначала на Vaib.uz.

Все началось с того, что бывший сотрудник одного из столичных банков приобрел за 6500 долларов у своего знакомого, который в настоящее время работает специалистом в этом банке, коды, дающие доступ к программному обеспечению и счетам клиентов. С их помощью преступники планировали осуществить хакерскую атаку и похитить крупные суммы денег.

К преступлению присоединились жители Наманганской и Ташкентской областей, ранее судимые за мошенничество. Они совместно разработали план, согласно которому собирались украсть общую сумму в 370 миллиардов сумов с банковских счетов и пластиковых карт, привязанных к банковским приложениям. После хищения они планировали перевести деньги на счета своих знакомых за границей через офшорные зоны.

Когда преступники попытались конвертировать 189 миллиардов сумов в иностранную валюту и перевести их на зарубежный счет, их задержали с поличным. В ходе досудебного расследования выяснилось, что злоумышленники планировали распространить ложную информацию о якобы произошедшей хакерской атаке на банковское программное обеспечение из-за границы, чтобы отвлечь подозрения.

В настоящее время возбуждено уголовное дело по пункту «а» части 4 статьи 169 (кража) Уголовного кодекса, все члены преступной группировки помещены под арест.

Сообщение В Ташкенте задержали хакерскую группировку, пытавшуюся похитить с банковских карт 370 миллиардов сумов появились сначала на Vaib.uz.

Пока официально компания никак не прокомментировала это событие. На фото, размещенном хакерами, изображены градирни атомной станции, и написан хештег #UzbekistanStop. Судя по всему, сайт был выбран, потому что он занимается продажей российских авто, а АЭС – это проект, который будет курировать «Росатом».

Атака на сайт Lada Uzbekistan вызвала неоднозначную реакцию в социальных сетях. Мнения пользователей разделились: одни выражают поддержку протестующим против строительства АЭС, другие осуждают хакеров за использование незаконных методов. В любом случае, этот инцидент привлек внимание к проблеме строительства атомной электростанции в стране.

Строительство АЭС в Узбекистане является одной из ключевых инициатив правительства, направленной на обеспечение энергетической независимости страны. Однако проект вызывает споры среди населения. Сторонники строительства утверждают, что АЭС поможет решить проблемы с энергодефицитом и снизить зависимость от ископаемых видов топлива. Противники же указывают на возможные экологические риски и угрозы для здоровья населения.

Ранее мы сообщали, что в Узбекистане летом этого года начнется строительство первой в регионе атомной станции малой мощности.

Сообщение Хакеры взломали сайт Lada Uzbekistan. На первой странице сайта появилась фотография с требованием остановить строительство АЭС появились сначала на Vaib.uz.

Данные о хакерской атаке сегодня сообщило Министерство строительства и жилищно-коммунального хозяйства.  

В министерстве отметили, что хакерам не удалось взломать сайт, они попытались сменить действующую ссылку на электронную платформу долевого строительства многоквартирных домов в Узбекистане (rd.mc.uz) на фейковую. На момент написания статьи электронная платформа не была доступна, а сайт Минстроя работает.

Отметим, что привлечение средств физических и юридических лиц на долевое строительство многоквартирных домов в Узбекистане может осуществляться исключительно застройщиками, включенными в перечень на этой электронной платформе. Видимо хакеры пытались заменить настоящий перечень на фальшивый, чтобы обмануть будущих покупателей квартир.

Сообщение Хакеры совершили атаку на электронную платформу строительства жилья в Узбекистане появились сначала на Vaib.uz.