Найти в Дзене
Integral Security
34 подписчика

Система кибербезопасности Республики Союза Мьянма (РСМ)

9
13 мин
Оглавление

В последние годы в странах Азии наблюдается стремительное развитие IT-отрасли и информационного общества, что обуславливает необходимость создания в этих государствах эффективных систем национальной информационной безопасности. Помимо крупных стран региона, таких как Китай, Индия, Таиланд, Малайзия, Вьетнам и Индонезия, вопрос обеспечения кибербезопасности является также крайне актуальным для развивающихся государств, к которым, в частности, относится и Мьянма.

С 1962 по 2011 годы Мьянма находилась под управлением военного правительства. Развитие телекоммуникаций, распространение и использование Интернета строго контролировалось и подвергалось цензуре правящим режимом. Немногие граждане Мьянмы имели возможность приобрести мобильные телефоны и пользоваться мобильным Интернетом, поэтому большинство населения получало доступ к сети, пользуясь услугами интернет-кафе. По оценке специалистов в 2011 году страна занимала предпоследнее место по доступу к всемирной паутине, с охватом менее одного процента населения, опережая по этому показателю только Северную Корею.

Подробнее об особенностях использования интернета в КНДР читайте в нашей статье в сообществе VK. Там вы найдете актуальные аналитические материалы из мира кибербеза, мониторинг новостей и тематические переводы.

Стремительная цифровая трансформация Мьянмы началась после смены формы правления. Пришедшее к власти в результате проведенных в 2011 году выборов новое гражданское правительство взяло курс на реализацию экономических реформ и переход к рыночной экономике, в том числе и в области информационно-телекоммуникационных технологий.

-2

Активное распространение мобильных устройств и, как следствие значительный рост рынка мобильной связи способствовали стремительному увеличению количества интернет-пользователей — в 2018 году 34% населения страны имели доступ к сети Интернет.

В феврале 2021 года власть в стране вновь захватили военные. Сформированное ими правительство продолжило курс на цифровизацию экономики и развитие IT-индустрии. По состоянию на 2021 год на территории Мьянмы свою деятельность осуществляли уже четыре крупные телекоммуникационные компании — Telenor, Ooredoo Myanmar, Myanmar Posts and Telecommunication (MPT) и MyTel.

Динамичное внедрение цифровых технологий, привело к росту количества кибератак, направленных на учреждения и инфраструктуру, имеющие важное значение. Возникла необходимость принятия срочных мер по укреплению национальной кибербезопасности. Однако подход создания государственной системы информационной безопасности на основе концепции «критической информационной инфраструктуры» (КИИ) не получил развития и по состоянию на сегодняшний день понятие КИИ юридически не закреплено. Это стало одним из основных препятствий к созданию и внедрению надежных и эффективных инструментов защиты как организационного, так и технического характера.

-3

В этой связи разработка соответствующей нормативно-правовой базы и, в первую очередь, национальной киберстратегии является первоочередной задачей руководства страны.

Нормативно-правовая база

В настоящее время система правового регулирования цифровой среды в Мьянме находится на начальной стадии развития, а действующее законодательство затрагивает лишь некоторые аспекты информационной безопасности.

«Закон об электронных транзакциях № 5» от 2004 года определяет понятие незаконного распространения информации в отношении несовершеннолетних лиц с использованием цифровых технологий, которая может повлечь за собой негативные последствия (раздел 34(d)), а также разрешает представлять в суд электронные доказательства.

15 февраля 2021 года в Закон были внесены поправки, позволяющие правительству получать доступ к персональным данным без судебного решения, а также вводящие запрет на обмен определенными типами информации в Интернете.

«Закон о телекоммуникациях № 31» от 2013 года, регулирует доступ к телекоммуникационным услугам и их использование. Самым применимым является раздел 77, который предусматривает в случае возникновения чрезвычайной ситуации и во время действия чрезвычайного положения ограничение и блокировку мобильной связи, а также проведение мероприятий по прослушиванию телефонных переговоров.

«Закон о защите частной жизни и безопасности граждан» от 2017 года, определяющий порядок действий по перехвату телекоммуникационных сообщений.

15 февраля 2021 года, в Закон были внесены поправки, которые расширили полномочия властей по проведению обысков, изъятия оборудования, задержаний, а также перехвата телекоммуникационных сообщений, что позволяет осуществлять расследования и наблюдение без необходимости получения судебного решения.

Очевидно, что действующих норм явно недостаточно для надлежащего реагирования на быстро развивающиеся цифровые угрозы. Поэтому в настоящее время на стадии согласования с заинтересованными сторонами гражданского общества и представителями отрасли, находится проект «Закона о кибербезопасности», который должен заменить «Закон об электронных транзакциях».

-4

Целями закона являются:

  • обеспечение возможности безопасного использования сети Интернет, критически важной информационной инфраструктуры и данных, хранящихся с использованием электронных технологий;
  • обеспечение защиты личной информации пользователей, а также сохранности данных;
  • предотвращение кибератак и кибермошенничества с использованием электронных технологий, наносящих ущерб национальному суверенитету;
  • осуществление надзора за деятельностью органов, ответственных за обеспечение кибербезопасности.

В рамках Закона предполагается создание исполнительного органа – «Центральный комитет по кибербезопасности», в структуру которого войдут:

  • национальная лаборатория цифровой криминалистики и Лаборатория цифровой криминалистики;
  • руководящий комитет по кибербезопасности, состоящий из:

- рабочего комитета по кибербезопасности;

- рабочего комитета по киберзащите;

- рабочего комитета по надзору за электронными коммуникациями;

- следственной группы.

Положения закона распространяются на:

  • Виртуальные частные сети (VPN). Любой, кто использует VPN без соответствующего разрешения Министерства транспорта и коммуникаций может быть привлечен к уголовной ответственности. Торговые точки, реализующие мобильные телефоны с установленными VPN, а также организации, и предприятия, использующие социальные сети, такие как Meta, для взаимодействия с клиентами, могут быть подвергнуты административной ответственности в виде штрафа. Власти Мьянмы уже внесли в «черный список» значительное количество веб-ресурсов и социальных платформ, включая Meta, X, использование которых без VPN теперь невозможно, а силы безопасности имеют право проверять на блокпостах мобильные телефоны гражданских лиц, на предмет установленного VPN.
  • Ограничение создаваемой и распространяемой информации. В соответствии со статьей 35 (f) могут быть предприняты действия по предотвращению, прекращению трансляции и удалению контента, наносящего ущерб национальному суверенитету, миру и стабильности в государстве. Кроме того, статья 96 предписывает, что любое лицо, признанное виновным в распространении информации откровенно сексуального характера, будет наказано тюремным заключением на срок до одного года.
  • Финансовые ограничения. Статья 94 предусматривает, что любое лицо, предоставляющее финансовые онлайн-услуги без соответствующего разрешения Центрального банка Мьянмы и не зарегистрированное в соответствии с установленным порядком, могут быть приговорены к тюремному заключению на срок от одного до трех лет или денежному штрафу. Аналогичным образом, в статье 95 упоминается, что любое лицо, покупающее или продающее цифровую валюту (криптовалюту), подлежит наказанию в виде лишения свободы на срок от шести месяцев до одного года или денежного штрафа.

На сегодняшний день требования законов фактически не выполняются из-за ограниченных ресурсов полиции и судебной системы, недостаточной компетенции их сотрудников, а также отсутствия необходимых возможностей для проведения расследований и преследований киберпреступлений. Ранее была предпринята инициатива по созданию отдела по борьбе с киберпреступностью в Департаменте уголовных расследований Национальной полиции, однако его деятельность в силу упомянутых причин оказалась крайне неэффективной. Большинство возбужденных дел о киберпреступлениях не доходят до суда, поскольку сотрудники прокуратуры и судьи не обладают необходимой квалификацией по вопросам киберпреступности и использования цифровых доказательств.

-5

Национальные органы кибербезопасности

Развитие сектора ИКТ и кибербезопасности в Мьянме находится в ведении Министерства транспорта и коммуникаций (Myanmar Ministry of Transport and Communications, MOTC).

Координацию и общее управление вопросами кибербезопасности осуществляет Департамент информационных технологий и кибербезопасности (Department of Information Technology and Cybersecurity, DITC), созданный приказом Аппарата министра №9 от первого апреля 2015 года и входящий в состав MOTC.

В задачи DITC входит: разработка проектов нормативных документов и стратегий для укрепления сектора ИКТ и кибербезопасности; интеграция и совершенствование системы цифрового правительства в соответствии с национальной экономической политикой Мьянмы; установление стандартов; систематический надзор и реализация мероприятий в области ИКТ и кибербезопасности в соответствии с действующей нормативно-правовой базой; повышение квалификации сотрудников и использование системы идентификации данных.

Организационно в состав DITC входят следующие подразделения:

  • отдел управления, финансов и поддержки;
  • департамент электронного правительства;
  • департамент права, международных связей и информации;
  • национальный центр кибербезопасности;
  • департамент спутниковой связи;
  • учебный центр.
-6

На NCSC возложены следующие обязанности:

  • осуществление мониторинга цифровой инфраструктуры на территории Мьянмы, сбор и анализ информации о состоянии кибербезопасности и заблаговременное уведомление о выявленных киберициндентах;
  • своевременное реагирование на выявленные инциденты кибербезопасности;
  • обеспечение осведомленности о кибератаках и заблаговременная подготовка к их предотвращению;
  • координация своих действий с соответствующими организациями на местном и международном уровне для своевременного реагирования на выявленные киберинциденты;
  • разработка нормативно-правовых документов в области кибербезопасности (законы, правила и положения, технические стандарты и руководства);
  • внедрение механизмов круглосуточного обеспечения защиты КИИ.

NCSC состоит из Операционного центра кибербезопасности (Security Operations Center, SOC) и Группы реагирования на компьютерные чрезвычайные ситуации Мьянмы (Computer emergency response team, mmCERT).

SOC отвечает за оперативный мониторинг информационной среды и предотвращение киберинцидентов.

Основными целями Центра являются: минимизация воздействия кибератак и их повторения, обеспечение конфиденциальности данных, целостность и доступность информационных активов федеральных министерств и государственных организаций.

Специалисты SOC собирают и анализируют данные из различных источников информационной инфраструктуры. При обнаружении подозрительной активности оповещают уполномоченных сотрудников NCSC об инцидентах информационной безопасности или иных происшествиях и принимают меры для их предотвращения.

mmCERT отвечает за обработку информации об инцидентах, ведение государственного реестра киберугроз, повышает осведомленность общественности в вопросах безопасности, предоставляет рекомендации интернет-пользователям по кибербезопасности и противодействию кибератакам. Кроме этого, mmCERT координирует действия по реагированию на инциденты с другими группами CERT/CSIRT, организациями, экспертами по безопасности и правоохранительными органами на национальном и международном уровне. mmCERT является оперативным членом Азиатско-Тихоокеанской группы реагирования на компьютерные чрезвычайные ситуации (Asia Pacific Computer Emergency Response Team, APCERT) и Международного многостороннего партнерства против киберугроз (International Multilateral Partnership Against Cyber Threats, IMPACT).

Национальным центром кибербезопасности запланирована реализация следующих проектов:

  1. Создание оперативного центра государственной безопасности. В рамках этого проекта предполагается разработать генеральный план единого электронного управления Мьянмы с целью развития систем «Электронное правительство», «Электронная коммерция» и «Цифровая экономика». Основными задачами оперативного центра будут являться: упрощение обмена информацией и совершенствование системы осведомленности о киберугрозах; оказание практической помощи по предупреждению, выявлению оперативному реагированию, минимизации и ликвидации последствий киберинцидентов. Это позволит уменьшить количество кибератак, направленных на онлайн-банкинг, платежные системы и т.д.
  2. Государственный интернет-обмен. Создание правительственных центров на федеральном уровне для облегчения и ускорения работы системы «Электронного правительства» федеральных министерств и различных государственных учреждений штатов/провинций. Сетевая инфраструктура, должна улучшить качество интернет-услуг и обеспечить передачу данных между разными ведомствами внутри страны без выхода на международные маршруты, сокращая задержки в сети Интернет и обеспечивая эффективное и безопасное использование сети.
  3. Цифровая судебно-медицинская лаборатория. Оказание помощи в выявлении соответствующих доказательств при проведении расследования и идентификации киберинцидентов, которые были совершены с использованием компьютеров или мобильных телефонов, представление необходимых электронных доказательств.
  4. Лаборатория тестирования на проникновение. Сервисная услуга по выявлению уязвимостей серверов федеральных министерств и ведомств и своевременное принятие мер по их устранению.
  5. Управление информацией о безопасности и событиями. Мониторинг состояния сетевой инфраструктуры и систем «Электронного правительства», а также серверов «Электронной почты», онлайн-сервисов, обслуживающих правительственные учреждения для предотвращения кибератак и минимизации рисков.
  6. Платформа киберпространства. Учебная площадка для проведения ежегодного студенческого конкурса по кибербезопасности АСЕАН. Предоставляет возможность молодым людям проводить практические занятия по выявлению уязвимостей в компьютерных системах, идентифицировать кибератаки в режиме реального времени и повышать свои профессиональные навыки.
  7. Инфраструктура открытых ключей и центр сертификации. Осуществление шифрования транзакций в сфере электронной коммерции и финансовых технологий. Введение электронного паспорта и цифровой подписи (электронное удостоверение личности, сертификат моряка и т.д.) путем внедрения системы цифровой аутентификации (система открытых ключей (PKI)).

В связи со сложной этнической и политической ситуацией внутри страны, региональное сотрудничество Мьянмы в сфере кибербезопасности ограничено. В качестве наиболее продуктивных контактов можно отметить взаимодействие с Интерполом, Международным союзом электросвязи (International Telecommunication Union, ITU) и АСЕАН, которые реализуют программы по наращиванию потенциала подразделения по борьбе с киберпреступностью национальной полиции. Региональные инициативы в рамках АСЕАН направлены на развитие более качественной, доступной и недорогой информационно-телекоммуникационной инфраструктуры.

-7

Также необходимо отметит, что в декабре 2023 года в ходе визита в РСМ секретаря Совета безопасности Николая Патрушева между Россией и Мьянмой было подписано соглашение о разработке совместных мер по противодействию киберугрозам и сотрудничестве в сфере международной информационной безопасности.

Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru