Рынок DLP-систем в Центральной Азии: как законы о суверенитете данных стимулируют спрос на локальные решения

Развитие ИБ в Центральной Азии: законы о хранении персональных данных и рост сегмента локальных систем предотвращения утечек (DLP)… Драйвером стали не столько кибератаки, сколько регуляторный сдвиг: Узбекистан и Казахстан ввели жесткие требования по локализации персональных данных, подкрепив их многомиллионными штрафами и реальными блокировками.

В Узбекистане статья 27-1 закона «О персональных данных» требует хранения данных граждан на серверах внутри страны, что уже привело к блокировке ряда крупнейших зарубежных соцсетей. Согласно анализу Kotib AI Research, это обходится экономике в $4,5 млрд ежегодно.

В Казахстане все электронные базы, содержащие данные граждан, в обязательном порядке размещаются в ЦОД на территории республики. Для биометрических и иных чувствительных персональных данных установлены отдельные, более строгие требования к локализации и порядку доступа. Кроме того, президент подписал изменения, существенно ужесточившие ответственность в этой сфере: максимальные административные штрафы за нарушения законодательства о персональных данных увеличены в 2 раза – до 2000 месячных расчетных показателей (МРП), что примерно соответствует 7,9 млн тенге ($14 553). За серьезные нарушения и массовые утечки применяется и уголовная ответственность по статье 147 УК РК

Локализация автоматически повышает риски. Концентрация данных граждан на национальных серверах делает локальные ЦОДы более привлекательной целью для атак и одновременно повышает ответственность компаний за сохранность этих данных. В результате бизнес ищет не просто системы хранения, а инструменты контроля периметра DLP-класса, причем с местной сертификацией.

Сложность для международных вендоров в том, что стандарты безопасности в регионе имеют национальную специфику. В Казахстане для государственных и критически важных информационных систем требуется использование сертифицированных криптосредств, обычно основанных на национальных реализациях ГОСТ‑алгоритмов, а в Узбекистане операторы персональных данных обязаны регистрировать свои базы персональных данных в государственном реестре перед законной обработкой.

Это создает окно возможностей для локальных игроков и вендоров из дружественных стран, которые готовы адаптировать решения под местные требования и получить сертификацию.

«Бизнес оказался между двух огней: с одной стороны, законы о локализации требуют физически держать сервера в стране, с другой – защищать эти данные нужно инструментами, которые признает местный регулятор. Импортные DLP-системы часто не проходят сертификацию, а развертывание собственными силами не всегда возможно. Мы видим запрос не просто на DLP, а на DLP, которые работают с местными ГОСТами и интегрируются с национальными облачными платформами», – говорит Денис Чигин, директор департамента технологической экспертизы «Софтлайн Решения» (ГК Softline).

В июле 2025 года в Ташкенте прошла встреча с участием администрации президента, Минцифры, Google, Visa и Mastercard, где представители бизнеса призывали смягчить требования или хотя бы сделать их прозрачнее. Однако о пересмотре статьи 27-1 объявлено не было. Это значит, что тренд на суверенитет данных сохраняется, а вместе с ним – и спрос на локальные средства защиты.

Эксперты сходятся в том, что ближайшие 2-3 года станут периодом формирования рынка: те вендоры, которые успеют сертифицировать свои решения под требования Казахстана, Узбекистана и потенциально будущие нормы в Кыргызстане и Таджикистане, получат доступ к быстрорастущему корпоративному и государственному сегменту.