Müəllif: Xəzər AXUNDOV
Azərbaycanda informasiya texnologiyalarının sürətli tətbiqi ildən ilə artan şəbəkə riskləri ilə müşayiət olunur. Bizdə artıq kibertəhlükəsizliklə bağlı yol xəritəsi var, haker hücumlarının və şəbəkə möhtəkirliyinin qarşısını almaq üçün müvafiq dövlət qurumları yaradılıb və uğurla fəaliyyət göstərir, ixtisaslaşdırılmış beynəlxalq forumlar keçirilir və s. Ancaq ekspertlər fərdi məlumatların qorunmasını təmin etməklə yanaşı, korporativ sektorda işləri gücləndirməyin vacibliyini də vurğulayırlar.
Təhlükəsiz baza
Azərbaycanda İT texnologiyalarının hərtərəfli tətbiq edilməsi son on beş ildə ölkənin qlobal elektron maliyyə sisteminə qoşulmasına, e-ticarətin və müxtəlif virtual servislərin inkişafına şərait yaradıb və elektron hökumət sistemini formalaşdırıb. Ancaq dünyanın əksər ölkələrində olduğu kimi, iqtisadi, sosial və dövlət sahələrində də proseslərin virtuallaşdırılması Azərbaycan üçün də əlavə risklər yaradıb. Oxşar proseslər postsovet bölgəsinin bütün ölkələrində müşahidə olunur. Beynəlxalq Telekommunikasiya İttifaqının (BTİ), BMT ekspertlərinin, Davos Forumunun, Avropa Birliyinin, NATO və digər qurumların qiymətləndirmələrinə görə, bu gün beynəlxalq kiber cinayətkarlıqdan qaynaqlanan təhlükələr təbii fəlakətlər və terror təhdidləri ilə yanaşı qlobal risklər siyahısında ilk yerlərdən birini tutur. Kibercinayətlər hər il hakerlərə qeyri-qanuni onlayn bazarlardan, IP oğurluqlarından, fişinqdən və sairdən 1,5 trilyon dollardan çox gəlir gətirir. Bundan başqa, hakerlərin hədəfləri sırasına elektrik şəbəkələri, neft-qaz-kimya və su təmizləyici sistemlər, həmçinin şəhərlərin digər vacib həyati təminat obyektləri kimi önəmli infrastruktur elementləri də daxil ola bilər.
Şübhəsiz ki, Azərbaycanda ən vacib mülki və müdafiə obyektlərinin kritik informasiya infrastrukturunun kiberhücumlarından qorunması üçün təsirli mexanizmlər formalaşdırılıb və ümumilikdə dövlət qurumlarının, qabaqcıl media qurumlarının, maliyyə sektorunun və s.-in elektron resurslarına zərər vurmağa çalışan cinayətkarların qarşısının alınması üçün bir sipər təmin edilib. Xüsusilə, son illərdə ölkədə Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyinin nəzdində fəaliyyət göstərən Elektron Təhlükəsizlik Mərkəzində (CERT) kompüter insidentlərinə reaksiya verən komanda yaradılıb. Bu gün bu qurum dövlət veb resurslarına və bütövlükdə ölkənin İnternet məkanına təhdidləri aşkarlayan və qarşısını alan təsirli bir mexanizmdir. Azərbaycanda CERT mütəxəssislərinin səyləri nəticəsində çoxsaylı hücumların, o cümlədən erməni hakerlər tərəfindən dövlət qurumlarına və media mənbələrinə qarşı edilən hücumların qarşısı alınır, həmçinin kompüter şəbəkələrində baş verən insidentlərin araşdırılması gerçəkləşdirilir, istifadəçilərə təhdid və risklər barədə xəbərdarlıqlar göndərilir. Kiber hücumlarının qarşısını almaq üçün CERT mütəxəssisləri ən qabaqcıl texnoloji həllərdən, o cümlədən bu qurumda hazırlanmış xüsusi proqram məhsullarından istifadə edirlər. Yeni təhlükəsizlik texnologiyalarının tətbiqi boşluqları və zərərli təhdidlərin siqnaturasını aşkar etməyə, DoS/DDoS-hücumlardan, fişinq hücumlarından, elektron poçt və sosial şəbəkə hesablarına daxil olmaq üçün parolların oğurlanmasından və s.-dən yüksək müdafiə səviyyəsi təmin etməyə imkan verir.
Avropa Şurasının təşəbbüsü ilə 2001-ci ildə qəbul edilmiş kibercinayətkarlığa qarşı mübarizə üzrə Budapeşt Konvensiyası qlobal internet şəbəkəsində cinayətlərin qarşısının alınmasında böyük rol oynayır. Sənəd bu gün dünyanın demək olar ki, 70 ölkəsi tərəfindən ratifikasiya edilib. Azərbaycan həmçinin Avropa Şurasının «Kibercinayətkarlıq haqqında» Konvensiyasını da ratifikasiya edib.
Avropa İttifaqı (Aİ) ilə bu istiqamətdə əməkdaşlıq davam etdiriləcək və Aİ Şərq Tərəfdaşlığı çərçivəsində Azərbaycanda kibertəhlükəsizliyin yaxşılaşdırılmasına dəstək verməyə hazırdır. Aİ-nin Azərbaycandakı nümayəndəliyinin rəhbəri Kestutis Yankauskasın sözlərinə görə, söhbət şirkətlərin kiber təhlükəsizliyininin təmin edilməsi, internet provayderləri tərəfindən müəyyən tələblərə riayət edilməsi, habelə fərdi məlumatların qorunması sahələrində ölkəyə texniki və məsləhət dəstəyindən gedir.
"Azərbaycan 2008-ci ildə" Kibercinayətkarlıq haqqında" Beynəlxalq Konvensiyanı imzalayıb və informasiya təhlükəsizliyi üzrə beynəlxalq standartlar əsasında 18 milli standart hazırlayaraq qeydiyyata alıb. Kibertəhlükəsizliyin təmin edilməsi prosesində dövlət qurumlarında istifadə olunan proqram təminatları lisenziyalaşdırılır, müxtəlif konfranslar, seminarlar və kiber təhlükəsizlik təlimləri keçirilir", - deyə Nəqliyyat, Rabitə və Yüksək Texnologiyalar nazirinin müavini Elmir Vəlizadə bu yaxınlarda "Kibertəhlükəsizlik həftəsi" çərçivəsində keçirilmiş tədbirdə deyib. O, əlavə edib ki, bu gün Azərbaycanda yetərincə yüksək səviyyədə kiberfəza təhlükəsizliyi təmin olunur və bu məsələlərə dövlət səviyyəsində xüsusi diqqət yetirilir.
Vəziyyət mürəkkəbdir…
Bununla yanaşı, bəzi ekspertlərin qiymətləndirməsinə görə, banklar, böyük beynəlxalq və yerli şirkətlər istisna olmaqla, özəl sektorda və qismən də korporativ seqmentdə vəziyyət o qədər də ürəkaçan deyil. Belə ki, «Kasperski Laboratoriyası»nın araşdırmasına görə, son bir neçə ildə Azərbaycan istifadəçilərinin üçdə biri internetdə onlayn təhdidlərlə qarşılaşıb. Korporativ sektorun tam təhlükəsizliyi barədə də danışmağa dəyməz və kiberhücumlarla bağlı bir çox faktın gizlədilməsi üzündən (şirkətlər mənfi halların açıqlanmasında maraqlı deyillər) real vəziyyət heç də həmişə biznes strukturları tərəfindən yayımlanan müsbət statistika ilə üst-üstə düşmür.
"Ölkədə kibertəhlükəsizlik səviyyəsini artırmaq istəyiriksə, özəl sektor üçün şəbəkə müdafiəsinin genişləndirilməsini təmin etməliyik" – deyə Nəqliyyat, Rabitə və Yüksək Texnologiyalar Nazirliyinin İnformasiya cəmiyyətinin innovativ inkişafı və elektron idarəetmə şöbəsinin müdiri Rəşad Əzizov «Kibertəhlükəsizlik həftəsi» çərçivəsində tədbirdə bildirib. "Hər şeydən öncə kibertəhlükəsizlik üzrə proqram təminatlarının hazırlanması və tətbiqi ilə məşğul olan İT şirkətlərinə dəstək əvvəl zəruridir",- deyə o əlavə edib.
Dolayı olaraq, şəbəkə müdafiəsi sahəsində mənfiliklərin olmasını, ITU reytinqinin azalması ilə də sübut olunur ki, reytinqə görə, Azərbaycan ötən ilin aprelində dərc olunmuş «Qlobal kibertəhlükəsizlik indeksi 2018»də 55-ci yerə enib (2019-cu ilin məlumatları bu ilin aprel ayında açıqlanacaq). Müqayisə üçün, iki il əvvəl Azərbaycan 48-ci yerdə qərar tutmuşdu.
Azərbaycanın internet məkanında şəbəkə insidentlərinin sayının nəzərəçarpacaq dərəcədə azalmasına baxmayaraq, vəziyyət hələ də mürəkkəb olaraq qalır. Bu günlərdə Azərbaycan Xüsusi Dövlət Təhlükəsizliyi Xidməti «Cybero» şirkətinin məlumatlarını yaydı, məlumatlara görə, hücuma məruz qalan yerli təşkilatların 19-u informasiya təhlükəsizliyinə laqeyd yanaşıb. Belə ki, informasiya sistemlərinə edilən müdaxilələrin 63%-i server təhlükəsizliyinin aşağı səviyyədə olması ilə bağlıdır. Bəzi qurumlar ortaq hostinq xidmətlərindən istifadə edirlər - öz məlumat sistemlərində zəiflik olmasa da belə, onlar digər serverlərə düşə bilərlər. Eyni zamanda, müdaxilələrin 37% -i koddakı zəifliklərdən qaynaqlanır. Qurumda inanırlar ki, gələcəkdə "dövlət buludu"nun işə salınmasından sonra bu cür hücumların qarşısının alınması xeyli asanlaşacaq.
Eyni zamanda, Azərbaycanda şəbəkə resurslarına qarşı genişmiqyaslı mütəşəkkil hücumlar həyata keçirən mütəşəkkil qrupların fəaliyyətinin ardı kəsilmir. Xüsusi Xidmətin məlumatına görə, 2019-cu ildə iki kiberqrup ifşa edilib, onlardan biri Nigeriyadan olan hakerlərdən ibarət idi. Başqa işləri ilə yanaşı, qruplardan biri Azərbaycanın dövlət orqanlarına hücum etmişdi: hazırda bu qruplar ifşa edilib, araşdırmalar aparılır və beynəlxalq qurumlar cəlb olunur ki, günahkarlar cəzalandırılsın.
Vəziyyətin mürəkkəbliyini «StealthMail» komandası da təsdiqləyir, onun məlumatına görə, yalnız 2016-cı ildə Azərbaycan şirkətlərinə edilən kiberhücumların sayı 2,2 milyonu keçib, bunun 84%-i Bakıda fəaliyyət göstərən qurumların payına düşüb.
«Microsoft Azerbaijan» isə hesab edir ki, ölkədə kiberhücumlara qarşı kollektiv müdafiə komponentini gücləndirmək lazımdır. O cümlədən, Azərbaycanın profil dövlət qurumlarına «Microsoft» ilə «Government security agreement» müqaviləsi bağlamaq təklif edilib. Belə olan halda «Microsoft»un kibercinayətkarlıqla mübarizə üzrə «Digital crime unity» bölməsi «Windows» hücumlarından müdafiə üzrə bütün analitik göstəriciləri və beynəlxalq səviyyədə digər məhsulları yararlanmaq üçün təqdim edəcək. Ancaq mövcud gerçəkliklərdə belə bir anlaşmaya gəlmək asan deyil, çünki burada yalnız lisenziyalı məhsulların qorunması barədə söhbət gedə bilər, halbuki Azərbaycanda «Microsoft» proqram təminatlarının 4/5-dən çoxu qanunsuz köçürmələrdir. Digər dünya venderlərinin proqram təminatı ilə vəziyyət bir az daha yaxşıdır.
Strategiya lazımdır
Beləliklə, gələcək üçün ən vacib istiqamət korporativ sektorda quraşdırılmış proqram təminatının leqallaşdırılması üzərində işin olduğu müəyyən edilib ki (bu iş artıq dövlət qurumlarında fəal şəkildə aparılır), kiberhücumlar nəticəsində fövqəladə hallar zamanı beynəlxalq məsləhət, texnologiya və hüquq resurslarını işə qoşmağa imkan verəcək.
Digər bir istiqamət isə, şəbəkə təhdidlərindən qorunmaq üzrə imkanların genişləndirilməsinə yönəldilən normativ-hüquqi bazanın və inzibati mexanizmlərin təkmilləşdirilməsi prosesinin sürətləndirilməsidir. Burada addımlardan biri Azərbaycanda dövlət qurumlarının kibertəhlükəsizliyi indeksinin işlənməsi olmalıdır. Tezliklə yeni elektron sorğular sisteminin tətbiqi planlaşdırılır. Onun çərçivəsində iki yeni modul tətbiq ediləcək ki, onlar dövlət qurumlarının kiber və informasiya təhlükəsizliyinin effektivlik səviyyəsini, həmçinin onların reytinq səviyyəsini nümayiş etdirəcək. Digər bir modul isə dövlət qurumlarının elektron sorğu sisteminə cavab sürətini ölçəcək və onların "sayıqlıq" indeksini göstərəcək.
Strategiyaya bəzi əlavələr edilməsinin gecikməsi sənədin informasiya təhlükəsizliyi aspektlərini əks etdirməməsi ilə bağlı idi.
Rabitə Nazirliyinin şöbə müdiri R.Əzizovun sözlərinə görə, “İnformasiya təhlükəsizliyi və kibertəhlükəsizlik strategiyası” qəbul etmək lazımdır ki, onun hazırlanması Nazirlər Kabinetinin iş planına uyğun olaraq gerçəkləşdirilir: "Strategiyaya bəzi əlavələrin edilməsinin gecikməsi onunla bağlıdır ki, sənəddə informasiya təhlükəsizliyi aspektləri əks edilməmişdi. Bu məsələnin əhəmiyyətini nəzərə alaraq, hazırda bu sahələri vahid sənəddə - "İnformasiya təhlükəsizliyi və kibertəhlükəsizlik strategiyası”nda birləşdirmək üzrə işlər görülür”,- deyə şöbə müdiri vurğulayır.
Onun sözlərinə görə, informasiya təhlükəsizliyi təkcə kibertəhlükəsizliyi nəzərdə tutmur – çağımızda informasiya müharibələri müşahidə olunduğuna görə, məlumatların kiberməkandan kənarda, məsələn, radiotezliklər seqmentində və s.-də qorunması çox aktualdır.
Fərdi qorunma
Nəhayət, fərdi məlumatların qorunması Azərbaycanda kibertəhlükəsizliyin təmin edilməsi sahəsi üzrə ən vacib məsələ kimi müəyyənləşdirilib. Bu problemin miqyaslarını anlamaq üçün Amerikanın IBM şirkəti tərəfindən aparılmış bir araşdırmanın göstəricilərini sadalamaq yetərlidir. Araşdırmaya görə, 2019-cu ildə uçot yazılarının sındırılmasının 85%-dən çoxu təhlükəsizlik problemləri və bulud xidmətlərinin yanlış köklənməsi səbəbindən meydana gəlib. Özü də, qeyri-qanuni müdaxilələrin əksəriyyəti proqram təminatında əvvəllər məlum olan zəifliklərin üzündən baş verib. Ötən il ərzində dünya miqyasında cinayətkarlar tərəfindən 8,5 milyarddan çox fərdi məlumat və qeydlər oğurlanıb ki, bu da 2018-ci ildəkindən üç dəfə çoxdur.
İnformasiya texnologiyaları və kibertəhlükəsizlik üzrə auditor İlqar Əliyev sanır ki, fərdi məlumatların qorunması məsələsi Azərbaycanda da çox aktualdır. Onun fikrincə, fərdi məlumatların əldə edilməsinə nəzarəti gücləndirmək lazımdır. Qorunmalı olanlar sırasına fərdi və peşə məlumatları, maliyyə məlumatları - aktivlər, əməliyyatlar, öhdəliklər, tibbi sənədlər, biometrik məlumatlar, DNA, barmaq izləri, virtual məkan, siyasi və dini baxışlar, sosial həyat, cinayət tarixi, yerləşmə haqqında məlumatlar, yazışmalar, fotoşəkillər və s. daxildir.
Bu cür məlumatlar vaxtaşırı dövlət qurumları, banklar və sığorta təşkilatları, mobil operatorlar, rəqəmsal portallar və ödəniş sistemləri, tibb müəssisələri, pərakəndə satış şəbəkələri, təhsil müəssisələri və digər təşkilatlar tərəfindən toplanır. Çox vaxt məlumat daşıyıcılarının hüquqlarının yetərincə qorunmaması, məlumatların verilməsi ilə bağlı öhdəliklərin yerinə yetirilməməsi və ya göstəricilər bazasından sızma nəticəsində bu məxfi məlumatlar açılır və kütləvi şəkildə reklam məqsədi ilə SMS, kontent reklamları, zəhlətökən telefon danışıqları və s. vasitəsi ilə mal və xidmətləri tanıtmaq üçün istifadə olunur.
"Azərbaycanda fərdi məlumatların qorunması beynəlxalq hüquqi aktlara və müvafiq konvensiyaya əsaslanır. Vətəndaşlarımızın fərdi məlumatları etibarlı şəkildə qorunmalıdır, çünki son vaxtlar onlar tez-tez kənar hücumlara məruz qalırlar", - deyə nazir müavini E. Vəlizadə bu yaxınlarda keçirilmiş «Rəqəmsal hüquq: Fərdi məlumatların qorunması» tədbirində bildirib.
Bu sahədə sui-istifadə hallarının qarşısını almaq üçün Azərbaycanda bir sıra qanunvericilik aktları hazırlanır, həmçinin Fərdi məlumatların qorunması reqlamentinin (General Data Protection Regulation - GDPR) hazırlanması üçün işçi qrupu yaradılıb.
Bir sözlə, gələcəkdə bu seqmentdə əsas dəyişikliklər kibercinayətkarlıqdan qorunma tədbirlərinin əlaqələndirilməsinə, həmçinin hüquqi və texnoloji bazanın yaxşılaşdırılmasına yönəldiləcək.
MƏSLƏHƏT GÖR: