Axborot xavfsizligiga bo’ladigan tahdidlar

Bugungi kunda har qanday tashkilot faoliyatida axborotni himoya qilish juda muhim axamiyat kasb etadi. Axborot hozirgi kunda ham tashkilot faoliyati va uning raqobatbardoshligi uchun muxim bo'lgan qimmatli resursdir. Tashkilotlarning axborot tizimlari va axborot resurslari xavfsizligiga ko'plab tahdidlar mavjud: bular muhim ma'lumotlarni yo'q qila oladigan kompyuter viruslari va raqobatchilarning sanoat josusligi, o'zlarining tijorat siri bo'lgan ma'lumotlarga noqonuniy kirish huquqini olish va shu kabi bosgqa taxdidlardir. Shu sababli, axborotni himoya qilish, axborot xavfsizligini ta'minlash dolzarb muommolardan biri hisoblanadi.

Bugungi kunda axborot xavfsizligi tushunchasiga ko'plab ta'riflar berilgan. Mana, ularning ikkitasi. Axborot xavfsizligi (inglizcha "Information security") - axborot va tegishli infratuzilmani, shuningdek ma'lumot egalariga yoki foydalanuvchilariga zarar etkazish bilan bog’liq tasodifiy yoki qasddan ta'sirlardan himoya qilinganligi. Axborot xavfsizligi - ma'lumotlarning maxfiyligi, yaxlitligi va mavjudligini ta'minlash.1

O’zbekistonda axborot xavfsizligini ta’minlash va ma’lumotlarni muxofaza qilish bo’yicha «Аxborot erkinligi printsiplari va kafolatlari toʼgʼrisida»gi Qonunning qabul qilinishi har kimning axborotni erkin va moneliksiz olish hamda foydalanish huquqlarini amalga oshirishda, shuningdek, axborotning muhofaza qilinishi, shaxs, jamiyat va davlatning axborot borasidagi xavfsizligini taʼminlashda muhim ahamiyat kasb etdi. Darhaqiqat, 2002 yil 12 dekabrda qabul qilingan bu qonunda axborot xavfsizligini taʼminlash sohasidagi davlat siyosati axborot sohasidagi ijtimoiy munosabatlarni tartibga solishga qaratilgan boʼladi hamda shaxs, jamiyat va davlatning axborot borasidagi xavfsizligini taʼminlash sohasida davlat hokimiyati va boshqaruv organlarining asosiy vazifalari hamda faoliyat yoʼnalishlarini belgilaydi deb belgilangan.2

Tahdid deganda kimlarningdir manfaatlariga ziyon yetkazuvchi roʼy berishi mumkin boʼlgan voqea, taʼsir, jarayon tushuniladi. Аxborotga yoki axborot tizimiga salbiy taʼsir etuvchi potentsial roʼy berishi mumkin boʼlgan voqea yoki jarayon axborot munosabatlari subʼektlari manfaatlariga qaratilgan tahdid deb yuritiladi.

Shuni aytib oʼtish kerakki, baʼzida tahdidlar tizimdagi xatolik yoki notoʼgʼri tashkil etilgan faoliyat oqibatida emas, balki tabiiy, obʼektiv tarzda kelib chiqadilar. Masalan, elektr taʼminoti uzilishi yoki kuchlanishning pasayishi yoki chegaradan oshib ketishi bilan bogʼliq tahdidlar axborot tizimining bevosita apparat qurilmalari ishiga bogʼliqligidan kelib chiqadilar.

Umuman olganda axborotni muhofaza qilishning maqsadini quyidagicha ifodalash mumkin:

• -    axborotni tarqab ketishi, oʼgʼirlanishi, buzilishi, qalbakilashtirilishini oldini olish;

• -    shaxs, jamiyat, davlatning xavfsizligiga tahdidni oldini olish;

• -    axborotni yoʼq qilish, modifikatsiyalash, buzish, nusxa olish, blokirovka qilish kabi noqonuniy harakatlarning oldini olish;

• -    axborot resurslari va axborot tizimlariga noqonuniy taʼsir qilishning boshqa shakllarini oldini olish, hujjatlashtirilgan axborotga shaxsiy mulk obʼekti sifatida huquqiy rejimni taʼminlash;

• -    axborot tizimida mavjud boʼlgan shaxsiy maʼlumotlarning maxfiyligini va konfidentsialligini saqlash orqali fuqarolarning konstitutsiyaviy huquqlarini himoyalash;

• -    davlat sirlarini saqlash, qonunchilikka asosan hujjatlashtirilgan axborotlar konfidentsialligini taʼminlash;

• -    axborot jarayonlarida hamda axborot tizimlari, texnologiyalari va ularni taʼminlash vositalarini loyihalash, ishlab chiqish va qoʼllashda subʼektlarning huquqlarini taʼminlash.

Аxborotni muhofaza qilishning samaradorligi uning oʼz vaqtidaligi, faolligi, uzluksizligi va kompleksligi bilan belgilanadi. Himoya tadbirlarini kompleks tarzda oʼtkazish axborotni tarqab ketishi mumkin boʼlgan xavfli kanallarni yoʼq qilishni taʼminlaydi. Maʼlumki, birgina ochiq qolgan axborotni tarqab ketish kanali butun himoya tizimining samaradorligini keskin kamaytirib yuboradi.

Аxborotni muhofaza qilish sohasidagi ishlar holatining tahlili shuni koʼrsatadiki, muhofaza qilishning toʼliq shakllangan kontseptsiyasi va tuzilishi hosil qilingan, uning asosini quyidagilar tashkil etadi:

• -    sanoat asosida ishlab chiqilgan, axborotni muhofaza qilishning oʼta takomillashgan texnik vositalari;

• -    axborotni muhofaza qilish masalalarini hal etishga ixtisoslashtirilgan tashkilotlarning mavjudligi;

• -    ushbu muammoga oid yetarlicha aniq ifodalangan qarashlar tizimi;

• -    etarlicha amaliy tajriba va boshqalar.

Biroq, horijiy matbuot xabarlariga koʼra maʼlumotlarga nisbatan amalga oshirilayotogan jinoiy harakatlar kamayib borayotgani yoʼq, aksincha barqaror oʼsish tendentsiyasiga egadir.

Tahdidlarning kelib chiqishi, ularning sababi, axborot tizimidagi zaifliklar haqida tasavvurga ega boʼlish kam chiqimli axborot xavfsizligini taʼminlovchi vositalar bilan qurollanish imkonini beradi. Аxborot texnologiyalari sohasida tahdidlar, xujumlarga oid noxush maʼlumotlar koʼplab mavjud. Ularning kelib chiqish sabablari va xususiyatlarini bilmaslik tahdidlardan ximoyalanish choralarini ishlab chiqishda ortiqcha xarajatlar sarflanishiga olib kelishi mumkin.

Umuman «tahdid» tushunchasi turli holatlarda turlicha talqin etilishi mumkin. Masalan, ochiq koʼrinishda faoliyat koʼrsatuvchi korxona uchun axborotning maxfiyligini oshkor qilishga qaratilgan tahdid muammosi umuman boʼlmasligi mumkin. Chunki bunday korxonada axborotlarga barcha foydalanuvchilar murojaat qilishlari mumkin. Lekin baʼzi vakolati boʼlmagan shaxslarning korxona axborotlaridan foydalanishlari jiddiy xavf keltirib chikarishi mumkin. Boshqacha qilib aytganda, tahdid axborot munosabatlari subʼektlarining manfaatlaridan kelib chiqqan holda vujudga keladi va ular bilan bogʼliq boʼladi.

Tahdidlarni quyidagi mezonlar asosida sinflarga ajratish mumkin:

• -    axborot xavfsizligining asosiy tashkil etuvchilariga nisbatan boʼladigan tahdidlar (axborotga murojaat qilish imkoniyatiga qarshi, axborotning yaxlitligini buzishga qaratilgan, axborotning maxfiyligini oshkor qilishga qaratilgan tahdidlar);

• -    axborot tizimining tashkil etuvchilariga nisbatan boʼladigan tahdidlar (berilgan maʼlumotlar, dasturlar, apparat qurilmalari va tizimni qoʼllab-quvvatlovchi infrastruktura);

• -    tahdidni amalga oshirish usuli boʼyicha (tabiiy, texnogen, tasodifiy, gʼarazli maqsadda);

• -    tahdid manbaining axborot tizimiga nisbatan joylashgan oʼrni boʼyicha (ichki yoki tashqi).

Ilmiy va amaliy tekshirishlar natijalarini umumlashtirish natijasida axborotlarga nisbatan xavf xatarlarni quyidagicha tasniflash mumkin.

2020 yil monitoring natijalariga ko’ra, milliy internet segmentida 27 000 000 dan ortiq zararli va shubhali tarmoq hodisalari kuzatilgan. Bu tahdidlarning asosiy qismi Uzbektelecom, Beeline va Ucell kompaniyalari tarmoqlariga to’gri keladi(1-rasm).3

■ Uzbektelekom ■ Ucell ■ Beeline UZB ■ boshqalar

1-rasm. Taxdidlarning soni aloqa operatorlari kesimida

Shu bilan birgalikda idoralararo ma’lumotlar uzatish tarmog’iga ulangan axborot tizimlarida 9 955 152 ta hodisa qayd qilingan bo’lib, shundan 94 147

tasi maxfiy ma’lumotlar bazasining buzilishi va konfedenstial ma’lumotlarning tarqalishiga olib keluvchi xavfli xodisa ekanligi aniqlandi(3-rasm).

• ■    xabardor qiluvchi

• ■    xavfsiz

• ■    xavfli

3-rasm. Idoralararo ma’lumotlar uzatish tarmog’iga ulangan tizimlarda aniqlangan hodisalar

2020 yilda milliy .UZ domenida 342 ta hodisa ro’y bergan bo’lib, ularning 306 tasi veb-saytlarga ruxsatsiz kirish va 36 tasi veb-saytning asosiy sahifasini noqonuniy o’zgartirib(deface) qo’yilishi bilan izoxlanadi.

Shuni alohida ta’kidlash joizki, davlat sektori(81 ta hodisa) hususiy sektorga (261 ta hodisa) nisbatan 3 barobar kamroq hujumga duch kelgan.

Nufuzli xalqaro kompaniyalarning geosiyosiy xatarlar sohasidagi so'nggi tadqiqotlariga ko'ra, 2021 yilda dunyoda axborot-kommunikatsiya texnologiyalaridan foydalangan holda amalga oshiriladigan jinoyatlarning o'sish dinamikasi kuzatilmoqda.

Xalqaro ekspertlarning xulosalari Kovid-19 pandemiyasi oqibatlari bilan bog'liq karantin cheklovlari davrida dunyodagi vaziyatni chuqur tahlil qilish asosida qilingan. Shu bilan birga, mutaxassislarning fikriga ko'ra, 2020 yilda kibermakonda jinoyatlar sodir etilishining asosiy omillari quyidagilardir:

• -    kompaniyalar (tashkilotlar) xodimlarining masofadan ishlashiga o'tish;

• -    onlayn ta'lim;

• -    Internet-do'konlarda xavfsiz bo’lmagan xaridlarni amalga oshirish;

• -    IOT qurilmalaridan (kameralar, qurilmalar, sensorlar va boshqalar) keng foydalanish;

• -    tovlamachi-viruslarining tarqalishi.⁴

Shuni ta'kidlash kerakki, o'tgan 2020 yilda bo'lgani kabi, 2021 yilda ham Internetga qo'shilgan yangi so'nggi qurilmalar sonining tez sur'atlarda o'sishi kuzatiladi.

Bundan tashqari, onlayn-do'konlarda va onlayn savdo maydonchalarida xaridlarga bo'lgan talabning ortishi Internetdagi firibgarlar uchun qo'shimcha "tramplin" ni yaratadi, natijada fuqarolarning bank kartalaridagi mablag'larni o'g'irlash ko'payadi. Davlat va xususiy kompaniyalar duch kelishi mumkin bo'lgan yana bir katta tahdid - bu tovlamachi-viruslar (ransomware) deb ataladigan viruslar bo'lib, ularning tarqalishi asosan fishing pochta xabarlarini yuborish yoki tizimdagi zaifliklardan foydalanish orqali amalga oshiriladi.

Yuqorida aytib o'tilganlarni hisobga olgan holda bizning mamlakatimizda duch kelishi mumkin bo'lgan asosiy taxdidlar sifatida quyidagilarni ko’rsatish mumkin: kiberhujumlarga qarshi IOT qurilmalari, tashkilotlarning axborot tizimlariga va ta'lim tizimiga buzg'unchilik maqsadlarida ruxsatsiz kirish va Internetdagi firibgarlik.

"UZCERT" kiberxavfsizlik hodisalariga javob berish xizmati quyidagilarni tavsiya qiladi:

Davlat va xususiy kompaniyalar (tashkilotlar) rahbarlari korporativ tarmoqning ichki va tashqi perimetrini axborot tizimlariga noqonuniy kirib borish va zararli dasturlarning tarqalishidan himoya qilishni kuchaytirish bo'yicha samarali tashkiliy va dasturiy-texnik choralarni ko'rishlari kerak. Yiliga kamida bir marta ushbu sohadagi ekspert tashkilotlarini jalb qilgan holda axborot va kiberxavfsizlik auditi, shuningdek axborot tizimlari va resurslarini ekspertizadan o'tkazish tavsiya qilinadi.

Fuqarolarga shubhali URL-manzillarga o’tmaslik va ularda plastik kartalarni ro'yxatdan o'tkazmaslik, shuningdek begona shaxslarga plastik karta ma'lumotlarini (pin kod, karta raqami va amal qilish muddati, SMS orqali yuborilgan tasdiqlash kodini) bermaslik so’rladi.

“Kiberxavfsizlik markazi” DUK mutaxasislari axborot xavfsizligiga tahdidlarni bartaraf etish maqsadida veb-saytlarni himoya qilish uchun quyidagi tashkiliy va texnik choralarni ko'rish tavsiya etiladi:5

• -    Yangilanishlarni (update) muntazam ravishda o'rnatib borish

• -    Zaxira nusxasi (backup)

• -    Foydalanilmayotgan plaginlarni o'chirib tashlash

• -    Parol autentifikatsiyasini mustahkamlash

• -    Xavfsiz boshqaruvni olib borish

• -    Xavfsizlik plaginlaridan foydalanish

• -    Veb-saytni tekshiruvdan o'tkazib turish

Korporativ tarmoqlarni himoyalash uchun quyidagi tavsiyalarga amal qilish maqsadga muvofiq:

Hulosa o’rnida shuni aytish mumkinki, axborot xavfsizligi bo’ladigan taxdidlarni oldini olish yoki vujudga kelgan taxdidlarni bartaraf etish uchun me’yoriy xuququy bazaning mavjudligi, axborot xafvsizligini ta’minlash soxasidagi mutaxasislarining bilim va malakalarining mavjudligi muxim ahamiyat kasb etadi.

Adabiyotlar ro’yhati

• 1.    Ўзбекистон Республикасининг “Ахборот олиш кафолатлари ва эркинлиги тўғрисида”ги қонуни. Ўзбекистон Республикаси Олий Мажлисининг Ахборотномаси. – 1997 й.

• 2.    Галяутдинов Р.Р. Информационная безопасность. Виды угроз и защита информации // Сайт преподавателя экономики. [2014]. URL: http://galyautdinov.ru/post/informacionnaya-bezopasnost

• 3.     https://tace.uz/upload/iblock/5fb/Кибербезопасность_Республики_Узб екистан_%20Итоги_2020_года.pdf.pdf

• 4.    https://uzcert.uz/usefulinfo/prognoz-osnovnykh-riskov- kiberbezopasnosti-na-2021-god/

• 5.     Рекомендации - ГУП "Центр кибербезопасности" (tace.uz)

"Экономика и социум" №6(85) 2021