İnsanlara hürriyət, millətlərə istiqlal!

İki dövlət strukturuna kiberhücum - nə etməli, qarşısını necə almalı?

1106 22.04.2022 08:00 Gündəm A A

Osman Gündüz: “Bəzi dövlət qurumlarının məlumat bazalarının, serverlərinin saxlanılmasına xərclər nəzərdə tutulmur”

İcbari Sığorta Bürosunun internet resursları kiberhücuma məruz qalıb. Hücumun şəxsiyyəti məlum olmayan, lakin iranlı olması ehtimal olunan “AngryBoy” təxəllüslü haker tərəfindən həyata keçirildiyi bildirilir. Hakerin “DarkNet” internet resurslarında yaydığı məlumatlara əsasən, İcbari Sığorta Bürosunun bütün sisteminin dağıdıldığı və 40 milyondan çox məlumatın ələ keçirildiyi iddia olunur.  Bizim.media-nın araşdırması nəticəsində məlum olub ki,  Rəqəmsal İnkişaf və Nəqliyyat Nazirliyinin tabeçiliyində olan Dövlət Avtomobil Nəqliyyatı Xidməti də böyük miqyaslı kiberhücuma məruz qalıb. Hücum nəticəsində xidmətin məlumat bazasından milyonlarla fərdi məlumatların oğurlandığı bildirilir.

Məlumatlara görə, kiberhücumların əsas hədəfi Dövlət Avtomobil Nəqliyyatı Xidmətinin “Fərqlənmə nişanı”nın alınması üçün nəzərdə tutulmuş onlayn platforması (e-fn.danx.gov.az) olub. İranlı olması ehtimal olunan haker tərəfindən həyata keçirilən kiberhücum nəticəsində milyonlarla fərdi məlumatların ələ keçirilərək “DarkNet”də satışa çıxarıldığı iddia olunur. İstifadəçilərin anonimliyini təmin edən və axtarış sistemlərində tapılmayan virtual məkan “DarkNet”, narkotik və silah satışından, çirkli pulların yuyulması, oğurlanmış məlumatların satışı və pornoqrafiyaya qədər bir çox zərərli məhsulların “qara bazarı” rolunu oynayır. Ələ keçirilmiş və daha sonra satışa çıxarılmış məlumatlar içərisində Azərbaycan vətəndaşlarına məxsus sürücülük vəsiqələrinin seriya və nömrələri, vətəndaşların ad, soyad və ata adı, qeydiyyat ünvanı, mobil nömrə, şəxsiyyət vəsiqəsinin FİN kodu olduğu bildirilir.

Qeyd edək ki, son illərdə Azərbaycan dövlət qurumlarına və informasiya resurslarına yönəlik böyük kiberhücumlar olub. Daha əvvəllər də İran və Ermənistan mərkəzli haker qrupları tərəfindən bir sıra dövlət qurumlarının məlumat bazalarına yönəlik hücumlar həyata keçirilib. Xüsusilə 44 günlük müharibə dövründə bu cür hücumların geniş vüsət aldığı müşahidə olunub. Kiberhücumların qarşısının alınması və məlumat sızıntısının əngəllənməsi bır sıra dövlət qurumlarının informasiya təhlükəsizliyi və məlumat bazalarının mühafizəsi sahəsinə daha ciddi yanaşmalar tələb edir. Bu sahədə hansı işlər görülməlidir?

Osman Gündüz dronların gətirilməsi prosedurunu pislədi

Osman Gündüz

“Multimedia” İnformasiya Sistemləri Texnologiyaları Mərkəzinin direktoru, Azərbaycan İnternet Forumunun prezidenti Osman Gündüz deyir ki, Azərbaycanda kibertəhlükəsizliyə cavabdeh dövlət qurumu Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətidir: “2 il öncə Xüsusi Dövlət Mühafizəsi Xidməti ləğv olundu və 3 yeni qurum yaradıldı: Azərbaycan Respublikası Prezidentinin Təhlükəsizlik Xidməti; Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti; Azərbaycan Respublikasının Strateji Obyektlərin Mühafizəsi Dövlət Agentliyi. Sırf kibertəhlükəsizliyə cavabdeh olan Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətidir. Uzun müddət bu qurumun nə əsasnaməsi, nə də strukturu təsdiqləndi. Nəhayət, bu yaxınlarda təsdiqləndi, indi də rəisi vəzifəsi müvəqqəti icra olunur.

Baş verənlər xoşagələn hadisə deyil. Bu onu göstərir ki, dövlət qurumlarında kibertəhlükəsizlik dayanıqlı deyil. Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti audit aparmalı, bu məlumatların necə ələ keçirildiyi aydınlaşdırılmalıdır. Dövlətə məxsus məlumatlar niyə açıqlanmalıdır? İnformasiya təhlükəsizliyi baxımından dövlət qurumlarında audit aparılması ilə bağlı qanunvericilikdə problemlər var. Yəni dövlət qurumunun ixtiyarı çatmır ki, gedib məcburi audit aparsın. İT sisteminin audit olunması qanuna görə könüllü şəkildə həyata keçirilir. Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinə dövlət qurumları könüllü müraciət etməli və audit aparılmasını xahiş etməlidirlər. Bunu da heç bir dövlət qurumu eləmir. Heç kim başını ağrıtmaq istəmir. Qanundakı bu boşluğun aradan qaldırılması üçün təkliflər hazırlanıb və təqdim olunub. Lakin hələ ki təkliflər qanuna salınaraq təsdiq olunmayıb".

Kiberhücumlar xəbər saytlarını çökdürə bilər

Azərbaycanda şəxsi hesablara edilən kiberhücumlarla bağlı təhlükəsizlik məqamlarına da toxunan mütəxəssis bu sahədəki çatışmazlıqları dövlət qurumlarının məsuliyyəsizliyi ilə əlaqələndirib: “Qeyri-dövlət sektoruna kiberhücumlara qarşı fəaliyyət göstərən qurum Nəqliyyat Rabitə və Yüksək Texnologiyalar Nazirliyi yanında Elektron Təhlükəsizlik Xidmətidir. Düşünürəm ki, şəxsi profillərə edilən hücumlar bu məsələyə dövlət qurumlarının məsuliyyətsiz yanaşması ilə bağlıdır. İstənilən halda, bu, araşdırmağa ehtiyacı olan məsələdir. Dövlət qurumları bunun fərqində olmalı, araşdırma apararaq ortaya faktlar çıxarmalı, hətta məhkəmə səviyyəsində tədqiqatlar aparılmalıdır. Azərbaycan ”Kibercinayətkarlıq haqqında" Konvensiyaya 2009-cu ildə qoşulub. Hətta digər ölkələrdən hücumlar olsa belə, bizim hökumətin həmin konvensiyadan istifadə edərək araşdırma aparmaq imkanı var".

Osman Gündüz daha bir maraqlı məqama diqqət çəkib: “Prezidentin 17 yanvar 2019-cu il tarixli fərmanı ilə Nəqliyyat, Rabitə və Yüksək Texnologiyalar Nazirliyinə tapşırıq verilib ki, bütün mərkəzi icra orqanlarının informasiya sistemlərinin inventarizasiyası və ekspertizası aparılsın. Və bu sistemlərin gələcəkdə NRYTN DATA Mərkəzində yerləşdirilməsi üçün təkliflər hazırlasın.

Əsas məqsəd yenə də bu sahədə idarəetmənin təkmilləşdirilməsi, xərclərə qənaət və optimallaşdırmadır. Hazırda vəziyyət elədir ki, bu sahədə də təkrarçılıq var və büdcə vəsaitlərindən də səmərəli istifadə olunmur. Belə ki, bir tərəfdən dövlət iki il öncə milyonlarla vəsait sərf edərək NRYTN nəzdində nəhəng, yüksək standartlara cavab verən bir DATA Mərkəz yaradıb. Birini də Yevlaxda yaratmaq üzrədir. NRYTN-in AzİnTelecom qurumuna tabe olan bu DATA Mərkəzdə çox az sayda dövlət qurumları öz resurslarını saxlayırlar. Necə deyərlər, onun rəfləri bomboşdur. Digər tərəfdən, əksər dövlət qurumaları öz informasiya sistemlərini, məlumat bazalarını özlərində yaratdıqları özəl DATA mərkəzlərdə, öz serverlərində saxlayırlar. Bəzi nazirliklərdə bu, hədsiz dərəcə böyük, bəzilərində isə adi bir server otağından ibarətdir.

Təbii ki, dövlət qurumları bu resursları özlərində saxlamaq və inkişaf etdirmək, yeni serverlər və proqram təminatları almaq, xüsusilə də onların təhlükəsizliyini təmin etmək üçün hər il xeyli vəsait xərcləyirlər. Bu, kifayət qədər məsuliyyətli və dövlət qurumları üçün həm də, necə deyərlər, “baş ağrıdan” məsələdir. Yəni dövlət qurumları üçün onun məlumat bazalarının başqa bir yerdə saxlanılması və məsuliyyətdən azad olunması bəlkə də sərfəlidir. Belə olan halda sual yaranır ki, əgər dövlətin vahid bir DATA Mərkəzi varsa, onda yüzlərlə belə DATA mərkəzlərə ehtiyac varmı?

Məhz adıçəkilən fərmanın 11.1-ci bəndi ilə NRYTN-ə tapşırıq verilib ki, 6 ay müddətində bu məsələ ilə bağlı mövcud vəziyyət araşdırılmalı və təkliflər hazırlanıb hökumətə təqdim edilməlidir. Düşünürəm ki, doğru yanaşmadır. Həm təhlükəsizlik cəhətdən, həm də xərclərin optimallaşdırılması və dövlət qurumlarının əlavə yükünün azaldılması baxımından daha doğru olardı ki, bütün resurslar vahid bir mərkəzdə saxlanılsın. Əlbəttə, onda gərək alternativlik mütləq təmin olunsun, Yevlaxda tikilən alternativ DATA mərkəz mütləq fəaliyyətə başlasın. Alternativ olmadan bütün dövlət resurslarının bir yerə cəmlənməsi də böyük risk olardı. Amma burada maraqlı sual ondan ibarətdir ki, dövlət qurumları NRYTN-in Data Mərkəzində öz resurslarını yerləşdirdikdən sonra onun xərclərini kim ödəyəcək? Artıq NRYTN DATA Mərkəzi burada resursların saxlanılması və servis göstərilməsi ilə bağlı bəlli tariflər tətbiq edirlər. Yəni problem odur ki, xərclər mərkəzləşdirilmiş formada büdcədə nəzərdə tutulacaq, yoxsa bu xərclər elə hər bir resurs sahibinin, yəni dövlət qurumlarının üzərinə qoyulacaq?

Kiber hücumlar və növləri | ISECURITY

Əgər xərclər dövlət qurumlarının öz üzərinə qoyulacaqsa, düşünürəm ki, müəyyən problemlər də qaçılmaz ola bilər. Bildiyim qədər, bəzi dövlət qurumlarının məlumat bazalarının, serverlərinin saxlanılmasında, ümumiyyətlə, xərclər nəzərdə tutulmur. Hansı ki, onlar serverlərin alınması və saxlanması və digər bu tip xərcləri, necə deyərlər, digər imkan olan yerlərdən qənaət edib bu istiqamətə yönəldirlər. Odur ki, əgər bazalar mərkəzləşmiş olacaqsa, bəzi dövlət qurumları üçün NRYTN Data Mərkəzinə vəsaitlər ödəmək problemlər yarada bilər. Bəzi dövlət qurumlarının bu imkanları, resursları olsa da, onlar məlumat bazasının NRYTN Data Mərkəzində saxlanılmasına üstünlük veriblər. Məsələn, eGov sahəsində Prezidentin məlum fərmanından sonra VXSİ Dövlət Agentliyi e-gov.az Portalının, doğru olaraq da elə NRYTN Data Mərkəzində saxlanılmasına üstünlük verib. Düşünürəm ki, mərkəzi icra orqanlarının məlumat bazalarının vahid bir dövlət resursunda saxlanılması və bununla əlaqəli digər xərclərin büdcədə nəzərdə tutulamsı və NRYTN vasitəsilə reallaşdırılması daha effektiv ola bilərdi. Bununla da xeyli büdcə vəsailərinə qənaət oluna bilərdi. Əlbəttə, bu istiqamətdə araşdırmalar aparıb, yekun hesablamalardan sonra daha dəqiq rəqəmlər ortaya çıxarmaq olardı. Və ya hər bir dövlət qurumunun saxlanılması ilə bağlı xərclərdə bu tip xərclər ayrıca istiqamət olaraq nəzərdə tutulmalıdır. Yəni heç bir halda paralelçiliyin olması doğru olmazdı. Qabaqcadan bu tip xərclər ayrıca bir bənd olaraq büdcədə nəzərdə tutulmalıdır. Həmçinin də, NRYTN-in hər iki DATA Mərkəzində keyfiyyətli, dayanıqlı və gecə-gündüz əlçatan olan servis məsələsi də öz həllini tapmalıdır. Peşəkar mütəxəssislər işə götürülməlidir. Beynəlxalq təcrübə öyrənilməli və mərkəzdə indiki zamanda zəruri olan bütün servislər təqdim olunmalıdır".

Azərbaycan kibertəhlükəsizliyə görə dünya ölkələri arasında mövqeyi son iki ildə 15 pillə yaxşılaşaraq 40-cı, MDB regionunda isə bir pillə yüksələrək 3-cü yerdə qərarlaşıb. Bu barədə məlumat Beynəlxalq Telekommunikasiya İttifaqının (ITU) yaydığı “Qobal Kibertəhlükəsizlik İndeksi”nin (The Global Cybersecurity Index - GCI) buraxılışında qeyd edilib. Hesabata görə, Azərbaycan mümkün 100 baldan 89,31 bal toplayıb ki, bu da 5 kateqoriya üzrə hesablanıb. Belə ki, rəsmi Bakı leqal ölçmələr üzrə 20, texniki ölçmələr üzrə 19,19, təşkilatçılıq üzrə ölçmələrdə 13,14, potensialın inkişaf etdirilməsi üzrə 16,99 və kooperativ ölçmələr üzrə isə 20 bal toplayıb.

E.MƏMMƏDƏLİYEV,
“Yeni Müsavat”

Bizim partnyorlarımız

XƏBƏR LENTİ

BÜTÜN XƏBƏRLƏR