Кибербузғунчилар учун жозибадор соҳа: банкларда ахборот тизимлари қанчалик ҳимояланган?
Молиявий тузилмаларнинг бевосита пул билан боғлиқ фаолияти кибербузғунчилар учун, айниқса, жозибадор кўринади. Ахборот хавфсизлиги соҳасидаги мутахассислар масофавий банк хизматлари кўрсатишни ҳимоялашда катта муаммоларга дуч келмоқдалар. Турли муғомбирликлар, катта талафотлар етказувчи фрод (электрон тижоратдаги фирибгарлик) билан курашиш учун банк соҳасида қимматбаҳо тизимлардан фойдаланишга тўғри келяпти.
Ҳар бир киши ўзининг банкка тақдим қиладиган шахсий маълумотлари махфий бўлиб қолишидан манфаатдор. Шу сабабли, ушбу мақоламизда нафақат муаммолар таҳлил қилинади, балки банк фойдаланувчилари учун ҳам фойдали маслаҳатлар берилади.
Жиноий манфаатлар юзага келганда...
Банклар пайдо бўлиши биланоқ жиноий манфаатлар ҳам юзага келган. Бу нафақат кредит ташкилотларида нақд пул сақланиши билан, балки кўпчилик одамлар, компаниялар, ташкилотлар ва ҳатто бутун бошли давлатларнинг муҳим ва махфий молиявий-хўжалик фаолияти билан боғлиқ маълумотлари тўпланиши билан ҳам боғлиқ.
Бугунги кунда электрон тўловлар, пластик карталар, компютер тармоқларининг кенг тарқалиши натижасида бевосита ҳам банклар, ҳам банк мижозларининг пул маблағлари ахборот ҳуружларининг объектига айланмоқда. Пул ўғирлашга ҳар қандай ғаразли шахс уриниб кўриши мумкин – бунинг учун унда компютер ва интернет тармоғи бўлса бас. Бунда банк ичига жисмонан кириш ҳам шарт эмас, минглаб километр узоқликдаги масофадан ҳам кирдикор мақсадини амалга ошираверади.
АҚШда банк муассасаларининг хакерлардан йиллик зарари 0,3дан 5 млрд. долларгача
Банклардаги маълумотлар ҳар доим турли қонунбузарларнинг диққат марказидаги объекти бўлиб келган. Автоматлаштирилган банк тизимлари бундай маълумотлар ўғирлаш учун яхшигина канал ҳисобланади.
1995 йилнинг август ойида Буюк Британияда 24 ёшли россиялик математик Владимир Левин ҳибсга олинди. У Петербургдаги ўз уй компютери ёрдамида Американинг йирик банкларидан бири «Citibank» тизимига киришни уддалаган ва унинг ҳисобрақамларидан катта миқдордаги пул маблағларини ечиб олишга уринган. «Citibank»нинг Москва шаҳридаги ваколатхонаси маълумот беришича, шу пайтгача бу иш ҳеч кимнинг қўлидан келмаган. «Citibank»нинг хавфсизлик хизмати банкдан $2,8 млн. ўғирлашга уриниш бўлганлиги, бироқ назорат қилувчи тизимлар буни аниқлаб, ҳисобрақамларни ёпиб қўйганлигини маълум қилади. Натижада фақатгина 400 минг АҚШ доллари ўғирланган.
АҚШда банк муассасаларининг компютер маълумотларидан ноқонуний фойдаланиши натижасида кўрган йиллик зарари, экспертлар баҳолашига кўра, 0,3дан 5 млрд. долларгачани ташкил қилади.
Банк хавфсизлигини таъминлашда асосий нозик муаммо
Маълумот – бу банк хавфсизлигини таъминлашда асосий нозик муаммо. Шу сабаб, банклар ахборот хавфсизлигининг стратегияси бошқа компанияларникидан катта фарқ қилади. Бу, авваламбор, хавфларнинг специфик характери ҳамда мижозлар учун қулайлаштириш мақсадида ҳисоб рақамларига киришни енгил қилиб қўйиши, банкларнинг ошкора фаолияти билан боғлиқ.
Оддий компания ўз ахборот хавфсизлигини потенциал хавфларнинг тор доирасидан келиб чиқиб, барпо этади: асосан маълумотнинг рақобатчилардан ҳимояси. Бундай маълумот фақат тор доирадаги манфаатдор шахслар ва ташкилотларгагина қизиқ бўлиб, камдан-кам ҳолатларда ликвидли бўлади, яъни пул шаклига ўтказилади.
Банкнинг ахборот хавфсизлигида эса қуйидаги махсус омилларни ҳисобга олиш зарур:
- Ҳақиқий пул маблағлари акс этувчи ва банк тизимларида сақланувчи ҳамда ишланувчи маълумот. Компютер маълумотларига асосан тўловлар амалга оширилиши, кредитлар очилиши, катта миқдордаги маблағлар ҳисобдан ҳисобга ўтказилиши мумкин. Ушбу маълумотлардан ноқонуний равишда фойдаланиш жиддий зарарларга олиб келиш мумкинлиги барчага аён. Бу хусусият банкларга нисбатан (масалан, ички маълумоти жуда кам шахсларга қизиқ бўлган саноат компанияларидан фарқли равишда) тажовуз қилувчи жиноятчилар доирасини шиддат билан кенгайтиради.
- Банк тизимларидаги маълумотлар кўп сонли одамлар ва ташкилотлар — мижозларнинг манфаатларини қамраб олади. Одатда, ушбу маълумотлар махфий бўлади ва банк ўз мижозлари олдида уларнинг талаб даражасидаги махфийлигини таъминлаш учун жавобгар бўлади. Мижозлар ҳам ўз банкига ишонишга ҳақли, акс ҳолда банк репутациясини, яъни обрўйини йўқотиши мумкин.
- Банкнинг рақобатбардошлиги мижозларга яратилган қулайлик, кўрсатилаётган хизматлар спектрининг кенглиги, масофадан хизматлар кўрсата олишига боғлиқ. Мижоз ўз маблағларини тезкорлик билан бошқариш имкониятига эга бўлиши зарур. Бироқ бундай қулайлик банк тизимларига жиноятчиларнинг онлайн-ҳужуми эҳтимолини кучайтиради.
- банкнинг ахборот хавфсизлиги компютер тизимларининг ишини ҳатто фавқулодда ҳолатларда ҳам юқори даражадаги ишончлилик билан таъминлаши зарур, чунки банк нафақат ўз маблағлари, балки мижозлар пуллари учун ҳам жавобгар ҳисобланади.
Афсуски, бугунги кунда ҳатто махфий маълумотлардан фойдаланишга оид ўта қатъий чоралар ҳам кибержиноятларнинг йўлини тўлиқ тўсиб қўя олмайди. Шунинг учун маълумотларни ҳимоялашнинг тизимли ёндашувида ахборот хавфсизлигини таъминлаш учун банк томонидан фойдаланилаётган воситалар ва ҳаракатлар (ташкилий, жисмоний дастурий-техник) ўзаро чамбарчас боғлиқ. Бунда чораларнинг ягона комплекси ишлаб чиқилиши талаб этилади. Ушбу комплекс нафақат маълумотларни сақлашга, уларни тасодифий йўқ қилиш, ўзгартириш ёки ошкора қилишни олдини олишга ҳам йўналтирилган бўлиши зарур.
Банкларда маълумотларга ишлов бериш автоматлаштирилган тизимларининг хавфсизлиги
Банкларда маълумотларга ишлов бериш автоматлаштирилган тизимлар фаолиятини қасддан бузиш муаммоси ҳозирги вақтда энг долзарблардан ҳисобланади десак, муболаға бўлмайди.
Маълумотларга кўра, молиявий ташкилотларнинг зарари йилига миллиардлаб долларни ташкил қилади.
Дастурий-техник муҳит хавфсизлигини таъминлашнинг бир нечта асосий усуллари мавжуд:
- Firewalls (брандмауэрлар). Ушбу усул банкнинг локал тармоғи ва бошқа тармоқлар орасида махсус оралиқ серверлар яратилишини назарда тутади, улар ўзларидан ўтказадиган маълумотлар оқимини (тармоқ/транспорт даражалари трафиги) назорат қилади, таҳлил қилади ва филтрлайди. Бу корпоратив тармоқларга ташқаридан ноқонуний кириш хавфини кескин пасайтиришга имкон беради, бироқ ушбу хавфни умуман бартараф қила олмайди.
- Proxy-servers. Ушбу усулда тармоқда маълумот узатиш қоидаларига қатъий чеклашлар киритилади: локал ва глобал тармоқлар орасидаги тармоқ/транспорт даражаларининг трафиги бутунлай тўхтатилади – маршрутизация мавжуд бўлмайди, локал тармоқдан глобал тармоққа мурожаатлар махсус оралиқ-серверлар орқали амалга оширилади.
- Виртуал хусусий тармоқларни (VPN) яратиш маълумотнинг махфийлигини самарали таъминлашга, уни ҳимоялашга имкон беради.
- Ноқонуний киришларни аниқловчи ва заифликларни қайд қилувчи тизимлар тармоқ хавфсизлигининг қўшимча даражасини яратади.
Электрон тўловлар хавфсизлиги
Бугун банкларнинг аксарияти тўлов амалиётларини масофали амалга ошириш учун у ёки бу каналларга эга. «Тўловнома»ни модемли уланиш ёки ажратилган алоқа линиясидан фойдаланган ҳолда тўғридан-тўғри офисдан юбориш мумкин. Банк амалиётларини интернет орқали бажариш оддий ҳолат бўлиб қолди – интернетга уланган компютер ва банкда рўйхатдан ўтган электрон рақамли имзо калити бўлса етарли.
Банк томонидан масофали хизмат кўрсатиш хусусий бизнеснинг самарадорлигини оширишга имкон беради. Бунда қуйидагилар таъминланади:
- вақтни иқтисод қилиш (банкка шахсан келиб ўтирмай, тўловни ҳар қандай вақтда амалга ошириш мумкин);
- ишнинг қулайлиги (барча амалиётлар одатий иш ҳолатида компютердан амалга оширилади);
- тўловларга ишлов беришнинг юқори тезлиги;
- ҳужжатга ишлов бериш жараёнида ҳужжат ҳолатини мониторинг қила олиш имкони;
- ҳисоб рақамларда пул маблағларининг ҳаракатлари ҳақида маълумотларни олиш.
Бироқ, яққол афзалликларга қарамасдан, электрон тўловлар бизда унчалик оммалашмаган, чунки банк мижозларининг уларнинг ҳимояланганлигига ишончи тўлиқ комил эмас. Бу, авваламбор, компютер тармоқларини қандайдир хакер осонлик билан «бузиши» мумкин деган фикр билан боғлиқ. Бу фикр инсонларнинг онгига мустаҳкам ўрнашиб олган. Веб-сайтларга уюштирилаётган ҳужумлар ҳақида ОАВларда мунтазам хабарлар бериб борилиши одамларнинг юқоридаги фикрини янада мустаҳкамламоқда. Аммо замон ўзгариб боряпти ва электрон алоқа воситалари эртами-кечми ҳаётимизни тўлиқ қамраб олади.
Электрон рақамли имзо (ЭРИ) – хавфсизлик кафолати. Банк ва мижоз ўртасида тузилган намунавий шартномага мувофиқ электрон ҳужжат остида ваколатли шахсларнинг рўйхатга олинган электрон рақамли имзоларининг мавжудлиги мижознинг ҳисобрақамларида амалиётларни амалга ошириш учун етарли асос ҳисобланади.
Ҳар бир электрон рақамли имзо калити ваколатли шахснинг ўз қўли билан қўйилган имзонинг аналоги ҳисобланади. Агар ташкилотда қоғоздаги «тўловномаларни» одатда бошлиқ ва бош ҳисобчи имзолашса, электрон тизимда ҳам шу тартибни сақлаб қолиш мумкин ва уларга алоҳида электрон рақамли имзо калитларидан фойдаланиш тавсия қилинади.
ЭРИ калити икки қисмдан иборат бўлади – ёпиқ ва очиқ. Очиқ калит эгаси томонидан генерация қилинганидан сўнг тасдиқловчи марказга тақдим этилади, унинг вазифасини одатда банк бажаради. Шундай қилиб, ЭРИ сертификати шаклланади, уни банк электрон тўловлар тизимларида рўйхатга олиш зарур бўлади.
ЭРИ ёпиқ калити (махфий калит) унинг эгаси томонидан ҳеч бир ҳолатда бошқа шахсларга берилиши керак эмас. Агар ушбу калит қисқа вақтга бўлса-да бошқа шахсга берилган ёки бирон жойда қаровсиз қолдирилган бўлса, ушбу калитнинг ишончлилиги йўқолган (яъни нусха кўчириш эҳтимоли ёки калитдан ноқонуний фойдаланиш) ҳисобланади. Бундай ҳолатда барча жавобгарлик калит эгаси зиммасига юкланади. ЭРИ калити эгасининг ҳаракатлари пластик карталар йўқолганда амалга ошириладиган пайтдагидек бўлиши зарур: калит эгаси хизмат кўрсатувчи банкка калит «ишончлилиги йўқолгани» тўғрисида хабар бериши лозим. Шунда банк ўз тўлов тизимида ушбу ЭРИнинг сертификатини блоклаб қўяди ва қонунбузар ўзининг ноқонуний топилмасидан фойдалана олмайди.
Бизнесда электрон тўловларни қўллаш анъанавий хизмат кўрсатишга нисбатан катта афзалликларга эга. Фақат бунда ЭРИ калитларидан фойдаланиш ва уларни сақлаш бўйича тавсияларни мижоз ўз банкидан олиши ва унга риоя қилиши зарур. Шунда тўловларнинг ишончлилиги кафолатланади.
Жисмоний шахсларнинг шахсий тўловлари хавфсизлиги
Хавфсизлик тизимларининг аксарияти жисмоний шахсларнинг шахсий маълумотлари йўқолишини олдини олиш мақсадида фойдаланувчидан ўз шахсини тасдиқлашни талаб қилади. Фойдаланувчини идентификациялаш қуйидагилар асосида амалга оширилади:
- у муайян бир маълумотни (махфий код, парол) билади;
- у муайян бир предметга эга (карточка, электрон калит, жетон);
- у шахсий хусусиятлар тўпламига эга (бармоқ излари, қўл панжаларининг шакли, овоз тембри, кўз қорачиғининг сурати ва ҳ.к.);
- у махсус калит қаердалигини ва ундан қандай фойдаланишни билади.
Биринчи усул муайян кодли кетма-кетликдаги шахсий идентификация рақамини (Personal identification number — PIN) теришни талаб этади.
Иккинчи усул фойдаланувчи томонидан идентификациялашнинг муайян махсус элементларини – нусхаланмайдиган электрон қурилма, карточка ёки жетондан ўқиб олинадиган кодларни тақдим қилишни талаб этади.
Учинчи усулда кириш вазифасини инсон шахсининг индивидуал ва физик хусусиятлари ўтайди. Ҳар қандай биометрик маҳсулотга таниб олишда қўлланиладиган тегишли тасвирлар ёки бошқа маълумотларни сақловчи катта ҳажмдаги маълумотлар базаси ҳамроҳлик қилади.
Тўртинчи усул ускунанинг ёқилиши ёки коммутация қилинишининг алоҳида тамойилини таклиф этади, бу унинг ишлашини таъминлайди (бу усулдан камдан-кам фойдаланилади).
Банк ишида иккинчи гуруҳдаги шахсни идентификациялаш воситалари кўпроқ тарқалган: аниқ бир предмет (карточка, электрон калит, жетон). Табиийки бундай калитдан фойдаланиш биринчи гуруҳдаги идентификациялаш воситалари ва усуллари билан ҳамжиҳатликда амалга оширилади: маълумотдан фойдаланиш (махфий код, парол).
Идентификациялаш воситалари
Пластик карталар. Бугунги кунда дунёнинг турли давлатларида бир ярим миллиард атрофида карточкалар фойдаланишга чиқарилган. Улардан энг оммавийлари: Visa ва MasterCard кредит карточкалари; Eurocheque ва Posteheque халқаро чеклар; сайёҳатларга тўлаш учун American Express ва Diners Club карточалари.
Магнит карточкалари. Банк ишида идентификациялаш воситалари сифатида магнит полосали пластик карточкалари анчадан бери фойдаланилади (кўпчилик тизимлар оддий кредит карточкалардан фойдаланишга имкон беради). Маълумотни ўқиб олиш учун карточкани (магнит полоса томони билан) ридернинг (ўқиб олувчи) махсус туйнугидан ўтказиш зарур. Одатда ридерлар ташқи қурилма кўринишида ишланган бўлади ва компютернинг изчил ишлайдиган ёки универсал порти орқали уланади. Ридерлар, шунингдек, клавиатура билан бирлаштирилган ҳолда ҳам ишлаб чиқарилади.
Ушбу карталардан фойдаланишнинг афзалликлари ва камчиликлари ҳам мавжуд.
Камчиликлар:
- магнит карточка махсус ускуна ёрдамида осонлик билан нусхаланиши мумкин;
- кирланиш, магнит қатламига кичик механик таъсир;
- карта электромагнит майдонларининг кучли манбалари ён-атрофида бўлиши картанинг ишдан чиқишига олиб келади.
Афзалликлар:
- Бундай карталарни чиқариш ва улар орқали хизмат кўрсатиш харажатлари унчалик катта бўлмайди;
- магнит пластик карталар саноати охирги ўн йиллар давомида ривожланиб келган ва ҳозирги кунга келиб карталарнинг 90 фоизидан ортиғи — бу пластик карталардир;
- магнит карталарнинг қўлланиши фойдаланувчиларнинг катта миқдори ва карталарнинг тез алмашиб туриши билан ўзини оқлаган (масалан, меҳмонхона номерига кириш учун).
Proximity-карталар. Умуман олганда – бу электрон жетонларни ривожлантириш ғояси ҳисобланади. Бу қурилма – ичида такрорланмас код ёки радиоузатгичи бўлган контактсиз карточка (брелок ёки браслет кўринишида). Маълумотни ўқувчи ускуна доимий равишда электромагнит энергия тарқатувчи махсус антенна билан жиҳозланган бўлади. Карточка ушбу майдонга кирган заҳоти унинг чипига ишлов берилади ва карта ўқиб олувчи ускунага ўзининг такрорланмас кодини юборади.
Смарт-карталар. Магнит картадан фарқли равишда смарт-картада микропроцессор ва энергия узатиш ҳамда ўқувчи ускуна билан маълумот алмашиш учун контакт майдончалари мавжуд бўлади. Смарт-карта ҳимояланганликнинг юқори даражасига эга. Смарт-карталар технологияси йигирма йилдан бери мавжуд ва ривожланиб келмоқда, бироқ жуда ҳам кенг тарқалиши охирги бир неча йилларда рўй берди.
Электрон жетонлар. Ҳозирги кунда эгалари идентификациясини талаб қилувчи турли тизимларда электрон жетонлардан фойдаланиш усули кенг жорий этилган. Бундай жетоннинг танилган намунаси – электрон «таблетка». «Таблетка» зангламайдиган пўлатдан думалоқ корпусда ишланади ва ичида такрорланмас рақами бўлган чип ўрнатилган.
Хулоса
Охирги вақтларда баъзи банкларда махфийлик даражасининг бузилиши ҳолатлари кузатилмоқда. Бунга мисол қилиб турли тижорат компаниялари ва алоҳида шахслар ҳақидаги маълумотларнинг компакт-дискларда эркин фойдаланишда пайдо бўлишини келтирса бўлади. Назарий жиҳатдан бизнинг мамлакатимизда банк маълумотларини ҳимоялашни таъминлаш учун қонунчилик базаси етарли, бироқ унинг амалда қўлланиши ҳали кўнгилдагидан анча йироқ.
Банкдаги маълумотларни ҳимоялаш – бу комплекс масала бўлиб, фақат банк дастурлари доирасида ҳал бўлиши мумкин эмас. Юқоридагиларни умумлаштирган ҳолда, банк соҳасида ишлаётганда корпоратив ва тижорат маълумотлари ёпиқ ҳолда бўлишига ишонч ҳосил қилиш керак. Бироқ, нафақат ҳужжатлар ва бошқа ишлаб чиқариш маълумотлари ҳимояси учун, балки тармоқ созламалари ва компютерда тармоқ фаолиятининг параметрлари учун ҳам қайғуриш зарур.
Банкда маълумотларни ҳимоялаш масаласи бошқа ташкилотларникидан кўра анча жиддий тарзда қўйилади. Ушбу масалани ҳал қилиш ўз ичига ҳимояни таъминловчи ташкилий, тизимли чора-тадбирларни қамраб олади.
Шоҳрух РАҲМАТ,
Ахборот хавфсизлиги ва жамоат тартибини таъминлашга кўмаклашиш маркази департаменти бошлиғи
Изоҳ қолдириш учун сайтда рўйхатдан ўтинг
Кириш
Ижтимоий тармоқлар орқали киринг
FacebookTwitter