İKT mütəxəssisi: Boşluqların aşkarlanmasında bu ehtimallar nəzərə alınmalıdır

"Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi yaxın aylarda ilk dəfə Dövlət İnformasiya Ehtiyatları üzrə "Bug bounty" proqramı elan edəcək".

 "Report" xəbər verir ki, bunu Dövlət Xidmətinin idarə rəisi Tural Məmmədov təmsil etdiyi qurumun Bakıda keçirdiyi "Dövlət Qurumları IT Rəhbərlərinin V Zirvə Toplantısı"nda bildirib.

Onun sözlərinə görə, bunun nəticəsində Dövlət İnformasiya Ehtiyatlarında tapılan boşluqlara görə mükafatlandırma həyata keçiriləcək.

"Bug bounty" şirkətlərin proqram təminatı, məhsulları və yaxud infrastrukturu ilə bağlı problemləri tapmaq üçün insanlara pul ödənilən bir proqramdır. "Bug bounty " iştirakçıları ağ hakerlər və yaxud səhv ovçuları adlanır", - deyə idarə rəisi əlavə edib.

İnformasiya texnologiyaları üzrə mütəxəssis Elvin Həsənov “Sherg.az”a bildirib ki, Azərbaycanın dövlət informasiya ehtiyatlarındakı boşluqları müəyyən edən şəxslərin mükafatlandırılması kibertəhlükəsizliyin gücləndirilməsi baxımından olduqca vacib addımdır:

“Bu yanaşma "bug bounty" adlanan beynəlxalq praktikanın bir hissəsidir və inkişaf etmiş ölkələrdə geniş şəkildə tətbiq olunur. Belə proqramlar dövlət və özəl sektor sistemlərində mümkün zəifliklərin erkən aşkar edilməsinə, onların kibercinayətkarlar tərəfindən istismar edilməsinin qarşısının alınmasına imkan yaradır. Dövlət informasiya ehtiyatları müxtəlif müdafiə mexanizmləri ilə qorunur və sıradan bir istifadəçi üçün bu sistemlərdə boşluq aşkarlamaq, demək olar ki, mümkün deyil. Bunun üçün xüsusi bilik və bacarıqlara malik olmaq lazımdır. Kibertəhlükəsizlik sahəsində fəaliyyət göstərən mütəxəssislər penetrasiya testləri (pentesting), mənbə kod analizləri, şəbəkə trafikinin monitorinqi və autentifikasiya sistemlərinin sınaqdan keçirilməsi kimi metodlardan istifadə edirlər. Bu cür testlər təhlükəsizlik zəifliklərinin tapılmasına imkan versə də, proses ciddi təcrübə və dərin texniki bilik tələb edir. Təəssüf ki, istənilən proqram təminatı və ya şəbəkə infrastrukturu zamanla müəyyən zəifliklərə məruz qala bilər. Xüsusilə, böyük həcmli informasiya ehtiyatları olan və daima inkişaf edən dövlət sistemlərində yeni boşluqların ortaya çıxması qaçılmazdır. Bu boşluqlar proqram təminatının yenilənməməsi, zəif şifrələmə mexanizmləri, qeyri-optimal autentifikasiya sistemləri və ya insan faktoruna əsaslanan səhvlər nəticəsində yarana bilər. Lakin düşünürəm ki, hər bir "bug bounty" proqramında olduğu kimi, bu təşəbbüsün də müəyyən riskləri var. Boşluqların aşkarlanması prosesində məlumatların qeyri-qanuni istifadəsi və ya bu biliklərin kibercinayətkarların əlinə keçməsi ehtimalı nəzərə alınmalıdır. Buna görə də, bu cür proqramlar düzgün tənzimlənməli və yalnız etibarlı, sertifikatlı mütəxəssislərin iştirakına icazə verilməlidir”.