Şahmar Hacıyahyayev: Ən yaxşı kibertəhlükəsizlik mütəxəssisləri qara işlər görənlərdir

"Oğurluğu bütün bank işçiləri əlbir olub etməlidirlər. Bu da mümkün deyil. Həm bank, həm də digər təşkilatlarda "dörd göz" prinsipi hökm sürür. Bir nəfərin gördüyü işə digəri nəzarət edir ki, sui-istifadə hallarına yol verilməsin".

Bu fikirləri Oxu.Az-a müsahibəsində Rəqəmsal İnkişaf və Nəqliyyat Nazirliyi yanında İnnovasiya və Rəqəmsal İnkişaf Agentliyinin (İRİA) İnformasiya Təhlükəsizliyi Departamentinin direktoru, Azərbaycan Kibertəhlükəsizlik Mərkəzinin rəhbəri Şahmar Hacıyahyayev deyib.

Kibertəhlükəsizliklə bağlı mövzuların aktuallaşdığı bu ərəfədə Şahmar Hacıyəhyayev bir çox qaranlıq məqamlara aydınlıq gətirib. Müsahibəni təqdim edirik.

- Şahmar bəy, texnologiyaların sürətlə inkişaf etdiyi bu dönəmdə rəqəmsallaşan dünyamızda ortaya çıxan ən ciddi kiberhücum metodları nələrdir?

- Bu, geniş və lazımlı sualdır. Dünyada informasiya ehtiyacları artdıqca kiberhücum növləri də çoxalır. Biz sosial şəbəkə platformalarına, portallara daxil olarkən ad-soyadımızı, parolumuzu, FİN kodumuzu, fotomuzu və digər şəxsi məlumatları daxil edirik. Hazırda geniş informasiya dövriyyəsi olan mühitdə yaşayırıq. Texnologiyaların sürətli inkişafının geri dönüşü yoxdur. Kibertəhdidlər də heç vaxt azalmır, artır.

Kibertəhdidlərin yaranması üçün müxtəlif faktorlar var. İnsanın fərqində olmadan etdiyi səhvlərdən yaranan kibertəhdidləri qeyd edə bilərik. Kiberdələduzlar tərəfindən törədilən kibertəhdidlər var. Bundan əlavə, sistemlərin özlərinin buraxdıqları boşluqları vurğulaya bilərik.

İnsanlar bəzən harasa gedəndə kompüterlərini açıq qoyurlar. Daxil olduqları platformalardan çıxış etmirlər. Bəzi situasiyalarda kibertəhdidlər belə yaranır. İstənilən kənar şəxsin müdaxiləsi ilə kompüterdəki bütün datalar ələ keçirilə bilər. Bu məlumatlar sonradan "yeraltı dünya"da satışa çıxarılır. Bunun üçün kompüterlərə parol təyin etmək mütləqdir.

Bəzən hakerlər tərəfindən sistemlərə hücumlar edilir və onların niyyətini bilmək olmur. Kiberdələduzlar bir çox situasiyada insanları saxta mesajlar, şirnikləndirici vədlər, reklam kampaniyaları, linklər və keçidlərlə aldadırlar. Bəzi hakerlər bəsit, daha peşəkar hakerlər isə böyük müstəvidə hücumlar edirlər. Qarşı platformanı ələ keçirmənin əsas yollarından biri - 75 faizi kəşfiyyatdır. Kibercinayətkarlar özlərinə şərti müddət seçirlər, məsələn, 365 gün. Bu bir ilin səkkiz ayını kəşfiyyat aparırlar. İçəri daxil olmağa çalışırlar, boşluqları qeyd edirlər. Sistemə daxil olandan sonra özlərinə "arxa qapı" açırlar. Daha sonra sistemdən çıxıb səssizliyə çəkilirlər. Vaxtı çatanda peşəkar hakerlər həmin arxa qapıdan istifadə edərək istədikləri məlumatları əldə edirlər. Əslində, bütün sistemlər sındırılmağa hazırdır. Bu amili nəzərə alaraq daim ayıq olmaq lazımdır.

- Beynəlxalq təşkilatların hesabatlarında Azərbaycanın kibertəhlükəsizlik reytinqi hansı mövqedədir? Hansı hesabat doğrudur?

- Biz həm milli, həm də qlobal təhlükəsizlik indeksində kifayət qədər yaxşı irəliləyirik. Qlobal Təhlükəsizlik İndeksində üst pillədə olmaq üçün kadr potensialını gücləndirməliyik. Bəzi ölkələrdə kadr potensialı kurslar, akademiyalar vasitəsilə yetişir. Bunun üçün xüsusi institutlar da var. Kadr potensialı "qara işlər" vasitəsilə də inkişaf edir. Buna Rusiyanı, İranı nümunə göstərə bilərik. Yaxşı kibertəhlükəsizlik alətlərindən istifadə edən şəxslər "qara işlər"lə məşğul olurlar.

Bundan əlavə, yaxşı müdafiə oyunçusu olmaq üçün hücum ssenarilərini bilməlisən. Bunu bildikdən sonra hücumlara uyğun müdafiə ssenariləri qurursan. Hətta bəzi platformalar elan edir ki, "mənim sistemimdə boşluq tapana mükafat veriləcək". Qlobal Təhlükəsizlik İndeksində üst pillədə olmaq üçün insan resursu inkişaf etməlidir. Bu resursun hansı proqramla inkişaf etdiyi də önəmlidir.

Azərbaycanda kibertəhlükəsizlik alətlərindən asılılığı minimuma endirmək lazımdır. Asılı olmaq tək maliyyə itkisi deyil. Biz öz məhsulumuzu yaratdıqdan sonra bu sahədə inkişaf edəcəyik və texnologiyadan düzgün istifadə edən cəmiyyətimiz formalaşacaq. Azərbaycanda kibertəhlükəsizliyi dəstəkləyən icmaların formalaşması da mühüm məsələlərdən biridir.

- Azərbaycanın yerli kibertəhlükəsizlik məhsulunun xarici bazara çıxacağını bilirik. Bu barədə nə deyə bilərsiniz?

- Bu kibertəhlükəsizlik məhsulu bir neçə qlobal məhsulun araşdırılması nəticəsində hazırlanıb. Sözügedən məhsul artıq məşhur qlobal sərgilərdə nümayiş etdirilib və bir neçə şirkətin marağına səbəb olub. Ölkə daxilində səhiyyə, telekommunikasiya, neft-qaz sahəsində sözügedən məhsulun satışını reallaşdırırıq. Biz artıq ikinci məhsulu hazırlayırıq və ilin sonuna qədər iki məhsulun yaradılmasını özümüzə hədəf seçmişik.

- Artıq elə bir reallığa çatmışıq ki, bankların adından istifadə olunan kiberhücumlara görə vətəndaşlar bank kartlarını qırmaq istəyirlər. Banklardan kütləvi imtina dalğası da yarana bilər. Bu barədə nə düşünürsünüz?

- Fikrimcə, banklardan imtina heç vaxt olmayacaq, çünki günümüzün ehtiyacıdır. Bank məlumatlarının ələ keçirilməsi vətəndaş məsuliyyətsizliyindən irəli gələ bilər. Banklar təhlükəsizlik xidmətlərini düzgün qurmayanda da məlumatlarımız ələ keçirilir.

Bank kartlarının ələ keçirilməsi daha çox vətəndaşların düzgün maariflənməməsindən və məsuliyyətsizliklərindən qaynaqlanır. Bank və dövlət tərəfindən çoxsaylı maarifləndirmə işləri aparılmalıdır. Bank kartının üzərində olan rəqəmlər, bitmə tarixi, təhlükəsizlik kodu sırf vətəndaşa aiddir. Bu məlumatlar heç kimlə paylaşılmamalıdır. Ən çox yayılan hücum növü sosial mühəndislik hücumlarıdır. 90 faiz hallarda bank kartları bu hücum növü ilə ələ keçirilir.

Sosial mühəndislik hücumunda qarşı tərəf insanın zəifliyindən istifadə edərək vətəndaşları aldadıcı kampaniyalara təşviq edir, saxta linklər göndərir, reallıq payı olmayan vədlər verir. Vətəndaşlar həmin linklərdə şəxsi məlumatları daxil etdikdən sonra pullar kiberdələduzun əlinə keçir. Burada bankların da günahı var. Banklar düzgün proqram təminatından istifadə etməli, kod təhlükəsizliyindən əmin olmalıdırlar.

- Banklardan kredit almaq üçün şərtlərin çox çətin olduğunu bilirik. Müəyyən təhlükəsizlik mərhələlərindən sonra kredit ayrılır. Ancaq son illər edilən şikayətlərə nəzər yetirəndə görürük ki, hakerlər rahatlıqla, bəzən vətəndaşların xəbəri olmadan onların adlarına kredit götürə bilirlər. Bankların bu istiqamətdə boşluğu nədən ibarətdir?

- Bu sualın konkret bir cavabı yoxdur, çünki hücum bir neçə səbəbdən baş verə bilər. Elə banklar var ki, vətəndaşlara rahat olsun deyə kredit ayırma şərtlərini sadə ediblər. Artıq vətəndaş banka getmədən kredit ala bilir. Mobil tətbiq vasitəsilə fərdi məlumatlarımızı yazaraq kimliyimizi daxil edirik. Bank isə fonda vətəndaşın kimliyini, riskləri, kredit tarixçəsini təhlil edir. Vətəndaşa kredit düşmürsə, bu məsələ mövcud şərtlərə uyğun olaraq iki tərəf arasında həll edilir. Kredit ayrılırsa, mobil tətbiq üzərindən vəsait təmin edilir. Bu, bank tərəfindən atılan normal, innovativ addımdır. Lakin texnologiyanın inkişafı kibertəhdidlərə gətirib çıxarır. Vətəndaşın qoşulduğu platforma saxtadırsa, araya girən üçüncü şəxs - dələduz saxta platforma yaradıb şirnikləndirici vasitələrlə vətəndaşın bütün məlumatlarını oğurlayır, kredit üçün özü bankın platformasından müraciət edir. Bank isə bu məlumatların vətəndaş tərəfindən göndərildiyini düşünərək təsdiq edir. Nəticədə ayrılan vəsait dələduzun hesabına gedir. Buna "ortadakı adam hücumu" deyilir. "Ortadakı adam" bankla vətəndaşın arasına girir.

Digər tərəfdən, fikrimcə, bank vətəndaşdan kimliklərini təsdiq edən sənədlər istəməlidir. Bank vətəndaşın kimliyini təsdiq etmək üçün çoxsaylı təsdiqləmə metodlarından istifadə etməlidir.

- Son zamanlar bəzi şəxslər iddia edirlər ki, vətəndaşların hesablarından pulların çəkilməsini və ya adlarına kredit götürülməsini bank əməkdaşlarının özləri edirlər. Bu iddiaya münasibətiniz necədir?

- Bankların daxilində çalışan əməkdaşların iş rejimi elədir ki, birinin gördüyü işi digəri izləyir. Bu, mütəşəkkil şəkildə baş verən proses ola bilər. Bütün bank işçiləri əlbir olub qeyd olunan oğurluğu etməlidirlər. Bu da mümkün deyil. İstər Mərkəzi Bank, istərsə də hökumət tərəfindən fərdi məlumatların requlyasiya (tənzimləmə) proqramları var. Həm bank, həm də digər təşkilatlarda "dörd göz" prinsipi hökm sürür. Bir nəfərin gördüyü işə digəri nəzarət edir ki, sui-istifadə hallarına yol verilməsin.

- Bəs bankdan çıxan əməkdaş məlumatları bildiyi halda sui-istifadəyə cəhd edə bilər?

- Bəli, cəhd edə bilər. Buna görə də bank tərəfindən proqram təminatının təkmilləşdirilməsi mütəmadi aparılmalıdır. Proqram təminatının kodunda və ya şəbəkəsindəki cüzi bir boşluq kiberhücuma gətirib çıxara bilər. Bankdan ayrılan və məmnun olmayan əməkdaş buna, sadəcə, cəhd edə bilər. Amma həmin əməkdaşın hücumunda vətəndaşa göndərilən təsdiqedici kod və digər bir vasitə olur. Bu kodu vətəndaş təsdiqləmədiyi təqdirdə məlumatların oğurlanması mümkün deyil. Banklar prosesi avtomatlaşdırıb. Kibercinayətkar özünün hazırladığı proqram təminatı ilə vətəndaşın bütün məlumatlarını ələ keçirsə də, vətəndaşa SMS göndərilir, o SMS təsdiqlənməsə, hücum uğursuz olacaq. Bəzən bankın adından yalandan zəng edirlər. Deyirlər ki, o kodu de, kredit ayıraq. Həmin kod deyiləndə iş-işdən keçir.

- Sizin özünüzə kiberhücum olub?

- Mənə hər gün şirnikləndirici mesajlar, saxta linklər göndərilir...

- Şahmar bəy, kiberhücuma ən çox kimlər məruz qalırlar?

- Kiberhücuma daha çox tanınmışlar, rəsmi şəxslər, hansısa qurumda çalışan vəzifəli şəxslər, müğənnilər və sair məruz qalırlar.

- Dövlət qurumlarından ən çox hansılarına kibertəhdid olur?

- Ölkələr arasında insident yaşananda kiberhücumlar tez-tez olur. Artıq ölkələr kibermüharibələr aparırlar. Bir dövlət digər dövlətin hansısa informasiya sisteminə hücum edir. Qarşıdakı sistemin boşluğundan istifadə edərək sistemə keçid edirlər. Qurumlarda daha çox kibermaariflənmədən uzaq olan şəxslər, bölmələr hədəf alınır. Bu statistikanı açıqlayan qurum biz deyilik. Amma əmin olun ki, kritik informasiya resurslarından istifadə edən bütün dövlət qurumlarına mütəmadi hücumlar olur.