Президентимизнинг "Соғлиқни сақлаш тизимини рақамлаштиришни жадаллаштириш ҳамда илғор рақамли технологияларни жорий этиш бўйича қўшимча чора-тадбирлар тўғрисида"ги ПҚ-415-сонли қарори билан соҳани рақамлаштириш ва ахборот тизимлари ягона комплексини жорий этиш, рақамли трансформация дастурларини самарали амалга оширишга "Давлат ахборот тизимларини яратиш ва қўллаб-қувватлаш бўйича ягона интегратор – "UZINFOCOM" МЧЖ масъул этиб белгиланди. Ягона интегратор шакллантирилаётган рақамли соғлиқни сақлаш платформасининг оператори сифатида ахборот хавфсизлигини таъминлаш борасида изчил иш олиб бормоқда. "Электрон соғлиқни сақлаш" ахборот тизимларининг ягона комплексини вужудга келтириш жараёнида киберхавфсизлик экспертизасидан ўтказилмаган ёки талабга жавоб бермаган ахборот технологияларидан фойдаланмаслик чораларини кўрмоқда.
Қарорда, шунингдек, тиббиёт ходимларининг ахборот технологиялари бўйича тушунча ва малакаларини ошириш вазифаси ҳам белгиланган. Жумладан, киберхавфсизликка нисбатан огоҳликни кучайтириш муҳим аҳамиятга эга.
Ана шу мақсадда Ягона интегратор "Uzinfocom" МЧЖнинг Наманган бўйича масъул вакили Зокирбек Раҳимов, ВССБ рақамлаштириш шўъбаси бош мутахассиси Ҳумоюн АҲМАДЖОНОВга саволлар билан мурожаат қилдик.
– Киберхавфсилик нима?
З.Р.: – Киберхавфсизлик – бу телекоммуникация тармоқлари орқали кибермаконда бепарволик туфайли ёки қасддан амалга ошириладиган таҳдидларга қарши туриш, уларга нисбатан чора кўриш ва кутилмаган таъсирлардан ҳимояланганлик ҳолати мажмуидир. Шунингдек, киберхавфсизлик кибермаконда ахборот тизимлари ва ресурслари, уларнинг фойдаланувчиларини ҳимоя қилишни таъминловчи воситалар тўплами, муҳим ахборот инфратузилмаси объектлари ахборот ҳамда киберхавфсизлигини таъминлаш тамойилларидан иборат.
– Aхборот хавфсизлиги тамойиллари нималардан иборат?
Ҳ.А.: – Aхборот хавфсизлигининг учта принципи бор: – махфийлик, яхлитлик, мавжудлик. Тармоққа уланган тизимларни ҳимоялашда ана шу тамойилларга устувор аҳамият бериш шарт.
Махфийлик ахборотни рухсат этилмаган шахслар, ресурслар ёки жараёнлар билан алмашувнинг олдини олади. Бутунлик маълумотларнинг тўғрилиги, изчиллиги ва ҳақиқийлигини таъминлайди. Мавжудлик маълумотларнинг ваколатли шахс фойдалана олиш имконини билдиради.
– SSH нима?
З.Р.: – SSH– бу, тизим ҳисобланади. У ўз бошқарувчиси учун тармоқдаги маълумотлар базаларига киришнинг хавфсиз усулларидан иборат ёрдамчи дастурлар пакетини тақдим этади.
– SSL ВА TLS ўртасидаги асосий фарқ нима?
Ҳ.А.: – SSL жўнатувчининг идентификаторини тасдиқлайди ва сиз мулоқот қилаётган одамни кузатиб боришга ёрдам беради. TLS иккита мижоз ўртасидаги ахборот алмашув канали хавфсизлигини таъминлайди.
– CSRF қисқартмаси қандай маъно билдиради?
З.Р.: – CSRF – сайтлараро сўровни сохталаштириш деган маънони англатади. Унинг ҳужумига ҳар қандай веб-ресурс ёки веб-илова дучор бўлиши мумкин. Бу, биринчи навбатда, cookie-файллар, авторизация сертификатлари ва браузер аутентификациясидан фойдаланадиган сайтларга тегишли. CSRF зарарли скрипт сайт кодида ёки оддий ҳаволада яширинади. Унинг ёрдамида фирибгар тўлов маълумотлари, логин ва парол, шахсий ёзишмалар каби махфийликларга кириш имкониятига эга бўлади. Маълумотлар қўлга киритилгандан сўнг, хакер паролни ўзгартириши, телефон рақами ёки электрон почта манзилини киритиши, ҳисобига пул ўтказиши ва бошқа кўп зарарларни етказиши мумкин.
– WAF нима?
Ҳ.А.: – WAF веб-саҳифа ёки веб-илованинг сўров ҳамда жавоб пакетларидаги зарарли фаолиятни қидиради ва ғаразли трафикни блоклайди. Блоклагандан сўнг прокси-сервер орқали тизимингизга юборади.
WAFнинг асосий мақсади потенциал таҳдидларни веб-иловангизга етиб боришидан олдин блокировка қилиш орқали тармоғингизга зарарли ҳужумларнинг олдини олишдир. WAF доимий равишда веб-иловалар, серверларингизга кирадиган ва чиқадиган трафикни кузатиб бориш, таҳлил қилиш учун мўлжалланган. Улар интернетнинг исталган жойидан келаётган трафикни, жумладан, IP-манзиллар, URL-манзиллар, портлар ва протоколларни кузатиб боради, яъни ички тармоғингизга кирмасдан олдин ҳам зарарли ҳужумларни аниқлайди.
– MITM ҳужуми нима?
Ҳ.А.: – "Ўртадаги одам" ҳужуми маъносини билдирувчи MITM ўз "қурбони"нинг веб-трафигини, DNS сервер созламаларини ёки жабрланувчининг компьютеридаги хостлар файлини ўзгартириш орқали тажовуз қилади. Масалан, сиз тўғридан-тўғри, ўз банкингизнинг веб-сайти билан ишлаётган бўлсангиз, сиз мутлақо пайқамаган ҳолда трафик MITM орқали ўтади ва у логин, парол, ПИН-код ва бошқа барча маълумотларни қўлга киритади.
– Киберфирибгарлар қандай дастурий манба ва товламачилик йўлларидан кўпроқ фойдаланяпти?
З.Р.: – Масалан, "Фишинг" тури. Бу уланган қурилмалар орқали маълумотларни ўғирлашга уриниш мақсадида уюштирилган ҳужум ёки тузоқ. Ҳужум қўлда ёки жараённи автоматлаштирадиган восита ёрдамида амалга оширилиши мумкин. Бу комбинациялар кетма-кетлиги бўлиши ҳам мумкин.
Фирибгар фуқарога қўнғироқ қилиб, ўзини банк ва тўлов ташкилотининг хавфсизлик, пластик карта, мижозларни қўллаб-қувватлаш ёки бошқа бўлими ходими сифатида таништиради. Шундан сўнг, фуқаронинг фамилияси, банк карта рақаминининг маълум қисмини айтиб, унинг мобиль иловадаги аккаунтига ҳужум уюштирилгани, банк картаси блоклангани ёки картадан ноқонуний пул ечиб олишга уринишлар бўлаётгани, зудлик билан чора кўрилиши лозимлиги каби баҳоналар билан фуқарога босим ўтказиб, уни тезроқ қарор қабул қилишга ундайди.
Фойдаланувчига гўёки "Марказий банк" номидан зарарланган илова юборилади ва уни телефон қурилмасига ўрнатиш талаб қилинади. Ушбу жараёнда фуқаро фирибгарнинг алдовига ишониб иловани ўрнатади ва ўз банк картасини унга боғлайди. Фирибгар бир марталик тасдиқловчи кодни олгач, ҳисобларни бошқариш имкониятини тўлиқ эгаллайди.
Кибертовламачи савдо майдончаларига жойлаштирилган эълонлардаги маълумотлардан фойдаланиб, буюмни сотиб олмоқчи эканини, аммо узоқдалигини айтиб, етказиб бериш хизмати орқали харидни амалга оширишни таклиф қилади. Фуқаро бунга рози бўлгач, фирибгар гўёки тўловни амалга ошираётгандек кўрсатиб, сохта ҳаволани тақдим этади. Унда банк карта рақами, амал қилиш муддати ва картага уланган телефон рақами сўралган бўлади.
– IT оламидаги таҳдидлардан ҳимояланиш учун тавсияларингиз.
Ҳ.А.: – Электрон хатлар, мессенжерлардан келган хабарларни пухта текширинг. Браузер, иловаларни ўз вақтида янгиланг. Мустаҳкам ва ишончли пароллардан фойдаланинг. Паролингизни ҳеч кимга билдирманг. Антивирус дастурларидан фойдаланинг. Шубҳали хабарлар, постлар ва ҳаволаларни бошқалар билан бўлишманг. Электрон тўлов воситалари орқали содир этиладиган ўғрилик ва фирибгарлик жиноятларидан ҳимояланиш учун эса парол ва кодларни ҳеч кимга маълум қилманг. Банк картангизга СМС-хабарномасини уланг ва банкоматларда ундаги ёзувларга бировлар назари тушишидан эҳтиёт бўлинг.
Суҳбатдош Муҳаммаджон ОБИЛОВ.
