Azərbaycanda internet bankinq, elektron xidmətlər və onların istifadə dairəsi genişləndikcə, ölkə bankları üçün yaranan risklər də böyüyür. Son vaxtlar xarici ölkələrdən təşkil edilən haker hücumlarının sayının artması buna sübutdur. Belə hücumlar bank sektoru üçün nə qədər təhlükəlidir? Bəs banklar belə hallardan necə qoruna bilərlər?
Banklarda informasiya təhlükəsizliyi ilə bağlı fins.az-ın suallarına «Turanbank»ın İnformasiya Texnologiyaları Departamentinin direktoru Bəxtiyar Məmmədov cavab verir.
– İnformasiya təhlükəsizliyi dedikdə hansı təhlükələr nəzərdə tutulur? Bunlar hökmən internetdən gələn təhlükələrdir?
– Son dövrlərdə informasiya təhlükəsizliyi dedikdə ilk olaraq cəmiyyətdə internet üzərindən gələn təhlükələr başa düşülür, lakin bu heç də belə deyildir, informasiya təhlükəsizliyi bütün növ informasiyanı ehtiva edir. Əməkdaşın ələ alınaraq informasiyanı kənarı ötürməsi, yaxud sosial mühəndislik adlanan üsul və ya digər üsullarla da təhlükəsizlik insidentləri baş verə bilər. Sosial mühəndislik üsulun mahiyyəti ondan ibarətdir ki, hər hansı şəxs müəssisə və ya təşkilata telefon və ya məktub yaxud digər əlaqə vasitəsilə müraciət edərək özünü ya təşkilatın əməkdaşı yaxud hər hansı müştəri yaxud hər hansı digər informasiya əldə etmək səlahiyyəti olan bir şəxs kimi təqdim edə bilər və müəssənin təhlükəsizlik məsələləri barədə məlumatı olmayan bir əməkdaşından müəyyən məxfi informasiyanı ala bilər. Bu səbəbdən də müəssisələr informasiya təhlükəsizliyinin qorunmasına kompleks şəkildə yanaşmalı və qəbul edilmiş standartlara uyğun təhlükəsizlik mexanizmləri tətbiq etməlidırlər.
– Bank sistemində onlayn formada gələ biləcək təhlükələr hansılardır? (məsələn məxfi məlumatların əldə edilməsi, sistemin işində problem yaranması və s).
– Bank sistemi üçün təhlükələr bankdan maddi vəsaitlərin elektron kanallar vasitəsilə oğurlanmasına, biznes fəaliyyətinin qismən yaxud tam dayanmasına, informasiyanın məhv edilməsi səbəbindən uzun müddət biznesin bərpa olunmaz hala gəlməsinə, rəqabət qabiliyyətinin məhdudlaşmasına, imicin itirilməsinə, müştəri məlumatlarını qorunmaması səbəbindən vurulmuş zərərin kompensasiyası kimi ağır maddi zərərlərə səbəb ola bilər.
Məsələn adi bir ssenari olaraq bunu göstərmək olar ki, hər hansı haker bankın kompüter şəbəkəsinə daxil ola və öz plastik kart hesabına külli miqdarda vəsait mədaxil edə və qısa müddətdə vəsaiti nağdlaşdırmaqla yaxud xarici ölkəyə köçürməklər əldə edə bilər. Yaxud digər müştərilərin plastik kart hesablarını əldə edərək, internet üzərindən müəyyən əməliyyatlar edə bilər, yaxud da müxtəlif pul köçürmə sistemləri vasitəsilə digər ölkələrə əvvəlcədən müəyyən edilmiş şəxslərin hesablarına vəsaitlər köçürə və az müddətdə nağdlaşdıra bilər. Daha bir təhlükə isə bankın internet resurslarına böyük sayda soğrular göndərməklər həmin resursun fəaliyyətinin dayandırılması ola bilər, bu hücüm DOS hücümü adlanır. Hakerlər bankın şəbəkəsinə daxil olmaq üçün müxtəlif növ üsullar, o cümlədən “brute-force” (tez tez istifadə olunan və mümkün parol kombinasiyalarının yoxlanması), “man in the middle” (informasiya kanalından keçən informasiya paketlərinin təhlil edilməsi ilə məlumatın əldə edilməsi yaxud dəyişdirilməsi) və digər üsullardan istifadə edirlər.
– Bu təhlükələr yalnız hakerlər tərəfindən yaradılır, yoxsa burada başqa tərəflər də mövcud ola bilər?
– Ümumiyyətlə statistikaya əsasən bir çox hallarda təhlükələrin böyük əksəriyyəti bank daxilində olan əməliyyat risklərindən qaynaqlanır və hər hansı cinayət əməlləri məhz bank daxilində olan əməkdaşlar tərəfindən həyata keçirilmiş olur. Dünya üzrə statistik məlumatlara əsasən bu cür insident halları haker hücumları nəticəsində baş vermiş insidentlərdən daha çoxdur. Bu səbəbdən da bank həm öz daxilindən həm də kənardan gələn əməliyyat risklərini adekvat şəkildə idarə etməlidir.
– Bir neçə il əvvəllə müqayisədə banklar və ya şirkətlər üçün belə təhlükələr necə dəyişib – artıb və ya azalıb? Səbəbləri nədir?
– Bank sektoru üzrə təhlükələr əlbəttə ki, hər il daha da artır, bu da texnologiyanın inkişafı ilə əlaqədardır. Hər yaranan yeni texnologiya yeni növ təhlükələr yarada bilir ki, bu da bankların da texnoloji cəhətdən inkişaf etməsinə məcburiyyət yaradır. Həmçinin elektron xidmətlərin inkişafı da banklar üçün informasiya təhlükəsizliyinin artma səbəblərindən daha biridir. Başqa sözlə desək, texnologiya və hakerlər paralel inkişaf etdiyi üçün banklar da onlara paralel inkişafı qorumalıdırlar. Həmçinin rəqabət mühitinin çətinləşməsi də bankları yeni məhsul və xidmətlər təqdim etməyə yaxud mövcud xidmətləri fərqli formalarda təqdim etməyə, müəyyən riskləri qəbul etməyə sövq edir ki, bu da bəzən öz növbəsində daha çox risklərlə üz üzə qalmağa və daha çox informasiya təhlükəsizlii insidentlərinə səbəb olur.
– Məsələn, banklara haker hücumlarının sayında artım varmı? Bu nə ilə bağlıdır?
– Azərbaycan banklarına haker hücümları əvvəlki illərlə müqayisədə kifayət qədər artmışdır, lakin bu hücümların əksəriyyəti heç də kompleks şəkildə güclü və professional haker hücumları deyildir. Güclü haker hücumlarının olmamasına səbəb isə Azərbaycan daxilində cinayətkarlıqla mübarizənin güclü olması, ölkdən onlayn rejimdə pul vəsaitlərinin çıxarılmasının çətin olmasıdır. Amma bunlara baxmayaraq bir çox Azərbaycan banklarında kiçik də olsa insidentlərin baş verməsi faktları olmuşdur, o cümlədən bank daxilində nəzarət mexanizmlərinin düzgün olmaması səbəbindən informasiya təhlükəsizliyinin pozulması və bank əməkdaşı tərəfindən məqsədli yaxud bilməyərəkdən müəyyən qeyri qanuni fəaliyyət halları da qeydə alınmış və hətta cinayət məsuliyyətinə cəlb olunma faktları da olmuşdur.
– Bir neçə il əvvəllə müqayisədə, hücumların məqsədi və ya xarakterində nə dəyişiklik var?
– Bir neçə il öncəki hücumlarla bugünkü hücümlar arasında əsas fərq kəmiyyət və üsul fərqləridir. Kəmiyyətdə sözsüz ki artım müşahidə olunur, bu statistikanın yüksəlməsinə səbəblərdən biri də banklarda hücumların müəyyən edilməsi sistemlərinin təkmilləşdirilməsidir. Üsullara gəldikdə isə, məsələn bir neçə il öncə işlədiyim müəssisənin möhürünün saxta forması hakerlər tərəfindən hazırlanmış və təşkilatın adından müəyyən məbləğdə vəsait köçürülməsi ilə bağlı saxta məktub kağız formasında hazırlanaraq başqa bir banka göndərilmişdi. Lakin qarşı tərəflə bank arasında düzgün təhlükəsizlik mexanizminin təşkil edilmiş olması nəticəsində bu hal asanlıqla müəyyən olundu və məktubun saxta olması çox kiçik zaman içində müəyyən edildi. Yaxud tez tez banka elektron poçt vasitəsilə məktublar göndərilərək müəyyən linklərə daxil olmalar istənilirdi. Lakin indi olan hücumların əksəriyyəti məhz internet üzərindən həyata keçirilir, daha çox isə bankın kompüter şəbəkəsinə daxil olmaq cəhdləri, onlayn xidmətlərdən icazəsiz istifadəyə cəhdlər, elektron poçt ünvanlarına icazəsiz daxil olmağa cəhdlər, elektron poçt vasitəsilə sosial mühəndislik cəhdləri və digər bu formalı kiber hücumlardır. Amma təkrar olaraq deyə bilərəm ki, bu gün Azərbaycanda həm ölkədə cinayətkarlığa qarşı ciddi mübarizənin olması səbəbindən bu gün ölkədə kiber cinayətkarlıqla məşğul olan qrupların sayı yox dərəcəsindədir, xarici ölkələrdən gələn hücumlar isə kompleks şəkildə güclü təşkil edilmiş hücumlar deyildir.
– Məsələn, rəqib şirkətlər tərəfindən hücum təşkil edilməsi ehtimalı nə qədər böyükdür? Belə hallar olubmu?
– Azərbaycanda rəqib şirkətlər tərəfindən də haker hücumlarının təşkil edilməsi fikrimcə yox səviyyəsindədir, bu da həm bank sektorunda rəqabət mühitində qalib gəlmək üçün ən ənəvi üsulların hələ də tükənməməsindən, həmçinin iri şirkətlərin bu tip cinayət əməlinə meylli olmamasından irəli gəlir. Azərbaycan bazarında rəqib şirkətlər tərəfindən hücumlar təşkil edilməsi kimi bir fakt barədə indiyədək heç bir məlumat yayılmamışdır. Amma yuxarıda qeyd etdiyim kimi, bank daxilindən informasiyanın səlahiyyətli şəxslər tərəfindən əldə edilməsi, kənara ötürülməsi, plastik kart məlumatlarından istifadə etməklə müəyyən cinayət əməllərinin həyata keçirilməsi halları olmuşdur.
– Belə hücumlar ölkə daxilindən təşkil olunur, yoxsa xarici ölkələrdən? Əgər varsa hansı ölkələrdən daha çox hücum olunur?
– Ümumiyyətlə təcrübə göstərir ki, Azərbaycanda haker hücumlarının əksəriyyəti xarici ölkələrdən həyata keçirilir. Konkret ölkə ilə bağlı məlumat vermək çətin olar, çünki bir çox hallarda ünvanlar real ünvanlar olmur, məsələn hər hansı bir ölkədən hücum edən şəxs üçüncu bir ölkənin İP ünvanlarından istifadə etməklə hücum həyata keçirir. Biz isə bu üçüncü ölkənin İP ünvanlarının görürük ki, burada da sərhəd qonşularımızdan Avropa, Amerika ölkələrinə qədər ən müxtəlif ölkələrə məxsus İP ünvanlar görünə bilir.
– Banklardan başqa hansı şirkətlər belə hücumlara daha həssasdır?
– Azərbaycanda banklardan başqa xarici ticarət dövriyyəsi olan iri şirkətlər də hakerlərin potensial hədəfləri ola bilər, bu hücumlar isə xarici rəqib şirkətlərin maraqlarından sadə bir gəncin texnologiyaya marağına qədər ən müxtəlif səbəblərdən qaynaqlana ola bilər. Həmçinin siyası məqsədlərlə bağlı da haker hücumlarının təşkil olunması da son dövrlərdə geniş yayılmışdır.
– Ölkə bankları və digər şirkətlər informasiya təhlükəsizliyi üçün yaranan riskləri qarşılamağa, onun qarşısını almağa hazırdırlar?
– Fikrimcə ölkə bankları və digər şirkətlər bugünkü səviyyədə təşkil edilən kiber hücumların qarşısını almağa yaxud hər hansı insindent baş verərsə nəticələrini müəyyən qədər aradan qaldırmağa qadirdirlər. Lakin bu gün bu cür insidentlərin qarşısının alınması üzrə bütün Azərbaycan banklarında inkişafa ehtiyac vardır, hər hansı Azərbaycan bankın kompleks güclü və professional haker hücumunun təşkil olunması müxtəlif insidentlərin yaranmasına, banklardan müəyyən informasiyanın hakerlər tərəfindən ələ keçirilməsinə, müəyyən vəsaitlərin əldə edilməsinə səbəb ola bilər. Bu gün bank Azərbaycan bank sektorunun əsas problemi təhlükəsizlik standartlarının tam həyata keçirilməməsi, informasiya təhlükəsizliyinə kompleks şəkildə deyil, yalnız müxtəlif üsullarla internet üzərindən ola biləcək hücumların qarşısını müəyyən səviyyədə almaq cəhdlərindən ibarətdir. Fikrimcə Azərbaycan bankları təhlükəsizlik mühitlərinin gücləndirilməsi məqsədi ilə öz fəaliyyətlərində COBİT, İSO/İEC 27000 seriyalı standartlarını və digər müvafiq standartları tətbiq etmələri çox yaxşı olardı.
– Bank sisteminin təhlükəsizliyi üçün banklar hansı məsələlərə diqqət yetirməlidirlər?
– Bank sisteminin təhlükəsizliyinin qorunması üçün banklar kompleks təhlükəsizlik tədbirlərini həyata keçirməlidir, bu tədbirlər təhlıllər və bu təhlillər nəticəsində müəyyən edilmiş uzunmüddətli (strateji) və qısa müddətli (taktiki) planlardan ibarət olmalıdır. Bunun üçün isə banklar təhlükəsizlik dedikdə yalnız fiziki təhlükəsizlik yanaşmasından çəkinməli, informasiya təhlükəsizliyi strukturları formalaşdırmalı, təhlillər aparmalı, ehtiyac olduqda informasiya təhlükəsizliyinin təşkili üzrə müvafiq konsaltinq xidmətlərindən istifadə etməli, müəyyən edilmiş risklər və gözləntilərə əsasən strateji və taktiki planlar qurmalıdırlar. Bu kimi fəaliyyətin həyata keçirilməsi və nəticənin əldə edilməsi üçün ehtiyac olan ilk faktor isə bankın yüksək menecmentinin dəstəyidir. Bu formalı kompleks yanaşma tətbiq edilmədən pərakəndə şəkildə təhlükəsizlik təmin etmək düzgün yol deyildir və gec tez mənfi nəticələrin olması, və investisiyaların qeyri səmərəli olması ilə rastlaşmaq qaçılmaz olacaqdır.
– Son vaxtlar Azərbaycanda onlayn bank xidmətləri sürətlə artır. Bu proses bankların informasiya təhlükəsizliyinə əlavə risklər yaradırmı?
– Onlayn xidmətlər sözsüz ki, bank sektorunda risklərin artmasına səbəb olur. Məsələn bəzi banklarda ödəmə terminallarında istifadəyə yararsız hala düşmüş əskinasların istifadəsi qeydə alınmışdır. Yaxud plastik kartlar vasitəsilə internet üzərindən əməliyyatlar zamanı bankın müştərisinin kart məlumatlarının hakerlər tərəfindən əldə edilməsi halları baş vermişdir. Bu səbəbdən də onlayn xidmətlərin göstərilməsi zamanı təkcə bank deyil həm də bank müştəriləri diqqət etməli, təhlükəsizlik qaydalarına riayət etməlidirlər. Məsələn plastik kartların üzərində olan nömrələr və ya CVC/CVV kodlar kənar şəxslərə deyilməməlidir, internet şəbəkəsi üzərindən əməliyyat zamanı əməliyyatın həyata keçirildiyi saytın təhlükəsiz bir sayt olmasından, istifadə etdiyi kompüterin təhlükəsiz bir kompüter olmasından əmin olmalıdır. Məsələn tipik oğurluq halları bu cür baş verir ki, kart sahibi hər hansı əmin olmadığı saytdan hər hansı bir malı internet vasitəsilə almaq istədikdə sayt ondan plastik kart məlumatlarını tələb edir, kart sahibi plastik kart məlumatlarını daxil etdikdən sonra sayt hər hansı səhvin baş verdiyini yazır, əslində isə plastik kart məlumatları artıq oğurlanmış olur. Yaxud əvvəlcədən istifadəçinin kompüterinə “keylogger” tipli proqram təminatları yazmaqla klaviaturadan daxil edilmiş bütün düymələr və saytlar vasitəsilə məlumat almaqla kart məlumatlarının oğurlanması halları baş verə bilir.
– Sizcə, banka zərər vurmaq istəyən tərəf bunu müştərilərin vasitəsilə edə bilərmi?
– Bankda zərər vurmaq istəyən şəxs sözsüz ki müştəri vasitəsilə dolayı yolla bunu edə bilər. Məsələn müştəri bankın xidmətlərindən istifadə etməklə bank barədə, bankın əməliyyatlarının necə həyata keçirilməsi barədə, məsul şəxslər barədə, onlayn xidmət kanallarının işi barədə, onlayn xidmət üçün istifadəçi adı və parol almaqla və müxtəlif növ bu tip informasiya əldə etməklə banka zərər vurmağa çalışan şəxsə kömək edə bilər. Lakin birbaşa olaraq müştəri vasitəsilə bankın infrastrukturuna zərər vurmaq kifayət qədər müşkül məsələdir. Bank bütün bu ehtimalları nəzərə alaraq daim öz əməkdaşlarını təhlükəsizlik tələbləri barədə məlumatlandırmalıdır.
– Buna yol verməmək üçün müştərilər nə etməlidirlər?
– Müştəri hər zaman bank tərəfindən ona verilmiş məxfi məlumatları, o cümlədən istifadəçi adı və parolları, elektron açarları, plastik kart məlumatlarını və ya digər təhlükəsizlik qurğularını (e-token, OTP (one time password) qurğuları və s) kənar şəxslərə verməməli, bankın müəyyən etmiş olduğu bütün təhlükəsizlik qaydalarına riayət etməlidir. Bu halda həm bank, həm də müştəri kiber cinayətkarlıqdan qorunmuş olacaqdır.