Yaşadığımız internet əsrinin ən böyük problemlərindən biri də kiberhücumlardır. Bu əsrdə həyatımız nə qədər rahatlaşıbsa, təhdidlər də bir o qədər çoxalıb. Çünki sürətli inkişafın qarşısında hakerlər də boş dayanmır.
“Kaspi” qəzetinin əməkdaşı belə hücumlardan sığortalanmaq, ümumiyyətlə, növləri və təhlükəsizlik qaydaları ilə bağlı kibertəhlükəsizlik üzrə ekspert Berna Baysalla söhbətləşib.
Həmin müsahibəni təqdim edirik:
- Berna xanım, kibertəhlükəsizlik nədir və niyə vacibdir?
- İnternetlə tanış olduqdan sonra məlumatlar hər kəs üçün əlçatan oldu. Təbii ki, hamı xoşniyyətli deyil. Fərqli yollardan istifadə etməklə açıqda olan sistemləri ələ keçirib, o sistemlər vasitəsilə öz mesajlarını vermək istəyən pisniyyətli insanlar meydana gəldi. Bəziləri bu açıqlıqdan maliyyə əldə etmək, bəziləri məlumat toplamaq, digərləri isə zərər vermək üçün istifadə etdi. Bu problemlər kibertəhlükəsizlik məsələlərini aktuallaşdırdı. Biz necə banklarda, kassalarda pullarımızı saxlayıb, qorumağa çalışırıqsa, şəbəkəyə qoşulmuş cihazlarda da məxfi məlumatlarımız olur. Bunlara istiqamətlənən hücumların qorunması ilə bağlı görüləcək tədbirlərə kibertəhlükəsizlik deyirik.
Sistemdəki “ayaq izləri” görünməlidir
- Kiberdünyada hansı hücum növləri var?
- Əsasən, 3 kateqoriyaya ayırırlar. Birincisi, kiberaktivistlər qrupudur ki, bunlar daha çox bəzi leqal və ya illeqal mesajlarını kiberhücum üsulları ilə ələ keçirdikləri saytlarda, televiziyada yayımlayırlar. İkincisi, kiberdələduzluq adlanır. Maliyyə ilə bağlı zərər vermək, informasiya sızdırıb bunu daha sonra pula çevirmək məqsədilə hücum edirlər. Yaxud sizin şirkətinizə zərərli proqramlar quraşdıraraq bunun qarşılığında pul istəyirlər. 3-cü qrup isə daha qaranlıqdır. Bu, ölkələr arasındakı kiberhücumlardır. Buna kibermüharibə də deyilir. Biz bunu Qarabağ müharibəsi zamanında da gördük. Yəni ölkələr bir-birinin vətəndaşlarını qorxudur, ölkə ilə bağlı strateji infrastrukturlara sızaraq bəzi məlumatları götürür, kəşfiyyat toplayır və bir-birinə zərbə vurmağa çalışırlar. Bu 3 motivin də fərqli üsulları var. Ən məşhuru “DDos hücumları”dır. Məsələn, sizin evinizin qapısından 3 nəfər keçə bilər. Buradan 15 nəfər eyni anda keçmək istəsə, təbii ki, qapı çökər. Bunlar “DDos hücumları”dır. İkincisi “Malware” hücumlarıdır. Zərərli proqram mənasını verir. Kompüterin resurslarına, yaxud orada saxlanılan informasiyaya icazəsiz girmək və onlardan istifadə etmək üçün nəzərdə tutulmuş proqram təminatıdır. Bəzi hakerlər var ki, şirkətin işçiləri vasitəsilə sistemlərə sızır, orada işlərinə yarayacaq məlumatı almaq üçün aylarla gözləyirlər. Uzun müddət sizi izlədiyi üçün nə məlumat topladığını da bilmirsiniz. Bunlar daha çox böyük maliyyə itkisinə səbəb olurlar. Buna görə də sistemlərin izlənməsi, nəzarətdə saxlanması çox əhəmiyyətlidir. Yəni hər bir şirkət belə təhlükələrdən qorunmaq üçün sistemlərindəki “ayaq izlərini” mütləq görünən etməlidirlər.
Təhlükəsizlik fərqində olmaqla başlayır
- “Ayaq izlərini” görünən etmək üçün şirkət nə etməlidir?
- Bununla əlaqəli beynəlxalq qərarlar, məlumatların təhlükəsizliyi üçün standartlar var. Həmçinin ölkə qanunvericiliyində də müəyyən qaydalar nəzərdə tutulur. Bunlara əsaslanaraq, şirkətlərin öz İnformasiya Texnologiyaları İdarəetmə mexanizmləri tətbiq edilməlidir. Məsələn, Azərbaycanda “General Data Protection Regulation” (məlumatların qorunması üzrə ümumi qaydalar) (GDPR) prinsipləri 2018-ci ildən tətbiq edilir. GDPR qüvvəyə minmiş Avropa İttifaqı qanunudur, məqsədi ittifaq xalqlarının internet üzərində paylaşılan şəxsi məlumatlarını qorumaqdır. Qanunda bildirilir ki, bütün məlumat toplayan platformalar məlumatları qorumalı, istifadəçilərin öz məlumatlarına çıxışına imkan yaratmalı və məlumatları asanlıqla köçürmək üçün əlverişli üsullar təqdim etməlidir. Şirkətlər buna əməl etməlidir. Əslində siz fiziki olaraq bir binanın müdafiəsini necə tənzimləyirsinizsə, sistemlərdə də oxşar məntiqdir. Məsələn, binaya kameralar quraşdırırsınız, mühafizə təşkil edirsiniz. Şirkətlərdə də ən ucdakı istifadəçi yaxud da cihazdan başlayaraq, ən dərin nöqtəyə qədər olan bütün əməliyyatlar görünən olmalıdır.
- Kibertəhlükəsizlik sahəsində mütəxəssis kimi deyə bilərsinizmi son dövrlərin ən məşhur kiberhücumu hansı olub?
- 2016-ci ildə Amerikada bütün böyük veb-saytların çökdürüldüyü DDos hücum olmuşdu. “Amazon”, “Netflix” kimi məşhur şirkətlərin saytları işləmədi. Bu, insanların şəxsi həyatına da, şirkətlərə də istər maddi, istər mənəvi baxımdan təsir etdi. Yaxud “Snovden” məsələsi dünyanın gündəmini alt-üst etdi. Edvard Snouden Amerika Mərkəzi Kəşfiyyat İdarəsində çalışırdı. 2013-cü ildə ABŞ Milli Təhlükəsizlik Agentliyində (NSA) işləyərkən Amerika kəşfiyyatının telekommunikasiya şirkətləri ilə əməkdaşlığı və Avropaya qarşı gizli dinləmə fəaliyyətləri haqqında 1,8 milyon məxfi sənədi kopyaladı. Hətta bəzilərini mediaya sızdırdı. Bu tipli minlərlə hücumlar var.
“Bütün sistemlər “sınıdırıla” bilər”
- Təcrübədə görürük ki, texnologiya divləri belə, bu hücumlardan sığortalana bilmir. Ümumiyyətlə, kiberhücumlardan 100 faiz qorunmaq mümkündürmü?
- Mümkün deyil. Bütün sistemlər “sındırıla” bilər. Necə müdafiə sistemlərində hər gün yeni üsullar çıxır, hakerlər də boş qalmır. Onlar da yeni üsullar kəşf edib hücum edir. İki tərəf də əslində, bir-birlərini inkişaf etdirir. Hücumdan qorunmaqla bərabər, hücum olduqdan sonra nə baş verdiyini bilmək çox əhəmiyyətlidir. Təcrübədə var ki, şirkətin məlumatları ələ keçirilir, amma şirkət rəhbəri bunu bilmir. Məsələn, şirkətin içinə sızılıb, müxtəlif informasiyalar oğurlanıb, hətta rəhbərinə də “e-mail” göndərilir ki, bu məlumatlar bizdədir, pul verməsəniz biz bunu yayımlayacağıq. Rəhbər inanmır, zarafat kimi başa düşür. Əgər bir hücum olunubsa, bilməlisiniz ki, tədbiriniz də olsun.
“Təhlükəsizlik silsiləsində ən zəif element insan məfhumudur”
- Bir hakerin adətən hücumla bağlı ilk planı necə olur? Çünki texniki qurğulardan istifadə etmədən də şirkətə sızanlar var.
- Hücum hakerin niyyətindən asılıdır. Məsələn, haker var ki, sevgilisinin sosial hesabını qırıb, mesajlarını oxumaqla kifayətlənir. Haker də var ki, hansısa böyük banka fokuslanıb və kiberhücum etməyi planlaşdırır. O zaman çox dərin araşdırma aparır. Təcrübədə görürük ki, bütün böyük şirkətlər ən zəif bəndi qədər güclüdür. Əsasən, ən zəif bəndlər son istifadəçilər olur. Hətta ən maraqlısı odur ki, çox vaxt şirkətə rəhbərlərinin e-mail ünvanlarından sızırlar. Çünki üst səviyyədə insanları çox sorğulaya bilmirsiniz. Məsələn, “hot desk”ə zəng edib rəhbərləri təqlid edərək deyirlər ki, şifrəm unutmuşam, tez aç. Əgər qarşınızda kiber gigiyena ilə əlaqəli məlumatlandırılmamış işçi varsa “rəhbərdən” telefon gələn kimi həyəcanlanır və şifrəni verir. Keçmiş haker Kevin Mitnik deyir ki, təhlükəsizlik silsiləsində ən zəif element insan məfhumudur. Sistem avadanlıqlardan, proqramdan və insan məfhumundan ibarətdir. Sosial mühəndislər insanın müxtəlif vasitələrlə zəifliklərindən istifadə edərək, ondan mühüm informasiyaları əldə etməyi bacarırlar. Bu məlumatlarla da haker şirkətə sıza bilir.
- Böyük şirkətlər VPN-lə qorumaq üsulundan istifadə edir. VPN təhlükəsizliyi qoruya bilirmi?
- VPN-i nəzarət olunan bir tunel kimi düşünə bilərsiniz. Şirkətlər öz məlumatlarına çatmaq üçün təhlükəsiz tunellər açır və onu qoruyurlar. VPN-də bir kompüterlə digər kompüter arasındakı rabitə şifrələnərək qurulur. Bu tuneldən keçən məlumatlar şifrələndiyindən, müdaxilə edən və ya daxil olmağa çalışan insanlar yalnız şifrələnmiş məlumatları görə bildikləri üçün təhlükəsizliyiniz təmin edilir. Bu şifrələmə səviyyəsi nə qədər yaxşıdırsa, məxfiliyiniz bir o qədər etibarlıdır. Müharibə dövründə istifadə olunan VPN-lər isə kifayət qədər təhlükəli idi. Çünki sizin kompüteriniz və ya telefonunuz xaricdəki tunelə bağlanırdı. Tunelin harada bitdiyini bilməmək təhlükədir. Bilmədiyiniz VPN-lərə bağlanmaq məlumat təhlükəsizliyi baxımından çox risklidir.
Hakerlər üçün ən uyğun vaxt...
- Biz bilirik ki, ictimai “Wi-Fi”lar şirkətlər üçün təhlükə mənbəyidir. Bəs işçilərə izah olunurmu ki, kompüterlərinizlə kafe, restoranda “Wi-Fi”ya bağlanmayın?
- Bəzi şirkətlərdə bununla bağlı təlimlər keçirilir. İnformasiya təhlükəsizliyi ancaq şirkətin rəhbərliyinin, yaxud informasiya texnologiyaları departamentinin vəzifəsi deyil. Bu şirkət və qurum olaraq hamının riayət etməli olduğu vəziyyətdir. O şirkətə daxil olan hər kəs təhlükəsizlik tədbirlərinə riayət etməlidir. Məsələn, kafeyə getdiniz və sizə maraqlı mail gəlir. Linkə tıklayan kimi kompüterinizə zərərli proqram yüklənir. Bu proqram vasitəsilə sizin parollarınızı ələ keçirir və sizi izləyirlər. Şirkətə VPN-lə bağlandıqda da müəyyən şifrələr yığırsınız. O parolla bağlananda tunel sizin üçün açılır. Zərərli proqramla birlikdə tuneldən keçirsiniz. Əgər şirkətlərdə datanın izlənməsi ilə bağlı tədbir yoxdursa, artıq sizin şirkətdə təhlükəli casus var.
- Kiberhücumların standart vaxtı varmı? Yəni, təcrübədə əsasən hansı saat aralığında hücumlar daha çox olur?
- Ən həssas olduğunuz, diqqətinizin dağınıq olduğu saatlar, o hücumların edildiyi vaxtlardır. Əgər kimsə xüsusilə sizin şəxsi hesabınıza hücum etmək istəyirsə, sizi izləyərək nə etdiyinizi müşahidə edir. Məsələn, bu insan saat 9-un yarısı yola çıxır, 9-a qədər işə çatır. Hələ yuxusunu tam ala bilməyəndə çox diqqətsiz olur. O saatda sizin telefona gələn hansısa mesaja, e-mailə olan reaksiyanız təxmin edilə bilər. Yaxud axşam saat 6-da artıq yorğunsunuz. Diqqətin dağınıq olduğu vaxtlardandır. Amma hakerlər üçün ən uyğun vaxtlar, xüsusilə şirkət üçün hücum hazırlayırsa, işdən sonrakı saatlardır. Məhz buna görə sistem avtomatik olaraq izlənməlidir.
Məxfi məlumatlarımızı necə qoruyaq?
- Kart məlumatlarımızı sosial şəbəkələrdə paylaşdıqda, yalnız arxasındakı 3 rəqəmi gizlətməklə qorunduğumuzu düşünürük. Həqiqətən belədirmi?
- Kartın arxasındakı 3 rəqəm aşkar edildikdə çox rahatlıqla alış-veriş edilə bilər. Amma 3 rəqəmi gizlədib təhlükəsizəm deyə düşünmək düzgün deyil. Hər vaxt risk altındayıq. Kartı açıq-aşkar paylaşmaq olmaz.
- Son vaxtlar ölkədə tez-tez bank kartlarından pul oğurlanmasının şahidi oluruq. Burada bank günahkardır, yoxsa kartın sahibi?
- Bankla müştəri arasında edilən sövdələşmədə bank deyir ki, mən sənə bu kartı və təhlükəsiz istifadə üçün şifrə verirəm. Hətta şifrəni bank əməkdaşı özü də bilmir. Lakin təəssüf ki, sosial mühəndislik burada da qarşımıza çıxır. Bu üsuldan istifadə edən hakerlər xüsusi seqmentləri izləyir və məlumatlarını, şifrələrini ələ keçirirlər. Bu məsələlərdə əsasən, istifadəçi günahkar olur. Lakin nadir hallarda bankın da boşluğu ola bilər. Bu halda bank əməkdaşı kredit kartı müştərilərinin məlumatlarını alıb 2-ci tərəfə ötürə bilər. Amma bu çox risklidir. Heç kim bunu rahatlıqla edə bilməz. Çünki banklar beynəlxalq standartlar çərçivəsində müştəri məlumatlarını qoruyurlar.
- Məxfi məlumatlarımızın qorunmasında ən önəmli məsələlərdən biri də çətin şifrələrdən istifadə etməkdir. Çətin tapılan şifrələr necə olur?
- Adətən insanlar şifrə təyin edərkən ardıcıl rəqəmlərdən, təvəllüdündən, yaxud da ancaq rəqəmlərdən, hərflərdən istifadə edirlər. Bunlar çox asan şəkildə tapıla bilər. Parol təyin edərkən bütöv sözü ifadə etməməli, seçdiyiniz parol ən azı 8 simvoldan ibarət olmalı, böyük və kiçik hərflərdən, rəqəmlərdən, simvollardan ( ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] | : ; " ' < > , . ? /)istifadə olunmalıdır. Bir parolda bunlardan və iki mərhələli parol sistemlərindən istifadə etmək parolun təxmin edilməsini mümkünsüz edəcək.
Azərbaycan müharibədə bu sahədəki gücünü hamıya göstərdi
- Müasir uşaqlar erkən yaşdan etibarən texnologiya ilə sıx bağlıdırlar. Uşaqlara texnologiyanın düzgün və təhlükəsiz istifadəsini nə vaxtdan öyrətmək lazımdır?
- Əslində texnologiya ilə ilk tanış olduqları gündən tədbirlər almaq lazımdır. Uşağı parka aparanda yıxılıb baş-gözünü yardıqdan sonra təlim keçmirsiniz. Əvvəlcə yıxılmasın, ehtiyatlı olsun deyə, izah verirsiniz və qorumağa çalışırsınız. Texnologiya ilə tanış olan kimi də eynən qorumağa çalışmaq lazımdır. Telefonu uşağınıza uzadıb öz-özünə kəşf et demək olmaz. Uşaqların internetə giriş, çıxış edərkən istifadə etdikləri şifrələrə, girdikləri saytlara nəzarət edilməlidir. Müəyyən proqramlar var ki, valideyn buna nəzarət edə bilir. Uşaq əgər tez-tez oyun oynayırsa, oyunlarla bağlı yenilənmələrin mütəmadi olaraq izlənməsi və hər oyunun telefona yüklənməməsini izah etmək lazımdır.
- Ölkədə ən çox istifadə etdiyimiz proqramlardan biri “getcontact”dır. Bu proqram təhlükəlidirmi?
- İnternetdə hansısa proqram pulsuzdursa, əmin olun ki, məhsul sizsiniz. Sizə pulsuz verilən hər şeydə tələlər ola bilər. Bunlara diqqət etmək lazımdır. “Getcontact”da başqalarının telefon nömrəsindəki adların necə yazıldığını görə bilirsiniz. Çünki kontaktdakı məlumatlar çəkilir. Siz proqrama qoşulduqda sizin də məlumatlarınız götürülür. Telefonunuzda məlumatlar, əlaqələriniz, kimlərə zəng edirsiniz - hamısı onlara gedir.
- Bəzən xəstəxanalara da kiberhücumlar olur. Xəstə məlumatları kimə lazımdır və təhlükələri nə ola bilər?
- Xəstəxanalarda sizin bütün məlumatlarınız mövcuddur. Nəyə allergiyanız olduğu, qan nəticələri, hansı əməliyyatları keçirdiyiniz var. Xüsusilə, dünyada xərçəng xəstəliyi ilə bağlı araşdırmaların edildiyini düşünsək, həm ticari, həm də pis niyyətlə bu məlumatlardan istifadə oluna bilər. Məsələn, siz “strateji” insansınız. Mən də sizin hansı xəstəxanaya getdiyinizi bilirəm və o xəstəxanada sizin məlumatlarınız var. Xəstəxana da qorunmur. Mən hansı dərmanları istifadə etdiyinizi təsbit edib sizi zəhərləyə bilərəm və yaxud bu məlumatdan sizə fərqli şəkildə zərər vermək üçün istifadə edə bilərəm. Yəni siz mənə imkan verirsiniz ki, sizə pislik edim. Xəstəxanadakı məlumatlar çox qiymətlidir.
- Sizcə Azərbaycanda digər ölkələrlə müqayisədə kibertəhlükəsizlik sahəsində vəziyyət necədir?
- Əslində kibertəhlükəsizlik sahəsində bütün ölkələrdə oxşar vəziyyətlər var. Çünki yeni sahədir. Azərbaycan da bütün dünya ilə birlikdə bu sahəyə yeni addım atır. Bununla əlaqəli həm dövlət, həm özəl sektorda çox ciddi yatırımlar qoyulur, təlimlər aparılır. Bu istiqamətə nə qədər sürətli keçilsə, ölkə o qədər güclənir, nə qədər yavaş gedilsə, o qədər geridə qalırsınız. Azərbaycan hazırda bunu inkişaf etdirmə və möhkəmlənmə yolunda addımlar atır. Qanunvericiliyin də buna uyğunlaşdırılması, bu sahədəki mütəxəssislərin sayının artırılması ilə birlikdə vəziyyət daha da yaxşılaşacaq. Azərbaycan Qarabağ müharibəsində bu sahədəki gücünü hamıya göstərdi.