Bank tizimidagi axborot xavfsizligini taminlash usullarini keltiring.
Moliyaviy tuzilmalarning bevosita pul bilan bog‘liq faoliyati kiberbuzg‘unchilar uchun, ayniqsa, jozibador ko‘rinadi. Axborot xavfsizligi sohasidagi mutaxassislar masofaviy bank xizmatlari ko‘rsatishni himoyalashda katta muammolarga duch kelmoqdalar. Turli mug‘ombirliklar, katta talafotlar yetkazuvchi frod (elektron tijoratdagi firibgarlik) bilan kurashish uchun bank sohasida qimmatbaho tizimlardan foydalanishga to‘g‘ri kelyapti.
Har bir kishi o‘zining bankka taqdim qiladigan shaxsiy ma’lumotlari maxfiy bo‘lib qolishidan manfaatdor. Shu sababli, ushbu maqolamizda nafaqat muammolar tahlil qilinadi, balki bank foydalanuvchilari uchun ham foydali maslahatlar beriladi.
Banklar paydo bo‘lishi bilanoq jinoiy manfaatlar ham yuzaga kelgan. Bu nafaqat kredit tashkilotlarida naqd pul saqlanishi bilan, balki ko‘pchilik odamlar, kompaniyalar, tashkilotlar va hatto butun boshli davlatlarning muhim va maxfiy moliyaviy-xo‘jalik faoliyati bilan bog‘liq ma’lumotlari to‘planishi bilan ham bog‘liq.
Bugungi kunda elektron to‘lovlar, plastik kartalar, kompyuter tarmoqlarining keng tarqalishi natijasida bevosita ham banklar, ham bank mijozlarining pul mablag‘lari axborot hurujlarining ob’yektiga aylanmoqda. Pul o‘g‘irlashga har qanday g‘arazli shaxs urinib ko‘rishi mumkin – buning uchun unda kompyuter va internet tarmog‘i bo‘lsa bas. Bunda bank ichiga jismonan kirish ham shart emas, minglab kilometr uzoqlikdagi masofadan ham kirdikor maqsadini amalga oshiraveradi.
AQShda bank muassasalarining xakerlardan yillik zarari 0,3dan 5 mlrd. dollargacha
Banklardagi ma’lumotlar har doim turli qonunbuzarlarning diqqat markazidagi ob’yekti bo‘lib kelgan. Avtomatlashtirilgan bank tizimlari bunday ma’lumotlar o‘g‘irlash uchun yaxshigina kanal hisoblanadi.
1995 yilning avgust oyida Buyuk Britaniyada 24 yoshli rossiyalik matematik Vladimir Levin hibsga olindi. U Peterburgdagi o‘z uy kompyuteri yordamida Amerikaning yirik banklaridan biri «Citibank» tizimiga kirishni uddalagan va uning hisobraqamlaridan katta miqdordagi pul mablag‘larini yechib olishga uringan. «Citibank»ning Moskva shahridagi vakolatxonasi ma’lumot berishicha, shu paytgacha bu ish hech kimning qo‘lidan kelmagan. «Citibank»ning xavfsizlik xizmati bankdan $2,8 mln. o‘g‘irlashga urinish bo‘lganligi, biroq nazorat qiluvchi tizimlar buni aniqlab, hisobraqamlarni yopib qo‘yganligini ma’lum qiladi. Natijada faqatgina 400 ming AQSh dollari o‘g‘irlangan.
AQShda bank muassasalarining kompyuter ma’lumotlaridan noqonuniy foydalanishi natijasida ko‘rgan yillik zarari, ekspertlar baholashiga ko‘ra, 0,3dan 5 mlrd. dollargachani tashkil qiladi.
Bank xavfsizligini ta’minlashda asosiy nozik muammo
Ma’lumot – bu bank xavfsizligini ta’minlashda asosiy nozik muammo. Shu sabab, banklar axborot xavfsizligining strategiyasi boshqa kompaniyalarnikidan katta farq qiladi. Bu, avvalambor, xavflarning spetsifik xarakteri hamda mijozlar uchun qulaylashtirish maqsadida hisob raqamlariga kirishni yengil qilib qo‘yishi, banklarning oshkora faoliyati bilan bog‘liq.
Oddiy kompaniya o‘z axborot xavfsizligini potensial xavflarning tor doirasidan kelib chiqib, barpo etadi: asosan ma’lumotning raqobatchilardan himoyasi. Bunday ma’lumot faqat tor doiradagi manfaatdor shaxslar va tashkilotlargagina qiziq bo‘lib, kamdan-kam holatlarda likvidli bo‘ladi, ya’ni pul shakliga o‘tkaziladi.
Bankning axborot xavfsizligida esa quyidagi maxsus omillarni hisobga olish zarur:
Haqiqiy pul mablag‘lari aks etuvchi va bank tizimlarida saqlanuvchi hamda ishlanuvchi ma’lumot. Kompyuter ma’lumotlariga asosan to‘lovlar amalga oshirilishi, kreditlar ochilishi, katta miqdordagi mablag‘lar hisobdan hisobga o‘tkazilishi mumkin. Ushbu ma’lumotlardan noqonuniy ravishda foydalanish jiddiy zararlarga olib kelish mumkinligi barchaga ayon. Bu xususiyat banklarga nisbatan (masalan, ichki ma’lumoti juda kam shaxslarga qiziq bo‘lgan sanoat kompaniyalaridan farqli ravishda) tajovuz qiluvchi jinoyatchilar doirasini shiddat bilan kengaytiradi.
Bank tizimlaridagi ma’lumotlar ko‘p sonli odamlar va tashkilotlar — mijozlarning manfaatlarini qamrab oladi. Odatda, ushbu ma’lumotlar maxfiy bo‘ladi va bank o‘z mijozlari oldida ularning talab darajasidagi maxfiyligini ta’minlash uchun javobgar bo‘ladi. Mijozlar ham o‘z bankiga ishonishga haqli, aks holda bank reputatsiyasini, ya’ni obro‘yini yo‘qotishi mumkin.
Bankning raqobatbardoshligi mijozlarga yaratilgan qulaylik, ko‘rsatilayotgan xizmatlar spektrining kengligi, masofadan xizmatlar ko‘rsata olishiga bog‘liq. Mijoz o‘z mablag‘larini tezkorlik bilan boshqarish imkoniyatiga ega bo‘lishi zarur. Biroq bunday qulaylik bank tizimlariga jinoyatchilarning onlayn-hujumi ehtimolini kuchaytiradi.
bankning axborot xavfsizligi kompyuter tizimlarining ishini hatto favqulodda holatlarda ham yuqori darajadagi ishonchlilik bilan ta’minlashi zarur, chunki bank nafaqat o‘z mablag‘lari, balki mijozlar pullari uchun ham javobgar hisoblanadi.
Afsuski, bugungi kunda hatto maxfiy ma’lumotlardan foydalanishga oid o‘ta qat’iy choralar ham kiberjinoyatlarning yo‘lini to‘liq to‘sib qo‘ya olmaydi. Shuning uchun ma’lumotlarni himoyalashning tizimli yondashuvida axborot xavfsizligini ta’minlash uchun bank tomonidan foydalanilayotgan vositalar va harakatlar (tashkiliy, jismoniy dasturiy-texnik) o‘zaro chambarchas bog‘liq. Bunda choralarning yagona kompleksi ishlab chiqilishi talab etiladi. Ushbu kompleks nafaqat ma’lumotlarni saqlashga, ularni tasodifiy yo‘q qilish, o‘zgartirish yoki oshkora qilishni oldini olishga ham yo‘naltirilgan bo‘lishi zarur.
Banklarda ma’lumotlarga ishlov berish avtomatlashtirilgan tizimlarining xavfsizligi
Banklarda ma’lumotlarga ishlov berish avtomatlashtirilgan tizimlar faoliyatini qasddan buzish muammosi hozirgi vaqtda eng dolzarblardan hisoblanadi desak, mubolag‘a bo‘lmaydi.
Ma’lumotlarga ko‘ra, moliyaviy tashkilotlarning zarari yiliga milliardlab dollarni tashkil qiladi.
Dasturiy-texnik muhit xavfsizligini ta’minlashning bir nechta asosiy usullari mavjud:
Firewalls (brandmauerlar). Ushbu usul bankning lokal tarmog‘i va boshqa tarmoqlar orasida maxsus oraliq serverlar yaratilishini nazarda tutadi, ular o‘zlaridan o‘tkazadigan ma’lumotlar oqimini (tarmoq/transport darajalari trafigi) nazorat qiladi, tahlil qiladi va filtrlaydi. Bu korporativ tarmoqlarga tashqaridan noqonuniy kirish xavfini keskin pasaytirishga imkon beradi, biroq ushbu xavfni umuman bartaraf qila olmaydi.
Proxy-servers. Ushbu usulda tarmoqda ma’lumot uzatish qoidalariga qat’iy cheklashlar kiritiladi: lokal va global tarmoqlar orasidagi tarmoq/transport darajalarining trafigi butunlay to‘xtatiladi – marshrutizatsiya mavjud bo‘lmaydi, lokal tarmoqdan global tarmoqqa murojaatlar maxsus oraliq-serverlar orqali amalga oshiriladi.
Virtual xususiy tarmoqlarni (VPN) yaratish ma’lumotning maxfiyligini samarali ta’minlashga, uni himoyalashga imkon beradi.
Noqonuniy kirishlarni aniqlovchi va zaifliklarni qayd qiluvchi tizimlar tarmoq xavfsizligining qo‘shimcha darajasini yaratadi.
Elektron to‘lovlar xavfsizligi
Bugun banklarning aksariyati to‘lov amaliyotlarini masofali amalga oshirish uchun u yoki bu kanallarga ega. «To‘lovnoma»ni modemli ulanish yoki ajratilgan aloqa liniyasidan foydalangan holda to‘g‘ridan-to‘g‘ri ofisdan yuborish mumkin. Bank amaliyotlarini internet orqali bajarish oddiy holat bo‘lib qoldi – internetga ulangan kompyuter va bankda ro‘yxatdan o‘tgan elektron raqamli imzo kaliti bo‘lsa yetarli.
Bank tomonidan masofali xizmat ko‘rsatish xususiy biznesning samaradorligini oshirishga imkon beradi. Bunda quyidagilar ta’minlanadi:
vaqtni iqtisod qilish (bankka shaxsan kelib o‘tirmay, to‘lovni har qanday vaqtda amalga oshirish mumkin);
ishning qulayligi (barcha amaliyotlar odatiy ish holatida kompyuterdan amalga oshiriladi);
to‘lovlarga ishlov berishning yuqori tezligi;
hujjatga ishlov berish jarayonida hujjat holatini monitoring qila olish imkoni;
hisob raqamlarda pul mablag‘larining harakatlari haqida ma’lumotlarni olish.
Biroq, yaqqol afzalliklarga qaramasdan, elektron to‘lovlar bizda unchalik ommalashmagan, chunki bank mijozlarining ularning himoyalanganligiga ishonchi to‘liq komil emas. Bu, avvalambor, kompyuter tarmoqlarini qandaydir xaker osonlik bilan «buzishi» mumkin degan fikr bilan bog‘liq. Bu fikr insonlarning ongiga mustahkam o‘rnashib olgan. Veb-saytlarga uyushtirilayotgan hujumlar haqida OAVlarda muntazam xabarlar berib borilishi odamlarning yuqoridagi fikrini yanada mustahkamlamoqda. Ammo zamon o‘zgarib boryapti va elektron aloqa vositalari ertami-kechmi hayotimizni to‘liq qamrab oladi.
Elektron raqamli imzo (ERI) – xavfsizlik kafolati. Bank va mijoz o‘rtasida tuzilgan namunaviy shartnomaga muvofiq elektron hujjat ostida vakolatli shaxslarning ro‘yxatga olingan elektron raqamli imzolarining mavjudligi mijozning hisobraqamlarida amaliyotlarni amalga oshirish uchun yetarli asos hisoblanadi.
Har bir elektron raqamli imzo kaliti vakolatli shaxsning o‘z qo‘li bilan qo‘yilgan imzoning analogi hisoblanadi. Agar tashkilotda qog‘ozdagi «to‘lovnomalarni» odatda boshliq va bosh hisobchi imzolashsa, elektron tizimda ham shu tartibni saqlab qolish mumkin va ularga alohida elektron raqamli imzo kalitlaridan foydalanish tavsiya qilinadi.
ERI kaliti ikki qismdan iborat bo‘ladi – yopiq va ochiq. Ochiq kalit egasi tomonidan generatsiya qilinganidan so‘ng tasdiqlovchi markazga taqdim etiladi, uning vazifasini odatda bank bajaradi. Shunday qilib, ERI sertifikati shakllanadi, uni bank elektron to‘lovlar tizimlarida ro‘yxatga olish zarur bo‘ladi.
ERI yopiq kaliti (maxfiy kalit) uning egasi tomonidan hech bir holatda boshqa shaxslarga berilishi kerak emas. Agar ushbu kalit qisqa vaqtga bo‘lsa-da boshqa shaxsga berilgan yoki biron joyda qarovsiz qoldirilgan bo‘lsa, ushbu kalitning ishonchliligi yo‘qolgan (ya’ni nusxa ko‘chirish ehtimoli yoki kalitdan noqonuniy foydalanish) hisoblanadi. Bunday holatda barcha javobgarlik kalit egasi zimmasiga yuklanadi. ERI kaliti egasining harakatlari plastik kartalar yo‘qolganda amalga oshiriladigan paytdagidek bo‘lishi zarur: kalit egasi xizmat ko‘rsatuvchi bankka kalit «ishonchliligi yo‘qolgani» to‘g‘risida xabar berishi lozim. Shunda bank o‘z to‘lov tizimida ushbu ERIning sertifikatini bloklab qo‘yadi va qonunbuzar o‘zining noqonuniy topilmasidan foydalana olmaydi.
Biznesda elektron to‘lovlarni qo‘llash an’anaviy xizmat ko‘rsatishga nisbatan katta afzalliklarga ega. Faqat bunda ERI kalitlaridan foydalanish va ularni saqlash bo‘yicha tavsiyalarni mijoz o‘z bankidan olishi va unga rioya qilishi zarur. Shunda to‘lovlarning ishonchliligi kafolatlanadi.
Jismoniy shaxslarning shaxsiy to‘lovlari xavfsizligi
Xavfsizlik tizimlarining aksariyati jismoniy shaxslarning shaxsiy ma’lumotlari yo‘qolishini oldini olish maqsadida foydalanuvchidan o‘z shaxsini tasdiqlashni talab qiladi. Foydalanuvchini identifikatsiyalash quyidagilar asosida amalga oshiriladi:
u muayyan bir ma’lumotni (maxfiy kod, parol) biladi;
u muayyan bir predmetga ega (kartochka, elektron kalit, jeton);
u shaxsiy xususiyatlar to‘plamiga ega (barmoq izlari, qo‘l panjalarining shakli, ovoz tembri, ko‘z qorachig‘ining surati va h.k.);
u maxsus kalit qayerdaligini va undan qanday foydalanishni biladi.
Birinchi usul muayyan kodli ketma-ketlikdagi shaxsiy identifikatsiya raqamini (Personal identification number — PIN) terishni talab etadi.
Ikkinchi usul foydalanuvchi tomonidan identifikatsiyalashning muayyan maxsus elementlarini – nusxalanmaydigan elektron qurilma, kartochka yoki jetondan o‘qib olinadigan kodlarni taqdim qilishni talab etadi.
Uchinchi usulda kirish vazifasini inson shaxsining individual va fizik xususiyatlari o‘taydi. Har qanday biometrik mahsulotga tanib olishda qo‘llaniladigan tegishli tasvirlar yoki boshqa ma’lumotlarni saqlovchi katta hajmdagi ma’lumotlar bazasi hamrohlik qiladi.
To‘rtinchi usul uskunaning yoqilishi yoki kommutatsiya qilinishining alohida tamoyilini taklif etadi, bu uning ishlashini ta’minlaydi (bu usuldan kamdan-kam foydalaniladi).
Bank ishida ikkinchi guruhdagi shaxsni identifikatsiyalash vositalari ko‘proq tarqalgan: aniq bir predmet (kartochka, elektron kalit, jeton). Tabiiyki bunday kalitdan foydalanish birinchi guruhdagi identifikatsiyalash vositalari va usullari bilan hamjihatlikda amalga oshiriladi: ma’lumotdan foydalanish (maxfiy kod, parol).
Identifikatsiyalash vositalari
Plastik kartalar. Bugungi kunda dunyoning turli davlatlarida bir yarim milliard atrofida kartochkalar foydalanishga chiqarilgan. Ulardan eng ommaviylari: Visa va MasterCard kredit kartochkalari; Eurocheque va Posteheque xalqaro cheklar; sayyohatlarga to‘lash uchun American Express va Diners Club kartochalari.
Magnit kartochkalari. Bank ishida identifikatsiyalash vositalari sifatida magnit polosali plastik kartochkalari anchadan beri foydalaniladi (ko‘pchilik tizimlar oddiy kredit kartochkalardan foydalanishga imkon beradi). Ma’lumotni o‘qib olish uchun kartochkani (magnit polosa tomoni bilan) riderning (o‘qib oluvchi) maxsus tuynugidan o‘tkazish zarur. Odatda riderlar tashqi qurilma ko‘rinishida ishlangan bo‘ladi va kompyuterning izchil ishlaydigan yoki universal porti orqali ulanadi. Riderlar, shuningdek, klaviatura bilan birlashtirilgan holda ham ishlab chiqariladi.
Ushbu kartalardan foydalanishning afzalliklari va kamchiliklari ham mavjud.
Kamchiliklar:
magnit kartochka maxsus uskuna yordamida osonlik bilan nusxalanishi mumkin;
kirlanish, magnit qatlamiga kichik mexanik ta’sir;
karta elektromagnit maydonlarining kuchli manbalari yon-atrofida bo‘lishi kartaning ishdan chiqishiga olib keladi.
Afzalliklar:
Bunday kartalarni chiqarish va ular orqali xizmat ko‘rsatish xarajatlari unchalik katta bo‘lmaydi;
magnit plastik kartalar sanoati oxirgi o‘n yillar davomida rivojlanib kelgan va hozirgi kunga kelib kartalarning 90 foizidan ortig‘i — bu plastik kartalardir;
magnit kartalarning qo‘llanishi foydalanuvchilarning katta miqdori va kartalarning tez almashib turishi bilan o‘zini oqlagan (masalan, mehmonxona nomeriga kirish uchun).
Proximity-kartalar. Umuman olganda – bu elektron jetonlarni rivojlantirish g‘oyasi hisoblanadi. Bu qurilma – ichida takrorlanmas kod yoki radiouzatgichi bo‘lgan kontaktsiz kartochka (brelok yoki braslet ko‘rinishida). Ma’lumotni o‘quvchi uskuna doimiy ravishda elektromagnit energiya tarqatuvchi maxsus antenna bilan jihozlangan bo‘ladi. Kartochka ushbu maydonga kirgan zahoti uning chipiga ishlov beriladi va karta o‘qib oluvchi uskunaga o‘zining takrorlanmas kodini yuboradi.
Smart-kartalar. Magnit kartadan farqli ravishda smart-kartada mikroprotsessor va energiya uzatish hamda o‘quvchi uskuna bilan ma’lumot almashish uchun kontakt maydonchalari mavjud bo‘ladi. Smart-karta himoyalanganlikning yuqori darajasiga ega. Smart-kartalar texnologiyasi yigirma yildan beri mavjud va rivojlanib kelmoqda, biroq juda ham keng tarqalishi oxirgi bir necha yillarda ro‘y berdi.
Elektron jetonlar. Hozirgi kunda egalari identifikatsiyasini talab qiluvchi turli tizimlarda elektron jetonlardan foydalanish usuli keng joriy etilgan. Bunday jetonning tanilgan namunasi – elektron «tabletka». «Tabletka» zanglamaydigan po‘latdan dumaloq korpusda ishlanadi va ichida takrorlanmas raqami bo‘lgan chip o‘rnatilgan.
Xulosa
Oxirgi vaqtlarda ba’zi banklarda maxfiylik darajasining buzilishi holatlari kuzatilmoqda. Bunga misol qilib turli tijorat kompaniyalari va alohida shaxslar haqidagi ma’lumotlarning kompakt-disklarda erkin foydalanishda paydo bo‘lishini keltirsa bo‘ladi. Nazariy jihatdan bizning mamlakatimizda bank ma’lumotlarini himoyalashni ta’minlash uchun qonunchilik bazasi yetarli, biroq uning amalda qo‘llanishi hali ko‘ngildagidan ancha yiroq.
Bankdagi ma’lumotlarni himoyalash – bu kompleks masala bo‘lib, faqat bank dasturlari doirasida hal bo‘lishi mumkin emas. Yuqoridagilarni umumlashtirgan holda, bank sohasida ishlayotganda korporativ va tijorat ma’lumotlari yopiq holda bo‘lishiga ishonch hosil qilish kerak. Biroq, nafaqat hujjatlar va boshqa ishlab chiqarish ma’lumotlari himoyasi uchun, balki tarmoq sozlamalari va kompyuterda tarmoq faoliyatining parametrlari uchun ham qayg‘urish zarur.
Bankda ma’lumotlarni himoyalash masalasi boshqa tashkilotlarnikidan ko‘ra ancha jiddiy tarzda qo‘yiladi. Ushbu masalani hal qilish o‘z ichiga himoyani ta’minlovchi tashkiliy, tizimli chora-tadbirlarni qamrab oladi.
Do'stlaringiz bilan baham: |