Hazırda Azərbaycan saytlarına daim kiberhücum var - RƏSMİ/MÜSAHİBƏ

Bu məsələlərlə bağlı Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin idarə rəisi Tural Məmmədov ilə söhbət etdik. 

Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi Azərbaycan Respublikası Prezidentinin 2012-ci il 26 sentyabr tarixli 708 nömrəli Fərmanına əsasən yaradılıb.  Agentlik dövlət orqanları üçün xüsusi dövlət rabitəsini, Prezident rabitəsini, xüsusi təyinatlı informasiya-telekommunikasiya sistemlərini və şəbəkələrini idarələrarası elektron sənəd dövriyyəsini, dövlət orqanlarının internet şəbəkəsi ilə əlaqəsini, onların internet informasiya resurslarının məlumat və resurs mərkəzində yerləşdirilməsinrin təşkilini, istismarını, təhlükəsizliyini və inkişafını təmin edir. Həmçinin  dövlət orqanlarının informasiya sistemlərinin təhlükəsizlik parametrləri üzrə monitorinqini, dövlət mühaf izəsi obyektlərinin və mühafizə olunan obyektlərin təhlükəsizliyini təmin etmək məqsədi ilə xüsusi texniki tədbirlər hazırlayı b həyata keçirir. 

- Öncəliklə qeyd edim ki, bu fikirlərlə razı deyiləm. Dövlət qurumlarının hansısa resursunda ləngimə olubsa, bu problemi 500-dən artıq sayda olan elektron dövlət ximdətlərinin hər birinə şamil etmək və keyfiyyətində ciddi problemlər olduğunu demək doğru olmazdı. 

- Aydın məsələdir ki, bir çox dövlət qurumlarının hansısa elektron informasiya resursları sifariş əsasında bazarda olan yerli şirkətlər tərəfindən yaradılır. Müxtəlif elektron informasiya resurslarında belə ləngimələrin olmasını əslində 4 sadə amillə əsaslandırmaq olar. Birincisi, hər hansı bir sistemə nə qədər çox təhlükəsizlik elementləri yüklənərsə, onun sürəti də bir o qədər zəif olacaq, Çünki trafik müvafiq resursdan xidmət aldığı müddətdə müvafiq təhlükəsizlik avadanlıqları tərəfindən kiberhücumlara qarşı yoxlanılır ki, bu da öz növbəsində ləngimələrə səbəb ola bilir. Digər məsələ, ölkəmizdə İT layihələri hazırlayan  və texniki şərtləri tərtib edəcək ciddi kadr çatışmazlığı var. Hansı ki, şirkətlər informasiya sistemlərinə aid hər hansı həllin sifarişini icra edərkən məhz bu texniki şərtlərə uyğun hazırlamalı və o texniki şərtə uyğun təhvil verməlidir. Bəzən isə kadr çatışmazlığı nəticəsində texniki şərti sifarişçinin yerinə sifarişi icra edəcək şirkət tərəfindən hazırlanması belə problemlərə səbəb ola bilir. Digər bir səbəb isə şirkətlər özləri də hər hansı həll üzrə sifariş qəbulu zamanı həmin informasiya resursunun hazırlanmasına cəlb etdiyi işçilərin layihəyə verdiyi dəyəri onun vizual gözəlliyi və ya dizaynı ilə ölçür. Halbuki, sistemin sürətli, təhlükəsiz çalışması üçün dizayn və gözəllikdən daha çox optimizasiya məsələsinə diqqət etmək lazımdır. Qeyd etdiyim optimizasiya məsələlərinə, həm layihələndirilən sistemlərin kodlama alqoritmi, həm məlumat bazalarından məlumatların düzgün çəkilməsi, işlənməsi, eləcə də onların düzgün optimal arxitekturlaşdırılması aiddir. Eyni zamanda qeyd etmək istəyirəm ki, müəyyən informasiya təhlükəsizliyi boşluqları da belə ləngimələrə səbəb ola bilir.

Ümumiyyətlə dövlət qurumlarının informasiya sistemlərinin təhlükəsizliyinin təmini istiqamətində çox ciddi işlər görülür və bu istiqamətdə aparılan pentest/auditlərin sayı baradə də saytımızda aylıq statistika dərc edirik. Lakin bu boşluqların aradan qaldırılmasının tələb edilməsi istiqamətində qanunvericilikdə müəyyən boşluqlar var. Belə ki, bu boşluqların aradan qaldırılmasının müddəti və ya qaldırılmadığı halda hər hansı sanksiyaların və ya cərimələrin tətbiqi barədə qanunvericilikdə müddəalar yoxdur. Bu səbəbdən də tərəfimizdən dövlət qurumlarına təqdim edilən təhlükəsizlik boşluqlarının aradan qaldırılmasına, həm ciddi yanaşma baxımından, həm də müddət baxımından fərqlilik göstərir.  Ümumiyyətlə, xüsusi əhəmiyyətli sistemlərin dayanıqlığının təmin edilməsi üçün hazırda "Kritik İnformasiya İnfrastrukturları obyektlərinin təhlükəsizliyi” adı altında müxtəlif qanunverici sənələr, qaydalar, tələblər hazırlanır. Məhz belə fərqli yanaşmaların olmaması üçün yeni layihədə həm kritiklik kateqoriyaları, həm müddət məsələləri, həm də çatışmazlıqların aradan qaldırılmamasına görə sanksiyalar nəzərdə tutulub.

- Müharibə şəraitindən asılı olmayaraq informasiya sistemləri təhlükəsiz və dayanıqlı olmalıdır. Sərhəd tanımayan kiberfəza üçün müharibələrin olub-olmaması elə də əhəmiyyət daşımır. Çünki informasiya sistemlərinə müdaxilə üçün müharibə və düşmən axtarmağa ehtiyac yoxdur. Çünki onlar, istər Xarici Xüsusi Xidmət Orqanları, istər haktivistlər, istərsə də tədqiqatçılar (researcher) adı altında daima aktiv hücum mövqeyindədirlər. 

Məndən də həmişə soruşanda ki, dövlət saytlarına kiberhücumlar olurmu? Cavabım sadədir, əlbəttə. Dövlət İnformasiya ehtiyatlarına müharibə olub-olmamasından asılı olmayaraq kiberhücumlar dayanmır. Biz Xüsusi Rabitə bə İnformasiya Təhlükəsizliyi Dövlət Xidməti olaraq  7 gün, 24 saat belə kiberhücumlarla mübarizə aparır, onların qarşısını alırıq. Bunu vətəndaşlar hiss etmir. Bəzən belə hücumların özləri misal olaraq DDOS hücumlar bəzi informasiya sistemlərinin ləng işləməsinə səbəb ola bilir. Məhz belə halları öncəki sualdakı kimi, siz bunu ləng işləmə kimi şərh edəndə, biz bunu kütləvi hücumlar qarşısında sistemin bəzən ləng, lakin kəsintisiz fəaliyyətini təmin edə bildiyimiz üçün uğurumuz kimi qiymətləndiririk. Yəni, baxış aspekti nöqteyi nəzərindən qiymətləndirmə prosesi hansı yöndən izləmənizə görə dəyişə bilir. Bu baxımdan işimiz əslində çox çətindir, eyni məsələyə görə güclü kiberhücumun qarşısının aldığına və kəsintisiz xidmət verdiyinə görə təşəkkür də ala bilərsən, ləngimələrə görə qınaq obyektinə də çevrilə bilərsən.

- Dövlət qurumlarının ləğvi, restruktruzasiyası və ya yenilənməsi halları ilə tez-tez rastlaşırıq. Hətta belə hallar olmasa belə İnformasiya Texnologiyaları (İT) sahəsində "turnover” (işçi axını) olduqca yüksəkdir. Yəni, mütəxəssislər tez-tez iş yerlərini dəyişirlər. Bunu nəzərə alaraq "asset”lərin idarə edilməsinə və təhvil-təslim məsələsinə hər bir qurum, müəssisə məsuliyyətlə yanaşmalıdır. Bu kimi problemlər dövlət qurumlarında sahə üzrə kadr çatışmazlığından da irəli gələ bilir. Bilirsiniz ki, dövlət qurumlarında bu sahə üzrə əmək haqları olduqca az olmaqla yanaşı, işə qəbul prosesi də olduqca qəlizdir.  Bütün bu məsələlərin həlli işə yüksək keyfiyyətli mütəxəssislərin cəlb edilməsi ilə mümkün ola bilər. Bunun üçün öncəliklə sahə üzrə mütəxəssislərin dövlət qulluğuna qəbul prosedurunu birmənalı olaraq sadələşdirilməli, əmək haqqı hesablanması isə digər ixtisaslardan fərqləndirilməlidir. 

- e-Satınalma-nın 2021-ci il hesabatına görə, yalnız bir il ərzində  dövlət qurumları çoxsaylı tenderlərdə İKT üçün 100 milyon manatdan çox vəsait xərcləyiblər. Bu vəsaitləri nəzərə alsaq, hesab edilir ki, bu vəsaitin hamısı dövlət saytlarının təkmilləşdirilməsinə yönləndirilmir.  Siz bunu necə qiymətləndirərdininiz? 

- Bu məsələyə gəlincə deyə bilərəm ki, hazırda istifadə edilən bir çox sistemlər dəstək əsaslı işləyir, yəni xərclənən ödənişlərin bir çoxu hər hansı yeni sistemin əldə edilməsinə deyil, daha öncə alınan sistemlərin illik dəstək xidmətinə, lisenziya müddətinin uzadılmasına və digər bu kimi məsələlərə xərclənir. Bu baxımdan yerli məhsulların inkişaf etdirilməsi çox vacibdir və üzərində ciddi işləmək lazımdır. Eyni zamanda, startapların da bu istiqamətə yönləndirilməsinə ehtiyac vardır. 

- Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti dövlət saytlarının monitorinqini aparıb, təkliflər verirmi? Monitorinqin nəticələri necədir? Bu istiqamətdə hansı işlər görülüb və yeni nələr planlaşdırlılır? 

Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti il ərzində dövlət informasiya sistemlərində təhlükəsizlik üzrə auditlər aparmaqla yanaşı, onların SOC mərkəzində 24/7 monitorinqini də həyata keçirir. Məsələn, bu il birinci yarımildə 221 audit dövlət informasiya resursunda auditlər nəticəsində boşluqlar aşkarlanmış və aradan qaldırılması üçün müvafiq qurumlara təqdim edilmişdir. Hazırda ən böyük təhlükə informasiya sistemlərinə deyil, son istifadəçilərə qarşı olan təhlükədir. Bu, pandemiya dönəmində özünü daha aydın göstərdi.  Biz şahidi olduq ki, dövlət şəbəkələrində bloklanmış təhlükəli keçidlər və kiberhücum cəhdləri uzaqdan evlərindən qorunmayan şəbəkədə çalışan dövlət qurumu əməkdaşları üçün təhlükə yaradırdı. Bu isə infrasturukturun  təhlükəsizliyi ilə bərabər son istifadəçilərin də təhlükəsizlik məsələlərində rolunun və kibertəhlüklərə qarşı daha ayıq davranaraq fərdi kibergigiyenaya riayəti öyrətmənin vacib oluduğunu göstərmiş oldu. Hazırda üzərində işlədiyimiz layihə  kiberhücumlara qarşı məhz son istifadəçi faktorunun, yəni insan faktorunun gücləndirilməsi ilə bağlıdır. "Kibergigiyena” adlandırılan pilot layihəyə 5000  dövlət qurumu əməkdaşının cəlb edilməsi nəzərdə tutulub. Hazırda 3890 nəfər dövlət qurumu əməkdaşı qeydiyyatdan keçib və ilkin yoxlama mərhələsini 1800 nəfər tamamlayıb.