Banklar və Biznes nəşrinin Azərbaycan Banklar Assosiasiyasının (ABA) nəzdində fəaliyyət göstərən “İT və İT Təhlükəsizlik üzrə Ekspert Qrupu”nun üzvü, rəqəmsal transformasiya və kibertəhlükəsizlik üzrə mütəxəssis İlqar Əliyev ilə müsahibəsi.
- Maliyyə institutları (banklar) kiber hücumların əsas hədəflərindən biridir. Məsələnin vacibliyini nəzərə alaraq maliyyə/bank sektorunda kibertəhlükəsizlik məsələsi haqda nə demək istərdiniz?
Doğrudur, bu gün kiber hücumlarda əsas hədəflərdən biri Banklardır. Kiber hücumçuların, ziyankarların məqsədiləri və motivləri fərqlidir. Misal olaraq, Bankın və müştərilərin elektron pul vəsaitlərinin, məlumatlarının ələ keçirilməsi, Bankın əməliyyat fəaliyyətinin dayandırılması, nüfuzuna ziyan vurulması, sənaye casusluğu, konfidensial məlumatların əldə olunması cəhdləri kimi geniş sperktrlər əhatə olunur. Avropa Mərkəzi Bankının 2022-ci il hesabatına görə AB-də azı Bankların 50%-i ən azı bir dəfə uğurlu kiber-hücuma məruz qalmışlar. Etiraf edim ki, bizdə belə statistika mövcud deyildir. Ölkəmiz qlobal biznes eko-sisteminin bir parçasıdır və dünyanın istənilən bir yerində ortaya çıxan kiber həmlənin və hücum vektorlarının bizim Bankları da hədəf gördüyü danılmaz faktdır. Zamanın tələbi kimi bu gün Banklarda rəqəmsal transformasiya proqramları, layihələr həyata keçirirlər, biznes proseslər rəqəmsal inteqrasiyalara məruz qalırlar. Hər bir yenilənmədə və dəyişiklik virtual məkanda özünəməxsus risklər yaradır. Bu risklərin vaxtında müyyənləşdirilməməsi, zəruri mühafizə və qorunma tədbirlərinin yerinə yetirilməməsi, boşluqların meydana çıxmasına səbəb olur və bu zəifliklərdən uğurlu kiber hücumların baş verməsinə zəmin yaranır.
- “Travelers Risk Index”in yeni sorğusuna əsasən kiber təhlükələr biznes liderləri üçün TOP problem olaraq qalır. Əlavə edirlər ki, kiber hücumları ciddi qəbul etmək və tədbirlər görmək labüddür. Belə hadisələrin qurbanı olan bizneslərin öncədən qabaqlayıcı tədbirlər görmədiklərini nə ilə izah edərdiniz?
Bu gün beynəlxalq sorğularda, statistikalarda, eləcə də 2023 Qlobal Davos Forumunda da kiber-təhlükələr ən yüksək “Top 10” risklər cərgəsində yer alır. Bu rəqəmsal risklərin reallaşması biznesləri ciddi maliyyə və reputasiya itkilərinə məruz qoyur. Bu itkilərin həcmi və biznes əməliyyatların normal fəaliyyətinin bərpa edilməsi milyonlarla pul ekvivalenti ilə ölçülür. Burada problemin kökü bizneslərdə rəqəmsal idarəçilik sisteminin (Digital/IT Governance) qurulmaması və olmamasıdır. Kiber təhlükələrlə sistemli mübarizə aparmaq üçün Müşahidə Şurasından, İdarə Heyəti, Orta menecment və mütəxəssis səviyyəsinə qədər öhdəliklər, məsuliyyət və cavabdehlik sahələri müəyyən olunmalıdır. Bizneslərdə risk və rəqəmsal idarəçilik üzrə daxili nəzarət sistemləri qurulmalıdır ki, kiber təhlükələrə qarşı davranışlar adekvat və effektiv, xərc-mənfəət baxımından səmərəli olsun. Uğurlu şirkətlər kiber risklərə qarşı 3-lü müdafiə xətti təşkil edirlər. Adətən 1-ci müdafiə xəttində Menecment olur ki, onlar qayda və prosedurlarla, maarifləndirmə, vəzifə təlimatları, səlahiyyət bölgüsü, yoxlama tədbirləri ilə informasiya təhlükəsizliyi risklərini azaltmalıdırlar. 2-ci müdafiə xəttində risk mütəxəssisləri, rəqəmsal texniki-proqram komplekslərini müntəzəm yoxlayan təhlükəsizlik və kompalyens mütəxəssisləri olurlar. Periodik yoxlama və istifadə etdikləri alətlərlə 1-ci müdafiə xəttini yarıb keçən rəqəmsal riskləri müəyyən edirlər və onlara qarşı lazımi nəzarət və eskalasiya tədbirlərini görürlər. Bizneslərdə 3-cü müdafiə xəttində şirkətlərin daxili IT auditorları olurlar ki, onlar da biznesin kritik və yüksək riskli sahələrində periodik audit yoxlamaları keçirirlər, əməliyyatlara qarışmırlar, müstəqil hesabat hazırlayıb Audit komitəsinə və Müşahidə Şurasına təqdim edirlər. İnformasiya və kiber təhlükəsizlik üzrə daxili auditorun əsas vəzifələrindən biri 1-ci və 2-ci müdafiə xəttini aşan rəqəmsal riskləri aşkarlamaqdır. Bu çətin funksiyanı yerinə yetirilməsi üçün texnoloji auditorlar müxtəlif yanaşmalardan, audit texnikalarından, risk indiqatorlarından və informasiya mənbələrindən istifadə edirlər. Risklərinin qiymətləndirilməsi hesabatının nəticəsi olaraq, hər müəyyən olunmuş riskin aradan qaldırılması üzrə məsul şəxs, müddəti və kiber riskə qarşı 4 tip davranışlardan (Riskin azaldılması, Qəbul edilməsi, Kənara ötürülməsi və Riskdən qaçma) biri müəyyən olunur.
Bizneslərdə bu 3-lü müdafiə xətti koordinasiyalı və daimi kommunikasiyada işləməlidir ki, Şirkətin kritik fəaliyyətinə təsir göstərən rikslər daima nəzarət altında olsun, rəqəmsal idarəetmə və qərarvermə effektiv və xərc baxımından səmərəli olsun. Şirkətlərdə təşkilatlar arasında bu tandemin və risk idarəetməsinin sistemli olmaması biznes əməliyyatların və rəqəmsal resursların sürpriz yaşamasına səbəb olur.
- İlqar bəy, bu gün ölkə bankları üçün ən böyük kiber təhlükələr hansılardır?
Hazırda Banklar üçün ən ciddi kiber təhlükələr, Bank müştərilərinin aldadılması, kiber dələduzların müxtəlif vasitələrdən istifadə etməklə vətəndaşların kart məlumatlarının mənimsənilməsi cəhdləridir. Bank mümkün qədər öz infrastrukturuna, tətbiqlərinə olan kiber-hücumlara qarşı mühafizə tədbirlərini təşkil edir, amma müştəriyə yönəlik seçimlər çox deyildir. Bu Bankla əlaqədə olan hər bir müştərinin davranışlarından asılıdır. Bu gün virtual fırıldaqçılar texnologiyaların verdiyi imkanlardan istifadə etməklə, sosial şəbəkələr, SMS, ismarıc proqramları vasitəsilə qurban hesab etdikləri insanların aldadılması ssenarilərini fikirləşib, reallaşdırmağa çalışırlar. Əsas həssas təbəqə olan təqaüdçülər, maliyyə və rəqəmsal savadlılığı, təcrübəsi az olan gənclər bu elektron tələlərə düşürlər və aldanırlar. Digər təhlükə mobil və internet bankçılıq sistemlərinə hücum cəhdləridir ki, Banklar bu tətbiqlərə müxtəlif texnki-proqram nəzarətləri tətbiq etməklə sistemlərini mühafizə edirlər. Başqa bir hücum növü şifrəliyicilər vasitəsilə hücumlardır ki, müvafiq erkən xəbərdarlıq, antivirus sistemləri, təhlükələri aşkar edən və önləyən sistemlərlə Banklar bu həmlələrin qarşısını kəsməyə çalışırlar.
- Azərbaycanda fintex-in inkişafı vacibdir və eyni zamanda 2022-ci ildə təşkil edilən VI Beynəlxalq Bankçılıq Forumunda çıxışı zamanı Azərbaycan Mərkəzi Bankının sədri Taleh Kazımov maliyyə/bank sektorunun rəqəmsal transformasiyaya keçidin və texnoloji innovasiyaların köməyilə bank məhsullarına əlçatanlığın sürətləndirilməsi xüsusi qeyd edərək, tövsiyələrindən biri də texnoloji innovasiyaların özü ilə birgə gətirdiyi kibertəhülkəsizlik məsələsini də yaddan çıxarmamasını vurğulamışdır. 2023-cü ildə məsələ ilə bağlı ölkə qanunvericiliyə nə kimi əlavə və dəyişikliklərin tətbiqini məsləhət görərdiniz?
Bəli, AMB-nin sədri Taleh müəllim rəqəmsal transformasiyalar zamanı kibertəhlükəsizlik məsələlərinin və risklərinin gözardı edilməməsi məsələsini vurğuladı və bu sahəyə diqqətin artırılacağını bildirdi. Bu gün Banklar öz biznes proseslərini və əməliyyatlarını AMB-nin 2022-ci ilin Aprelində qüvvəyə minmiş “Banklarda informasiya təhlükəsizliyinin idarə edilməsi Qaydası”na uyğunlaşdırırlar. Bu qaydaların mənbəyi beynəlxalq ISO27001 standartlarıdır. Qaydaların qəbul edilməsindən sonra Bankların biznes prosesləri informasiya təhlükəsizliyi baxımından müsbətə doğru xeyli dəyişdi və dəyişməyə davam edir. Belə ki, Bankların təşkilati strukturlarında yeni bölmələr yaradıldı, vəzifələr təsis olundu, avadanlıqlar, proqramlar yeniləndi, alətlər əldə olundu, informasiya təhlükəsizliyi üzrə mütəxəsislərin statusu artdı, hesabatlıq və nəzarət tələbləri yarandı. Təkmilləşmə işləri davam edir və hesab edirik ki, AMB-nin rəqəmsal nəzarət funksiyasının komplayens yoxlama tədbirlərindən sonra bu proses daha da sistemli olacaqdır. Ölkəmizdə kiber transformasiya əsasən Bank sektorunda gedir. Çünki bu sahədə requlyativ tələblər mövcuddur. Bunun da kök səbələri odur ki, AMB 20 ildən artıq müddətdir ki, Dünya Bankı, Avropa Mərkəzi Bankı, Beynəlxalq Valyuta Fondu və digər Beynəlxalq Maliyyə İnstitutları ilə əməkdaşlıq edir, orada mövcud nou-hauları və standartların Bank sektorunda tətbiq edilməsinə önəm verir. Dünyada ən güclü əməliyyat və kibertəhlükəsizlik üzrə nəzarət çərçivələrindən biri SWIFT beynəlxalq maliyyə klirinq təşkilatının tələbləridir ki, bu standartlar AMB-də və Bank sferasında artıq 20 ildən çoxdur ki, tətbiq olunmaqdadır. Biz hesab edirik ki, aşağıdakı normativ sənədlərin mövcud olması informasiya cəmiyyətimizi və biznes ekosistemini gücləndirəcəkdir:
- Ölkəmizin kibertəhlükəsizlik strategiyası
- Fərdi məlumatlar haqqında Qanun (yenilənməsi, AB GDPR normativlərin uyğunlaşdırılmış)
- Ödəniş sistemləri (maliyyə texnologiyaları) üzrə Qanunun qəbul edilməsi
- Sahəvi informasiya təhlükəsizlik tələblərinin yaradılması
- Rəqəmsal biznes və əməliyyatların dayanıqlığı üzrə tələblərin yaradılması
- Telekommunikasiya və Mobil rabitə sektorları üzrə kibertəhlükəsizlik tələblərinin və standartlarının yaradılması
- Rəqəmsal bank xidmətləri inkişaf etdikcə, əhalinin rəqəmsal bacarıqları, bu istiqamətdə təhlükəsizlik məsələləri də ön plana çıxır. Xüsusilə rəqəmsal ödənişlərdə təhlükəsizlik məsələlərini necə qiymətləndirirsiz?
Rəqəmsal ödənişlərin Bank, prosessinq və müştəri tərəfləri vardır. Bank və prosessin təşkilatları öz funksiyaları çərçivəsində ödənişlərin təhlükəsizliyini təmin etmək üçün müxtəlif tədbirlər yerinə yetirirlər. Bu tədbirlər ödəniş vasitələrinin və alətlərinin təhlükəsizliyinin təmin edilməsi, multi-faktorlu autentifikasiya vasitələrindən, 3D təhlükəsizlik məlumatlandırmadan istifadə, rəqəmsal proseslərin qurulması və nəzarəti, kibertəhlüəksizlik alətlərinin, loqlama, arxivləşmə, testləşdirmə, boşluqların aşkarlanması kimi tədbirləri yerinə yetirirlər. Amma maliyyə texnologiyaları (fintech) sahəsində konkret normativlər və tələblər olmadığı üçün nəzarət tədbirlərin təşkili bu infrastrukturda çalışan mütəxəssis və əməkdaşların biliklərin və kompetensiyasından asılı olur. Hesab edirəm ki, bu sahədə risk qiymətləndirmələri sistemli olmalı və nəzarət təkmilləşməlidir. Müştəri tərəfinə gəldikdə isə hesab edirəm ki, müxtəlif kommunikasiya kanalları vasitəsilə əhalinin rəqəmsal bacarıqları artırılmalıdır. Beynəlxalq təcrübədə inkişaf etmiş ölkələrdə kibertəhlükəsizlik strategiyasının olması təhsil sektoru, dövlət, özəl, qeyri-hökümət təşkilatlarının tandeminə rəvac verir, birgə çalışması üzrə öhdəlikləri və vizion yaradır.
- İlqar bəy, ödəniş kartlarından hansı yerlərdə istifadə risk faktoru yarada bilər və bunun qarşısını almaq üçün istifadəçilərə tövsiyələriniz nədir?
Ödəniş kartlarının qeyri-adekvat istifadəsi istənilən yerdə risk yarada bilər. Bu gün ödəniş kartı real əskinas pul olmasa da, qiymətli sayılır və daxilində maliyyə vəsaitlərimizi saxlayırıq. Biz bu kartları Bankomatlarda, ödəniş terminallarında, internetdə, onlayn alış-veriş zamanı, restoran və ictimai iaşə müəssisələrin xidmətlərindən faydalananda istifadə edirik. Kartla davranışda əsas risk kartın və ya kart məlumatlarının yad əllərə keçməsidir. Kartlardan sui-istifadə üzrə müxtəlif situasiya və hallar ola bilər. Biz kartı cibimizdən çıxardıqda və məlumatlarından istifadə etməyə başlamazdan öncə ehtimal olunan riksləri düşünməliyik. Kartla nə baş verə bilər? Bu addım risklidirmi? Bu seçim təhlükəsizdirmi? Əsasən aşağıdakı təhlükəsizlik tədbirlərini tövsiyə edirik:
– Bank kartını tanımadığınız adamlara etibar edilməməsi;
– ATM-lərdə kart istifadəsinin digər şəxslər tərəfindən müşahidə olunmasına imkan verilməməsi;
– Ödəniş kartlarına limitlərin tətbiq edilməsi;
– Kart məlumatlarının (PIN kodu, nömrə və s.) telefona, kompüterə yazılmaması;
– Bank kartlarına SMS bildirişlərinin tətbiq edilməsi;
– Əmək haqqı kartlarından alış-veriş zamanı istifadə edilməməsi;
– İnternetdə və ya fiziki alış-veriş zamanı limit çərçivəsində debit/kredit kartlarından istifadə edilməsi;
– İnternetdə alış-verişin ancaq tanınmış və həqiqi veb-portallardan edilməsi;
– Bank adından kart məlumatlarının sorğulanmasına şübhəli yanaşma (Bank heç vaxt kart məlumatlarını detallı soruşmur);
– Rəqəmsal cüzdanlardan (Mobil telefon vasitəsilə ödəmə və digər) istifadə;
– Kart məlumatlarının sosial şəbəkə üzərindən kənar şəxslərə bildirilməməsi;
– NFC funksionallığı olan kartın folqalı xüsusi cüzdanlarda saxlanılması;
– Şübhəli hal müşahidə etdikdə kartın bloklanması (bütün kartlarda müvafiq telefon nömrəsi və ya mobil tətbiqlərdə bu funksionallıq mövcuddur).
- Sektorda problem varsa, onu həll edəcək mütəxəssislərə də ehtiyac vardır. Sırf bu istiqamətdə yetişən yeni nəslin peşəkar hazırlıqlarını necə qiymətləndirirsiniz?
Bu gün ölkəmizdə informasiya təhlükəsizliyi mütəxəssisləri qıtlığı yaşanır. Təəssüflər olsun ki, biznes və təhsilin sıx koordinasiyası və kommunikasiyası, əməkdaşlığı olmadığı üçün gənc kadrlar şirkətlərin tələblərini tam ödəyə bilmirlər. Digər tərəfdən şirkətlər Universitet tələbələrinə qapılarını geniş açmırlar və onlarla təcrübələrin paylaşmasına az maraq göstərirlər. Eləcə də, bu sahədə müəllimlərin və mentorların əmək haqlarının az olması sənaye ekspertlərinin təhsil müəssisələrində təlimlər təqdim etmək həvəsini aşağı salır. Bu gün ən ciddi resurs çatışmazlığı bilikli, bacarıqlı, təşəbbüskar, məsuliyyətli və inkişafa meyilli insan resursudur. Eləcə də günün tələblərinə uyğun olaraq texniki bacarıqlarla yanaşı, komandada işləmə, liderlik, təqdimetmə, konflikt-həlletmə kimi yumşaq vərdişlər də tələb olunur. İnformasiya təhlükəsizliyi üzrə mütəxəssisin yetişməsi üçün illər lazımdır. İnformasiya təhlükəsizliyi və kibertəhlükəsizlik üzrə mütəxəssis dediyimiz şəxs Beynəlxalq standartları, təcrübəni bilməli, müxtəlif sistemlərin inzibatçılığı, məlumat bazalarının işləmə prinsipləri, kodlaşdırma texnikalarını, şəbəkə arxitekturasını, risklərin idarə olunması sahələrindən xəbərdar olmalıdır. Kibertəhlükəsizlik alətləri olan SİEM, XDR, PAM, VM, Pentest, WAF antivirus kimi alətlərin işləmə prinsiplərini bilməlidir. Biznes proseslərin idarə olunması, təhlükəsizliyi və risklərinin aşkarlanması, qarşısının alınması barədə bacarıqları, eləcə də idarəetmə kompetensiyası yüksək üstünlük hesab olunur. Ölkəmizdə bu istiqamətdə son 2-3 ildə işlərə başlanılmışdır və hesab edirəm ki, kibertəhlükəsizlik üzrə səriştəli kadrlara tələbat tam ödənməsə də, yüksək riskləri, sahələri lazımi mütəxəssislərlə təmin edə biləcəyik. Təbii ki, burada da dövlət və özəl sektorların birgə koordinasiyalı və dəstəkli fəaliyyəti lazım olacaqdır. Dövlətdən gözlənti ondan ibarətdir ki, xaricə “beyin axını”nın qarşısının alınması üçün müəyyən sosial, normativ aktlar və iş güzəştləri tətbiq edilsin (bu təcrübə bir çox inkişaf etmiş ölkələrdə vardır), şirkətlərdən gözlənti odur ki, informasiya təhlükəsizliyi məsələrində bu sahənin mütəxəssislərinə dəstək versin, texnoloji resurs və bazar-rəqabətli əmək haqqı və iş şəraiti təminatı yaratsın.
Təşəkkür edirik!