Azərbaycanda mobil ödəniş və rəqəmsal pul kisəsi xidmətlərinin sürətli genişlənməsi maliyyə əməliyyatlarının daha rahat və operativ aparılmasına imkan yaradır. Lakin bu inkişafla paralel olaraq kibertəhlükəsizlik məsələləri də daha aktual xarakter alır. Son dövrlərdə mobil ödəniş platformalarından biri ilə bağlı hesabların dondurulması və vəsaitlərin təhlükəsizliyi ətrafında yaranan müzakirələr rəqəmsal maliyyə ekosistemində təhlükəsizlik mexanizmlərinin vacibliyini bir daha gündəmə gətirib.
Bəs bu hadisədən hansı dərslər çıxarılmalıdır?
“Tehsil365” mövzu ilə bağlı "Kaspi" qəzetinin məqaləsini təqdim edir:"Kibercinayətkarların hədəfi çox vaxt orta və yaşlı nəsil nümayəndələri olur"
Azərbaycan Kibertəhlükəsizlik Təşkilatları Assosiasiyasının (AKTA) eksperti İlkin Əzməmmədov "Kaspi" qəzetinə açıqlamasında bildirdi ki, istifadəçi vəsaitlərinin qorunması prosesində təşkilatlarla yanaşı vətəndaşlar da aktiv iştirak etməlidirlər: "Bəzən kibercinayətkarlar vətəndaşları müxtəlif üsullarla şirnikləndirərək onların onlayn pul kisəsi məlumatlarından istifadə etməyə çalışırlar. Vətəndaşlar heç bir halda öz məlumatlarını və kabinet girişlərini başqaları ilə bölüşməməlidirlər. Orta və yaşlı nəsil nümayəndələrinin texnologiyadan daha az istifadə etməsini nəzərə alaraq, maliyyə təşkilatları onlayn ödənişləri istifadəçinin istəyi ilə aktivləşdirsələr, məsuliyyəti daha balanslı bölüşmüş olarlar. Maliyyə təşkilatları da tətbiqdaxili kiber gigiyena ilə bağlı maarifləndirmə təlimləri həyata keçirə bilər".
Mütəxəssis bildirir ki, kibercinayətkarların hədəfi çox vaxt orta və yaşlı nəsil nümayəndələri olur: "Bunun qarşısını almaq üçün texnologiyadan az istifadə edən vətəndaşların bank hesablarında onlayn ödəniş funksiyalarının standart olaraq bağlı olması daha təhlükəsiz hesab oluna bilər. Kibertəhlükəsizliyin qorunması ilə bağlı Mərkəzi Bankın tələbləri kifayət qədər sərtdir. Banklar da bu istiqamətdə təhlükəsizliyi təmin etmək üçün ciddi tədbirlər görürlər. Bir çox hallarda vəsait oğurluğu vətəndaş səhvləri səbəbindən baş verir. Məsələn, istifadəçilər öz məlumatlarını başqaları ilə bölüşə və ya telefonlarına lisenziyası sındırılmış mobil tətbiqlər yükləyə bilirlər. Bu kimi sındırılmış tətbiqlər çox vaxt istifadəçilərin telefonlarında olan maliyyə tətbiqlərini hədəf alır".
"Məsuliyyətin böyük hissəsi istifadəçilərin üzərinə düşür"
AKTA mütəxəssisi kibertəhlükəsizlik insidentlərini belə izah edir: "Məsələn, "Telegram" və ya "WhatsApp" üzərindən vətəndaşlara yazaraq müəyyən məbləğdə pul təklif edir və onların şəxsi kabinet məlumatlarından istifadə etməyə çalışırlar. Vətəndaş çox vaxt bilmir ki, onun şəxsi kabineti onlayn qumar oyunları və ya digər vətəndaşlardan oğurlanmış pulların xaricə köçürülməsi üçün istifadə oluna bilər. Digər bir misal olaraq, kibercinayətkarlar vətəndaşların yaxınlarının adından yazaraq borc kimi pul istəyirlər. Vətəndaş yaxınları ilə dəqiqləşdirmədən pul göndərərsə, vəsaiti oğurlana bilər. Başqa bir halda isə vətəndaş elan saytlarında elan yerləşdirir və kibercinayətkarlar ona link göndərərək kart məlumatlarını ələ keçirməyə çalışırlar. Vətəndaş məlumatlarını paylaşdıqda vəsaitləri oğurlana bilər. Hər bir şəxs bilməlidir ki, dövlət qurumlarının və ya maliyyə təşkilatlarının vətəndaşların şəxsi kabinet və ya kart məlumatlarına heç vaxt ehtiyacı olmur. Bəzən vətəndaşlar məlumat paylaşmadıqlarını desələr də, vəsait oğurluğu baş verə bilir. Bir çox hallarda telefonlar yoxlanıldıqda lisenziyası sındırılmış tətbiqlərə rast gəlinir. Bu tətbiqlər kibercinayətkarlar üçün arxa qapı rolunu oynaya və onların telefonlara daxil olaraq maliyyə tətbiqlərindəki vəsaitləri oğurlamasına şərait yarada bilər. Bəzi banklar root və ya jailbreak edilmiş telefonlarda öz tətbiqlərinin istifadəsini məhdudlaşdırır. Lakin lisenziyası sındırılmış tətbiqlərə qarşı bütün hallarda tam texniki müdafiə mümkün olmur və bu baxımdan məsuliyyətin böyük hissəsi istifadəçilərin üzərinə düşür".
"İnternet mühiti hələ də kəşf edilməmiş çoxsaylı boşluqlarla zəngindir"
Çıxış yoluna gəldikdə isə, mütəxəssis vurğulayır ki, platformalar xaricə pul köçürmələrini, onlayn ödənişləri və şəxsi kabinetlərə daxilolmaları izləmə kimi təhlükəsizlik tədbirləri tətbiq edə bilərlər: "Şübhəli hesab olunan əməliyyatlar avtomatik bloklanaraq yalnız vətəndaşın təsdiqindən sonra icra oluna bilər. Texnologiyadan daha az istifadə edən vətəndaşlar üçün isə xaricə onlayn ödəniş funksiyalarının standart olaraq deaktiv edilməsi əlavə təhlükəsizlik qatını təmin edə bilər. Texnologiya sürətlə inkişaf edir və bu inkişafla paralel olaraq yeni təhlükəsizlik boşluqları da yaranır. Kibertəhlükəsizlik sistemində ən zəif halqa çox vaxt insan faktoru hesab olunur. Milyonlarla manat həcmində kibertəhlükəsizlik investisiyası belə, bir insan səhvi nəticəsində risk altına düşə bilər".
İ.Əzməmmədov vurğuladı ki, hər təşkilat və vətəndaş səhvlərin təkrarlanmaması üçün mümkün tədbirləri görməyə çalışır. Lakin internet mühiti hələ də kəşf edilməmiş çoxsaylı boşluqlarla zəngindir: "Kibercinayətkarlar da məhz bu texnoloji boşluqları daim izləyir və yeni hücum üsulları axtarırlar. Texnoloji boşluqlardan istifadə etmək mümkün olmadıqda isə diqqət daha çox insanların məlumatlılıq səviyyəsinə yönəlir. Kibertəhlükəsizlik sahəsində əsas prinsip kibercinayətkarları qabaqlamaqdır. Tamamilə təhlükəsiz sistem mövcud olmasa da, risklərin minimuma endirilməsi üçün texnologiya, siyasət və insan faktorunun birlikdə inkişaf etdirilməsi vacibdir".
Texniki boşluqlar və sosial mühəndislik hücumları...
İnformasiya texnologiyaları üzrə sistem mühəndisi Araz Əhmədov bildirir ki, rəqəmsal pul kisələrində təhlükəsizlik çoxqatlı yanaşma ilə təmin olunmalıdır: "Bunun üçün "end-to-end" şifrələmə, iki və ya çoxfaktorlu autentifikasiya (2FA/MFA), tokenizasiya və süni intellekt əsaslı dələduzluq monitorinq sistemləri tətbiq edilir. Bu texnologiyalar məlumatların ötürülməsi, saxlanılması və qeyri-adi əməliyyatların aşkarlanması zamanı təhlükəsizliyi artırır
Mütəxəssis qeyd edir ki, kibertəhlükəsizlik insidentləri əsasən texniki boşluqlar və sosial mühəndislik hücumları nəticəsində baş verir: "Fişinq və saxta saytlar vasitəsilə istifadəçi məlumatlarının ələ keçirilməsi buna nümunədir. Ən zəif həlqə çox zaman texnologiya deyil, istifadəçi diqqətsizliyidir. Platformalar təhlükəsizliyi artırmaq üçün mütəmadi audit, nüfuzetmə testləri və beynəlxalq təhlükəsizlik standartlarının tətbiqini gücləndirməlidir".
"Heç bir sistem 100% təhlükəsiz deyil"
Həmsöhbətimiz qeyd edir ki, rəqəmsal maliyyə sistemlərində etimad əsas amillərdəndir: "Etimadın qazanılması uzun, itirilməsi isə çox qısa müddətdə baş verə bilər. Buna görə platformalar və istifadəçilər təhlükəsizlik qaydalarına ciddi əməl etməlidirlər. Heç bir sistemin 100% təhlükəsiz olmadığı nəzərə alınaraq, təşkilatlar potensial kibertəhlükələrə qarşı əvvəlcədən hazırlıqlı olmalı və cavab planları hazırlamalıdır. Vətəndaşlara isə maliyyə vəsaitlərini bir platformada saxlamamaq və riskləri azaltmaq üçün vəsaitləri müxtəlif kanallarda bölüşdürmək tövsiyə olunur".