|
Tahdidlar va xavfsizlik choralari
|
bet | 2/10 | Sana | 24.11.2023 | Hajmi | 132,59 Kb. | | #105090 |
Bog'liq Axborot xavfsizligini ta\'minlashning zamonaviy texnik vositalari
Axborot xavfsizligiga tahdidlar turli shakllarda boʻlishi mumkin. 2018-yil uchun eng jiddiy tahdidlar „xizmat koʻrsatish usulidagi jinoyatlar“ (inglizcha: Crime-as-a-Service), Internet mahsulotlari, taʼminot zanjirlari va tartibga solish talablarining murakkabligi bilan bogʻliq boʻlgan tahdidlar boʻlgan [10]. „Xizmat koʻrsatish usulidagi jinoyatlar“ yirik jinoiy hamjamiyatlar uchun darknet bozorida jinoiy xizmatlar paketini yangi paydo boʻlgan kiberjinoyatchilarga arzon narxlarda taqdim etishning bir namunasidir. Bu yuqori texnik murakkablik yoki yuqori narx tufayli ilgari erishib boʻlmagan xakerlik hujumlarini amalga oshirish imkonini beradi. Bu esa kiberjinoyatni ommaviy hodisaga aylantiradi[11]. Koʻpgina tashkilotlar Internet mahsulotlarini faol tatbiq qilmoqdalar. Bu qurilmalar koʻpincha xavfsizlik talablarisiz ishlab chiqilganligi bois, kiberhujumlar uchun qoʻshimcha imkoniyatlar yaratadi. Bundan tashqari, internet xizmatlarining jadal rivojlanishi va murakkablashuvi uning shaffofligini pasaytiradi, bu esa noaniq belgilangan huquqiy qoidalar va shartlar bilan birgalikda tashkilotlarga qurilmalar tomonidan toʻplangan mijozlarning shaxsiy maʼlumotlaridan oʻz ixtiyoriga koʻra, ular bilmagan holda foydalanish imkonini beradi. Bundan tashqari, tashkilotlarning oʻzlari IoT qurilmalari tomonidan toʻplangan maʼlumotlarning qaysi biri tashqariga uzatilishini kuzatishi mushkul masaladir. Taʼminot zanjirlariga tahdid shundaki, tashkilotlar oʻzlarining yetkazib beruvchilari bilan turli xil qimmatli va nozik maʼlumotlarni almashishadi, natijada ular ustidan bevosita nazorat yoʻqoladi. Shunday qilib, ushbu maʼlumotlarning maxfiyligi, yaxlitligi yoki mavjudligini buzish xavfi sezilarli darajada oshadi. Bugungi kunda regulyatorlarning tobora koʻpayib borayotgan yangi talablari tashkilotlarning hayotiy axborot aktivlarini boshqarishni sezilarli darajada murakkablashtirmoqda. Masalan, 2018-yilda Evropa Ittifoqida qabul qilingan „Umumiy maʼlumotlarni himoya qilish qoidalari“ (inglizcha: General Data Protection Regulation, GDPR) har qanday tashkilotdan istalgan vaqtda oʻz faoliyati yoki taʼminot zanjirining istalgan qismida joylashtirilgan shaxsiy maʼlumotlarning mazmuni, ularni qayta ishlash usullari, saqlanish va himoyalanish tartibi va qanday maqsadlar uchun xizmat qilishini koʻrsatishni talab qiladi. Bundan tashqari, ushbu maʼlumot nafaqat vakolatli organlar tomonidan tekshirish paytida, balki ushbu maʼlumotlar egasining birinchi talabiga binoan ham taqdim etilishi lozim. Bunday muvofiqlikka rioya qilish muhim byudjet mablagʻlari va resurslarini tashkilotning boshqa axborot xavfsizligi vazifalaridan chetlashtirishni talab qiladi. Shaxsiy maʼlumotlarni qayta ishlashni soddalashtirish uzoq muddatli istiqbolda axborot xavfsizligini yaxshilashni nazarda tutsa ham, qisqa muddatda tashkilotning xatarlari sezilarli darajada oshadi [10].
Aksariyat odamlar u yoki bu tarzda axborot xavfsizligi tahdidlariga duchor boʻlishadi. Masalan, ular zararli dasturlar (viruslar va kompyuter qurti, troya oti(kompyuter virusi) va firibgarlik dasturlari)[12], fishing yoki identifikatorni oʻgʻirlash qurboni boʻlishadi. Fishing (inglizcha: Phishing) — maxfiy maʼlumotlarni (masalan, hisob, parol yoki kredit karta maʼlumotlari) olishga qaratilgan firibgarlik harakatlaridir. Odatda, ular internet foydalanuvchisini har qanday tashkilotning (bank, internet-doʻkon, ijtimoiy tarmoq va h.k.) asl veb-saytidan ajratib boʻlmaydigan soxta veb-saytga jalb qilishga harakat qiladilar [13][14]. Qoida tariqasida, bunday urinishlar tashkilot nomidan[15] soxta veb-saytlarga havolalarni oʻz ichiga olgan soxta elektron pochta xabarlarini ommaviy yuborish orqali amalga oshiriladi. Foydalanuvchi brauzerda bunday havolani ochib, oʻz hisob maʼlumotlarini kiritib firibgarlarning oʻljasiga aylanadi [16]. 1964- yilda[18] ingliz tiliga Andoza:Tr kiritilgan boʻlib, unda kimningdir shaxsiy maʼlumotlari (masalan,
koʻpincha fishing yoʻli bilan olingan ism, bank hisobi yoki kredit karta raqami) firibgarlik va boshqa jinoyatlarni sodir etishda foydalaniladi. [17][18] Jinoyatchilar nomidan noqonuniy moliyaviy imtiyozlar, qarz olgan yoki boshqa jinoyatlarni sodir etgan shaxs koʻpincha ayblanuvchining oʻzi boʻlib qoladi va bu uning uchun jiddiy moliyaviy va huquqiy oqibatlarga olib kelishi mumkin[19]. Axborot xavfsizligi shaxsiy hayotga bevosita taʼsir qiladi va bu holat turli madaniyatlarda turlicha taʼriflanishi mumkin.
Hukumatlar, harbiylar, korporatsiyalar, moliya institutlari, tibbiyot muassasalari va xususiy korxonalar oʻz xodimlari, mijozlari, mahsulotlari, tadqiqotlari va moliyaviy natijalari haqida doimiy ravishda katta miqdordagi maxfiy maʼlumotlarni toʻplaydi. Agar bunday maʼlumotlar raqobatchilar yoki kiberjinoyatchilar qoʻliga tushib qolsa, bu tashkilot va uning mijozlari uchun keng qamrovli huquqiy oqibatlarga, tuzatib boʻlmas moliyaviy va ayanchli yoʻqotishlarga olib kelishi mumkin. Biznes nuqtai nazaridan, axborot xavfsizligi xarajatlarga nisbatan muvozanatli boʻlishi kerak. Gordon-Lob[en] iqtisodiy modeli bu muammoni hal qilishning matematik apparatni tavsiflaydi[20]. Unga koʻra axborot xavfsizligi tahdidlari yoki axborot xavflariga qarshi kurashishning asosiy usullari quyidagilardan iborat:
kamaytirish — zaifliklarni bartaraf etish va tahdidlarning oldini olish uchun xavfsizlik va qarshi choralarni amalga oshirish;
uzatish — tahdidlarni amalga oshirish bilan bogʻliq xarajatlarni uchinchi shaxslar: sugʻurta yoki autsorsing kompaniyalariga oʻtkazish;
qabul qilish — xavfsizlik choralarini amalga oshirish xarajatlari tahdidni amalga oshirishdan mumkin boʻlgan zarardan oshib ketgan taqdirda moliyaviy zaxiralarni shakllantirish;
voz kechish — haddan tashqari xavfli faoliyatdan voz kechish[21].
Tarix
Ilk aloqa vositalarining paydo boʻlishi bilan diplomatlar va harbiy rahbarlar maxfiy yozishmalarni himoya qilish mexanizmlarini va uni soxtalashtirishga urinishlarni aniqlash usullarini ishlab chiqish zarurligini anglaganlar. Masalan, eramizdan avvalgi 50-yillarda Yuliy Tsezar tomonidan ixtiro qilingan shifrlash usuli uning maxfiy xabarlarini begonalar tomonidan oʻqilishiga yoʻl qoʻymaslik uchun ishlab chiqilgan[22]. Maxfiy xabarlar shunday belgilanganki, ular himoyalangan va faqat ishonchli shaxslar tomonidan qoʻriqlanadigan, xavfsiz xonalarda maxsus qutilarda saqlangan[23].
Pochta xizmatining rivojlanishi natijasida xatlarni qabul qilish, parolini ochish, oʻqish va qayta muhrlash ishlarini bajarish uchun davlat tashkilotlari paydo boʻla boshlagan. Shu tariqa, Angliyada bu kabi maqsadlar uchun 1653-yilda „Maxfiy idora“ (inglizcha: Secret Office) tashkil etilgan[24]. Rossiyada xatlarni nazorat qilish Pyotr I davrida yoʻlga qoʻyilib, 1690-yildan boshlab chet elga yuboriladigan barcha xatlar Smolenskda nazorat qilingan. XVIII asr oʻrtalarida qabul qiluvchida hech qanday shubha uygʻotmasligi uchun deyarli barcha xorijiy diplomatlarning yozishmalarini yashirin ravishda „qora kabinetlar“da nusxalash amaliyoti tizimli xususiyatga ega boʻlgan[25]. Ochilgandan soʻng, xabarning kriptotahlilini oʻtkazish talab qilingan va buning uchun oʻz davrining taniqli matematiklari „qora kabinetlar“ faoliyatiga jalb qilingan. Bu borada eng ajoyib natijalarga Kristian Goldbax erishgan. U olti oylik faoliyati davomida Prussiya va Fransiya vazirlarining 61 ta xatini ochishga muvaffaq boʻlgan. Hatto baʼzi holatlarda, xat muvaffaqiyatli shifrlangandan soʻng, uning mazmuni oʻrtadagi odamning hujumi natijasida almashtirilgan[26].
19-asr boshlarida Rossiyada Aleksandr I hokimiyatga kelishi bilan barcha kriptografik faoliyat Tashqi ishlar vazirligi idorasiga oʻtkazilgan. 1803-yildan boshlab taniqli rus olimi Pavel Lvovich Shilling ushbu boʻlim xizmatiga jalb qilingan. Kanslerning eng muhim yutuqlaridan biri 1812-yilgi Vatan urushi paytida Napoleon I ning buyruqlari va yozishmalarini dekodlash boʻlgan[27][28]. XIX
asrning oʻrtalarida maxfiy maʼlumotlarning yanada murakkab tasniflash tizimlari paydo boʻladi, bu esa hukumatlarga axborotni sezgirligiga qarab boshqarish imkonini beradi. Masalan, Britaniya hukumati 1889-yilda „Davlat sirlari toʻgʻrisida“gi qonunni chop etishi bilan bunday tasnifni maʼlum darajada qonuniylashtirgan[29].
Birinchi jahon urushi davrida barcha urushayotgan davlatlar tomonidan maʼlumotlarni uzatishda koʻp darajali tasniflash va shifrlash tizimlari qoʻllanilgan. Bu esa oʻz navbatida shifrlash va kriptoanaliz boʻlimlarining paydo boʻlishi va intensiv ishlatilishiga yordam bergan. Shunday qilib, 1914-yil oxiriga kelib, Britaniya Admiralligi boʻlimlaridan biri — „40-xona“ tashkil topgan va u Buyuk Britaniyada yetakchi kriptografiya organiga aylantirilgan. 1914-yil 26-avgustda nemis yengil kreyseri „Magdeburg“ Finlandiya koʻrfazining ogʻzida Odensholm oroli yaqinidagi qoyalarga qoʻndirilgan. Ushbu orol oʻsha davrda Rossiya imperiyasiga tegishli boʻlgan. Nemislar barcha maxfiy hujjatlarni yoʻq qilib, ushbu kemani portlatishadi. Biroq rossiyalik gʻavvoslar suv ostini tekshirib, signallar kitobining ikki nusxasini topadilar va ulardan biri inglizlarga topshiriladi. Tez orada yordamchi kemalar, shuningdek, tashqi dengiz kemalari va unga hamroh boʻlgan dushman kemalari oʻrtasidagi aloqa kodlari kitobini olgan inglizlar nemis dengiz kodlarini ochishga muvaffaq boʻladi. Kodni buzish dushmanning ushlangan radio xabarlarini oʻqish imkonini beradi. 1914-yil noyabr oyining oxiridan boshlab „40-xona“ deyarli barcha buyruq va buyruqlarni uzatuvchi nemis flotining radiogrammalarini muntazam ravishda shifrlashni boshlaydi. Ular birinchi marta 1914-yil 16-dekabrda nemis flotining Britaniya qirgʻoqlariga borishi paytida ushbu shifrni ochishdan foydalanishgan[30].
Urushlararo davrda shifrlash tizimlari tobora murakkablashgan. Shu bois, maxfiy xabarlarni shifrlash uchun maxsus mashinalar qoʻllanila boshlangan. Ularning eng mashhuri 1920-yillarda nemis muhandislari tomonidan yaratilgan „Enigma“dir. 1932-yilda Polsha razvedka shifrlash byurosi „Enigma“ shifrini teskari muhandislik orqali buzishga muvaffaq boʻlgan[23].
Ikkinchi Jahon urushi davrida Gitlerga qarshi koalitsiya mamlakatlari oʻrtasida almashilgan maʼlumotlar hajmi milliy tasniflash tizimlari va nazorat qilish hamda boshqarish tartiblarini rasmiy muvofiqlashtirishni talab qilgan. Murakkab seyflar va omborlarning paydo boʻlishini inobatga olgan holda, hujjatlarni kim boshqarishi mumkinligini (odatda askarlar emas, balki ofitserlar) va ular qayerda saqlanishi kerakligini belgilab beruvchi maxfiylik yorliqlari toʻplami ishlab chiqilgan boʻlib, ular faqat hujjatlarni boshqaruvchilar uchun ochiq boʻlgan. Urushayotgan tomonlar maxfiy hujjatlarni kafolatli yoʻq qilish tartiblarini ishlab chiqganlar. Baʼzan bunday tartiblarning buzilishi butun urush davomida muhim razvedka yutuqlariga olib kelgan. Masalan, Germaniyaning U-570 suv osti kemasi ekipaji inglizlar tomonidan qoʻlga kiritilgan koʻplab maxfiy hujjatlarni yoʻq qila olmagan[31]. Axborot xavfsizligi vositalaridan foydalanishning yorqin misoli yuqorida aytib oʻtilgan „Enigma“ boʻlib, uning murakkab versiyasi 1938-yilda paydo boʻlgan va Vermaxt va fashistlar Germaniyasining boshqa xizmatlari tomonidan keng qoʻllanilgan. Buyuk Britaniyada „Enigma“ yordamida shifrlangan raqib xabarlarining kriptotahlili Alan Turing boshchiligidagi guruh tomonidan muvaffaqiyatli amalga oshirilgan. Ular tomonidan ishlab chiqilgan „Turing Bombe“ (ing.dan — „Tyuring bombasi“) Gitlerga qarshi koalitsiyaga katta yordam koʻrsatgan va baʼzida Ittifoqchilarning gʻalabasida hal qiluvchi rolni bajargan[23]. Amerika Qoʻshma Shtatlarida Tinch okeani operatsiyalari teatrida radio aloqalarini shifrlash uchun signalchilarni Qoʻshma Shtatlardan tashqarida hech kim bilmaydigan navaxo hindu qabilasidan yollashadi[32]. Yaponlar hech qachon maʼlumotni himoya qilishning bu ekzotik usulining kalitini topa olmaganlar[23]. 1930-yillardan boshlab SSSRda mamlakatning yuqori hokimiyat organlari(shu jumladan Oliy qoʻmondonlik shtab-kvartirasi)ning telefon suhbatlarini tinglanishidan himoya qilish maqsadida yuqori chastotali signallarning ovozli modulyatsiyasi va ularning keyingi skrablanishiga asoslangan maxsus aloqa qoʻllanilgan. Biroq, kriptografik himoyaning yoʻqligi spektrometr yordamida tutilgan signaldagi xabarlarni qayta tiklashga imkon bergan[33].
XXI asrning 2-yarmi va XX asr boshlari telekommunikatsiya, kompyuter texnikasi va dasturiy taʼminot hamda maʼlumotlarni shifrlashning jadal rivojlanganligi bilan ajralib turgan. Ixcham, kuchli va arzon hisoblash uskunalarining paydo boʻlishi elektron maʼlumotlarni qayta ishlashni kichik biznes va uy foydalanuvchilari uchun qulay qildi. Kompyuterlarning Internetga ulanishi osonlashdi, bu esa electron biznesning jadal rivojlanishiga olib keldi. Bularning barchasi kiberjinoyatlarning kuchayishi va xalqaro terrorizmning koʻplab holatlari bilan birgalikda kompyuterlar va ular saqlaydigan, qayta ishlanadigan va uzatadigan maʼlumotlarni himoya qilishning yaxshiroq usullariga ehtiyoj tugʻdirdi. Buning natijasida „Kompyuter xavfsizligi“ va
„Axborot xavfsizligi texnikasi“ kabi ilmiy fanlar hamda axborot tizimlarining xavfsizligi va ishonchliligini taʼminlashning umumiy maqsadlarini koʻzlagan koʻplab professional tashkilotlar[34] paydo boʻldi.
Asosiy taʼriflar
|
| |