5.3.5. IoT - buyumlar interneti sohasida xavfsizlik masalalari
Oxirgi paytlarda axborot xavfsizligi masalasiga tegishli boʻlgan
barcha tadbirlarda eng koʻp muhokama qilinayotgan asosiy
masalalardan biri bu “buyumlar interneti” hisoblanadi. Aynan ushbu
texnologiya oʻtgan yili ham ushbu soha mutaxassislar aqlini koʻproq
egallab, turli ommaviy axborot vositalaridagi yangiliklarda tez-tez
uchrab turdi. Ekspertlarning fikricha ushbu tendensiya kelgusida ham
pastlamaydi. SHu sababli, ushbu maqolamizda “buyumlar interneti”
nomi ostida qoʻllaniladigan texnologiyalar tomonidan ayni paytda
etkazilishi mumkin boʻlgan dolzarb xavflar koʻrib chiqiladi.
Internetga chiqishi mavjud boʻlgan koʻp sonli qurilmalar
buzilishdan etarli darajada himoyalanmagan boʻladi. Ularning
koʻpchiligiga bir xil parollar oʻrnatilgan boʻlib, baʻzilarida koʻpchilikka
maʻlum boʻlsada, biroq tuzatilmagan zaifliklar mavjud. “Aqlli”
buyumlarni ishlab chiqaruvchilar aksariyat holatlarda xavfsizlik
masalalariga befarqlik munosabatida boʻladi, foydalanuvchilarning esa,
uyidagi har bir buyum bilan shugʻullanishga vaqti boʻlmaydi. Bunday
vaziyat esa fojeaviy oqibatlarga olib keladi. Oʻtgan yili “narsalar
interneti” bilan bogʻliq hodisalar orasida eng ovoza boʻlgani Miraj
botneti boʻldi. U deyarli butunlay obroʻsizlantirilgan IoT-qurilmalardan
tashkil topgan boʻlib, tarixdagi eng yirik DDoS-hujumlarga sabab boʻldi.
Qonunbuzarlar
faoliyatining
asosiy
mazmuni,
IoT-qurilmalarni
boshqarishda koʻp foydalanadigan soddalashtrilgan Linux versiyasi
boshqaruvidagi qurilmalarga kirib boradigan troyan dasturidan
foydalanishdan tashkil topgan. Bunda buzib kirish harakatining oʻzi
unchalik murakkab emas boʻlib chiqdi dastur bor-yoʻgʻi 61 ta defoltli
loginlar va parollar kombinatsiyasini toʻliq terish usuli orqali qurilmaga
kirishni qoʻlga kiritgan. Biroq obroʻsizlantirilgan qurilmalarning
umumiy
soni
493
mingdan
oshgan
edi.
Ularning
orasida
termoregulyatorlar, sovutgichlar va tosterlar kabi “aqlli buyumlar” ham
mavjud edi. Miraj botnetidan DDoS-hujumlar choʻqqiga chiqqan vaqtda
ularning tezligi bir soniyada bir terrabaytgacha etgan. DNS operatoriga
uyushtirilgan hujumda ushbu botnetdan foydalanish, hujumni qaytarish
uchun qoʻllanilgan tezkor tadbirlarga qaramasdan taniqli bir qator
288
xizmatlarga kirishda muammolar tugʻdirdi, bular jumlasiga Twitter,
GitHub, Soundcloud va Spotify xizmatlari kiradi.
Har kunlik hayotimizga yuksak texnologiyalarning kirib kelishi
yangidan-yangi xavflarni taqdim qiladi. Yаqingacha qonunbuzarlarning
faolligi axborot xavfsizligi bilan cheklangan boʻlsa, hozirda xavf ostiga
odamlarning hayoti va sogʻligi qolmoqda. Hozircha bular havotirli
tahmin hisoblanadi, biroq hayotiy reallik IoT-qurilmalar bilan ishlashda
jismoniy xavfsizlik haqida bugundan qaygʻurishga majbur qilmoqda.
Eng dolzarb masala – kun sayin “aqlli” boʻlib borayotgan avtomobillar
hisoblanadi. Bugungi kunda avtonom mashinalar Gonkong, Dubay,
AQSHning bir qator shtatlari va Yevropaning baʻzi mamlakatlarida
koʻcha kezib yuribdi. Ammo bunday avtonom avtomobillar baʻzida
xalokatga uchraydi, masalan, Tesla avtopilotining ishidagi nosozliklar
bilan bogʻliq noxush hodisalar koʻp muhokamaga uchraydigan holat
boʻldi. Ushbu hodisalar uchun javobgarlikni oʻz zimmasiga avtomobil
egasi olishi kerakmi yo uning ishlab chiqaruvchisimi, buni hali aniqlash
zarur. Avtopilot tizimini hisobga olmagan holda ham, bilamizki,
zamonaviy avtomobil turli yuqori texnologiyali modullar bilan,
boshqaruv datchiklari va vositalari bilan jihozlangan, ular, tabiiyki,
distansion boshqaruvga ega, shu jumladan internet orqali ham.
Borgan sari, avtomobillardagi muammolar haqida yangidan-yangi
xabarlar tarqalmoqda, ular mashinalarning mexanizmlari bilan emas,
balki, aynan dasturiy taʻminot bilan bogʻliq. Ushbu dasturiy
taʻminotning
xavfsizligi,
huddi
maishiy
IoT-qurilmalarining
holatidagidek hali anchagina ish talab qiladigan ahvolda. Ushbu
muammo turli ishlab chiqaruvchilarga tegishli: masalan, oʻtgan yilning
kuzida General Motors kompaniyasi dasturiy taʻminotdagi xatoliklar
tufayli 3 milliondan ortiq avtomobillarni qaytarib olishga majbur boʻldi,
ushbu xatoliklar xavfsizlik yostiqchasi va xavfsizlik kamarining
nosozliklari bilan bogʻliq boʻlgan. Shuningdek, Volkswagen konserni
bilan sodir boʻlgan janjal haqidagi ovoza keng tarqaldi, bunda
avtomobillarga zararli moddalarni chiqarishning real koʻrsatkichlarini
pasaytirib koʻrsatuvchi dastur oʻrnatilgan. Bundan tashqari,
avtomobillarni “kompyuterlashtirish” sababli ularni masofali buzish
imkoni mavjud boʻldi. SHu yoʻl bilan tadqiqotchilar va xakerlar
Chrysler, Tesla, Mitsubishi kompaniyalariga tegishli va bir qancha
boshqa rusumdagi avtomobillarga avtorizatsiyalanmagan kirish huquqini
qoʻlga kiritishdi. Agar avtomobillarni buzish – unchalik qoʻrqinchli
tuyulmasa, u holda tibbiyot sohasidagi ishlar umuman oʻzgacha ahvolda.
289
Yuksak texnologiyalar tibbiyot xodimlariga katta imkoniyatlar taqdim
etadi, telemeditsinadan tortib, to diagnostika va davolashning zamonaviy
usullarigacha. Biroq bu yerda ham xavfsizlik masalasi hal qilinmagan.
Tibbiyot texnikasini ishlab chiqaruvchi mutaxassislar koʻpincha yovuz
niyatlilarning aralashish ehtimolini eʻtibordan chetda qoldiradilar.
Axborot xavfsizligining ekspertlari telemeditsinaga oid servislar va
texnik vositalarni tahlil qilib, havotirli xulosaga keldilar – kasal va
shifokor orasidagi bogʻlanish aksariyat holatlarda zaif hisoblanadi.
Ushbu muammoni shifrlashni qoʻllagan holda bartaraf etsa boʻladi,
biroq, telemeditsina uchun allaqachon zaif shifrlanmagan protokolli
asboblardan foydalanilmoqda. Surunkali ogʻir kasalliklari boʻlgan
odamlar egnida olib yuruvchi qurilmalar ularning sogʻligi uchun alohida
xavf tugʻdiradi, bular insulin pompalari va kardiostimulyatorlar. Zaif
simsiz uzatkichlar kardiostimulyatorlar va defibrillyatorlarga topshiriq
yuborishi mumkin, qurilmalarning koʻpchiligi esa 830 voltgacha boʻlgan
tokni generatsiya qila olishi mumkin. Koʻpchilik davlatlarda bunday
qurilmalarning sifati uchun toʻgʻridan-toʻgʻri javob beradigan mutasaddi
idoralar mavjud emas.
Kengayib borayotgan “buyumlar interneti”ga oid boʻlgan yana bir
masala, bu foydalanuvchilarning gʻayrirasmiyligi masalasidir. Gap
shundaki, “aqlli” qurilmalar oʻz egalari toʻgʻrisida anchagina miqdorda
maʻlumot toʻplaydi. Qurilmalar egalari haqida, ularning ishlab
chiqaruvchilari ham aynan nimani bilishlari ustidan deyarli nazorat qilib
boʻlmay qoldi.
Noqulay, biroq optimistik ssenariyda ushbu maʻlumotlar reklama
beruvchilarga
sotilishi
mumkin.
Ammo
ushbu
maʻlumotlar
qonunbuzarlar qoʻliga tushib qolsa vaziyat boshqa koʻrinish olishi
turgan
gap.
Bunday
qurilmalardan
olingan
maʻlumotlar
foydalanuvchining maksimal darajadagi toʻliq va batafsil “portreti”ni
shakllantirib berishi mumkin. Bugungi kunning oʻzida Shodan xizmati
yordamida ancha keng miqdordagi veb-kameralardan video tomosha
qilish mumkin. Foydalanuvchilar allaqachon ushbu xizmat orqali
banklar, kollej va maktablarni, politsiya xodimlarining buzilgan
kameralaridan translyasiyalarni, xususiy uylar va bebi-monitorlar
“kuzatuvi” dagi uxlayotgan koʻp sonli yosh bolalarni tomosha qilish
yoʻllarini aniqlab topganlar.
Bundan tashqari, koʻpchilik foydalanuvchilar bu vaziyat bilan
bogʻliq boʻlgan davlatning oʻz fuqarolari ustidan kuzatib yurish
holatlarining koʻpayib ketishidan havotirdalar. Koʻp davlatlarning
290
maxsus xizmatlari tahmin qilinayotgan qonunbuzarlarni asossiz
kuzatuvga olganliklari va raqamli sohadagi vakolatlaridan haddan ortiq
foydalanganliklari sababli tanqid ostida koʻp qolmoqdalar. Bu borada
uylarimizdagi “aqlli” qurilmalarimiz anchagina katta boʻlgan hajmdagi
maʻlumotlarni taqdim etmoqda. Misol tariqasida AQSHning Arkanzas
shtatida sodir boʻlgan voqeani keltirib oʻtamiz. Xonadon egasi
tomonidan Amazon kompaniyasidan sotib olingan aqlli kolonka
mudxish qotillikning “guvohi”ga aylandi. Tergov olib boruvchilar ushbu
qotillikni xonadon sohibi sodir etgan deb hisoblamoqdalar. Amazon
Echo kolonkasi ovozli boshqaruvga ega va muvofiq ravishda uyda roʻy
berayotgan barcha narsalarni eshitadi va yozib oladi. Kolonkadan
tashqari politsiya ashyoviy dalil sifatida “aqlli uy”ning boshqa
qurilmalaridan ham foydalangan: termostat, signalizatsiya tizimi va suv
oʻlchagichdan.
“Internet buyumlar” bilan bogʻliq muammolar barchaga maʻlum,
biroq ularning yyechimini tezlik bilan topishga hozircha imkon mavjud
emas. Bunga qaramay, bu yoʻnalishda siljishlar kuzatilmoqda. Yaqindan
boshlab davlatlar ushbu mavzu bilan jiddiy shugʻullana boshladilar.
Masalan, Rossiyada 2017 yilda industrial internetga oid normativ-
huquqiy bazani yaratish boʻyicha harakatlar boshlab yuborildi.
Jumladan, uskunalar va dasturiy taʻminot darajasida maʻlumotlarni
toʻplash infratuzilmasiga talablar ishlab chiqilgan va maʻlumotlarni
toʻplash, ishlov berish va saqlash tartiblari belgilangan. Amerika
hukumati ham borgan sari IoT-qurilmalariga tegishli muammolar bilan
koʻproq shugʻullana boshlagan. Xususan, AQSHning Ichki xavfsizliki
vaziri va Ichki xavfsizlik departamenti ishlab chiqaruvchilarni
qurilmalarni xavfsizliklarini, yuqorida keltirib oʻtilgan DNS-
provayderga uyushtirilgan DDoS-hujumdan soʻng maksimal darajada
taʻminlashlariga chaqirdilar.
2017 yilda Toshkent shaxrida «ICTWEEK Uzbekistan – 2017»
axborot-kommunikatsiya texnologiyalari haftaligi doirasida Xalqaro
elektraloqalar ittifoqining «IoT» buyumlar interneti sohasi kiber
xavfsizligining muhim masalalariga bagʻishlangan hududiy seminar
oʻtkazildi.
Oʻzbekiston Axborot texnologiyalari va kommunikatsiyalarni
rivojlantirish vazirligi hamda Xalqaro elektraloqalar ittifoqi tomonidan
tashkil etilgan tadbirda Oʻzbekiston, Moldova, Ukraina, Qozogʻiston,
Rossiyadan olim va mutaxassislar, «Cisco», «ZTE», «Huawei»,
«Microsoft», «Softline» kompaniyalari vakillari ishtirok etdilar. Ilmiy-
291
texnik taraqqiyot internet-texnologiyalaridan foydalanish koʻlamini
kengaytirish imkonini beradi. Hozirgi vaqtda elektr jihozlarining soʻnggi
modellariga internet tarmogʻiga ulanish imkonini beruvchi uskuna va
moslamalar oʻrnatilmoqda. Bu jihozlarni loyihalash va foydalanishda
axborot xavfsizligini taʻminlash majburiy talablardan biridir. SHu
jihatdan Oʻzbekistonda elektron uskuna va tizimlar kiber xavfsizligini
oshirish yuzasidan salmoqli ishlar amalga oshirilmoqda. Seminarda
kiber xavfsizlik masalalarida davlat va xalqaro hamkorlikning ahamiyati
xaqida soʻz yuritildi. Axborot xavfsizligi butun dunyoda AKT barqaror
rivojlanishining muhim tamoyillaridan biri ekani tan olingan. Har bir
davlatda kiber tahdidlarga qarshi kurashuvchi mexanizm va tashkilotlar
shakllantirilgan yoki shakllantirilmoqda.
Prezidentimizning
2017
yil
29
avgustdagi
«Axborot-
kommmunikatsiya texnologiyalari sohasida loyiha boshqaruvi tizimini
yanada
takomillashtirish
chora-tadbirlari
toʻgʻrisida"gi qaroriga
muvofiq, Oʻzbekistonda Axborot xavfsizligi va jamoat tartibini
taʻminlashga koʻmaklashish markazi tashkil etildi. Markazning vazifasi
axborot xavfsizligiga raxna solayotgan zamonaviy tahdidlar haqida
maʻlumot yigʻish, ularni tahlil qilish va saqlash, davlat tashkilotlarining
axborot tizimlari, maʻlumotlar zaxirasi va bazasiga noqonuniy kirishning
oldini olishga qaratilgan samarali tashkiliy va dasturiy-texnik
yechimlarni qabul qilish boʻyicha taklif va tavsiyalar ishlab chiqishdir.
Zero, hech qanday chegara mavjud boʻlmagan internet olamidagi
kiberjinoyatlar tobora xalqaro tus olmoqda. Bu tahdidlarga qarshi
kurashish uchun Markaziy Osiyo davlatlari orasida birinchi boʻlib
Oʻzbekiston axborot va kommunikatsiya texnologiyalari sohasida
xalqaro xavfsizlik tizimiga qoʻshildi.
| 