1.2. Kiberxavfsizlikda inson omili
Foydalanuvchilarga kiberxavfsizlik tizimidagi eng zaif nuqta
sifatida qaraladi. Foydalanuvchilar tomonidan har qanday yuqori
darajadagi xavfsizlik ham buzilishi mumkin. Masalan, Bob
amazon.com onlayn do‘konidan biror narsani sotib olmoqchi, deylik.
Buning uchun Bob turli kriptografik usullarga tayanadigan SSL (Secure
Sockets Layer) protokoli yordamida Amazon bilan ishonchli bog‘lanish
uchun web-brauzerdan foydalanishi mumkin. Ushbu protokol barcha
zarur amallar to‘g‘ri bajarilganida kafolatli xavfsizlikni ta’minlaydi.
12
Biroq, ushbu protokolga qaratilgan ba’zi hujum turlari (O‘rtada turgan
odam hujumi, Man-in-the-middle attack) mavjudki, ularning amalga
oshishi uchun foydalanuvchi “ishtiroki” talab etiladi (1.4-rasm). Agar
foydalanuvchi xavfsiz holatni tanlasa (
Вернуться к безопасной
странице) hujum amalga oshmaydi. Biroq, foydalanuvchi tomonidan
xavfsiz bo‘lmagan tanlov (
Перейти на сайт …. (небезопасно)) amalga
oshirilganida hujum muvaffaqiyatli tugaydi. Boshqacha aytganda,
yuqori xavfsizlik darajasiga ega protokoldan foydalanilganda ham
foydalanuvchining noto‘g‘ri harakati sababli xavfsizlik buzilishi
mumkin.
Odatda foydalanuvchilar esda saqlash oson bo‘lgan parollardan
foydalanishga harakat qiladilar. Biroq, bunday yo‘l tutish buzg‘unchi
uchun parollarni taxminlab topish imkoniyatini oshiradi. Boshqa
tomondan, murakkab parollardan foydalanish va ularni turli
eltuvchilarda saqlash (masalan, qog‘ozda qayd etish) esa, ushbu
muammoni yanada kuchaytiradi.
Bu misollar inson omili tufayli turli joylar va holatlarda xavfsizlik
muammolarining kelib chiqishi mumkinligini ko‘rsatadi. Inson omili
tufayli yuzaga keladigan xavfsizlik muammolariga ko‘plab misollar
keltirish mumkin. Biroq, keltirilgan holatlardagi eng muhim jihat
shundaki, xavfsizlik nuqtai nazaridan “tenglamadan” inson omilini olib
tashlash zarur. Boshqacha aytganda, inson omili ishtirok etmagan
tizimlar ishtirok etgan tizimlarga nisbatan xavfsizroq bo‘ladi.
1.4-rasm. SSL protokolidagi xavfsizlik ogohlantirishi
13
Eng muhim inson omillariga quyidagilar taalluqli:
− Kiberxavfsizlik sohasiga oid bilimlarni yetishmasligi katta
hajmdagi oshkor zaifliklarni paydo bo‘lishiga olib keladi.
Kiberxavfsizlik sohasi an’anaviy xavfsizlikka aloqador bo‘lgani bois,
zarur texnologik moslashishning tezkorligi ko‘p hollarda bo‘lishi
mumkin bo‘lgan zaifliklar sonini oshiradi. Boshqa tomondan, insonning
sohaga tegishli so‘nggi texnologik bilimlarni o‘zlashtirishi har doim ham
yetarli bo‘lmaydi.
− Risklarni bartaraf etishni va ular haqida xabar berishning
yetarli bo‘lmasligi kiberxavfsizlikda takrorlanuvchi va kutilmagan
buzilishlarga sababchi bo‘ladi. Insonlar odatda tashkilotlariga jiddiy
xavf soluvchi risk mavjudligini bilishsada, uni oshkor qilishmaydi.
Buning asosiy sababi sifatida risk bevosita shaxsning o‘ziga, uni
moliyaviy holatiga ta’sir etmasligini yoki oshkor qilinganida shaxsning
obro‘si tushishini keltirishadi.
− Madaniyat va munosabatlardagi muammolarga tashkilotning
o‘zi yoki tashkilot ichki ma’lumotlarini biluvchi norozi va e’tiborsiz
xodimning paydo bo‘lishi sababchi bo‘lishi mumkin. Kiberxavfsizlik
muammolarining aksariyati ichki hisoblanib, ular xodimlar orasidagi
turli kelishmovchiliklar va tashkilot ichidagi muhitning yaxshi emasligi
natijasida yuzaga keladi. Bu sabablar esa, xodimning tashkilot ichki
strukturasini yaxshi bilgani bois, aksariyat hollarda jiddiy muammolarga
olib keladi.
− Xavfsizlik mashg‘ulotlariga kam mablag‘ sarflanishi
boshqarilayotgan xavfsizlik risklari to‘g‘risidagi ma’lumotning kamligi
sababchi bo‘ladi. Odatda, soha korxonalaridagi xodimlar mustaqil
ravishda kiberxavfsizlik qoidalarini o‘rganishmaydi. Shuning uchun
kiberxavfsizlik qoidalarini xodimlarga maxsus mashg‘ulotlar shaklida
yetkazish zarur bo‘ladi. Bu esa tashkilotdan xavfsizlik mashg‘ulotlariga
yetarlicha mablag‘ sarflanishni talab qiladi.
− Hisobga olish nuqtasining yagona emasligi natijasida
xavfsizlikning to‘laqonli amalga oshirilmasligi kuzatiladi. Amalda
xavfsizlikni kafolatli ta’minlashda uning nazoratini bir nuqtada amalga
oshirish muhim hisoblanadi. Yagona nuqtada amalga oshirilgan
xavfsizlik nazorati taqsimlangan shakliga nisbatan ishonchli bo‘ladi.
Biroq, tashkilotlardagi xavfsizlik nazoratining murakkabligi bois,
nazorat odatda taqsimlangan holda boshqariladi.
14
− Ijtimoiy injineriya asosida xavfsizlik nazoratini aylanib o‘tishda
foydalanuvchidan, an’anaviy josuslik texnikasi yordamida, ma’lumotlar
qo‘lga kiritiladi. Eng yaxshi kiberxavfsizlik tizimiga ega bo‘lgan
tashkilotga ham ijtimoiy injineriya tahdidi xavf solishi mumkin.
Ayniqsa, foydalanuvchilarni turli ijtimoiy tarmoqlarda shaxsiy
ma’lumotlarini e’tiborsizlik bilan qoldirishi bu xavfning keskin ortishiga
sababchi bo‘lmoqda.
|