Muvofiqlashtirilmagan pentes xavfi
Andrey Kozlov, Offbox Cybersecurity kompaniyasining axborot xavfsizligi bo‘yicha bosh direktori:
“Kompaniyalar ko‘pincha zaifliklar haqida xabar beruvchi “ko‘ngilli” xakerlar bilan to‘qnash keladi. Bir qarashda bu olijanob tuyuladi, ammo bunday harakatlar qonun, axloqni buzadi va biznes uchun jiddiy oqibatlarga olib kelishi mumkin”.
Asosiy xavflar:
Ko‘pgina mamlakatlarda, jumladan, O‘zbekistonda tizimlarga ruxsasiz kirish qonun hujjatlari bilan tartibga solinadi. Masalan, O‘zR JKning 2782-moddasi “Kompyuter axborotidan qonunga xilof ravishda (ruxsatsiz) foydalanish”, 2784-moddasi “Kompyuter axborotini modifikatsiyalash”, 2786-moddasi “Zararli dasturlarni yaratish, ulardan foydalanish yoki ularni tarqatish” (ma’lumotlarni ruxsasiz yo‘q qilish, blokirovka qilish, modifikatsiyalash, nusxalash yoki olib qo‘yish maqsadida) qonun bilan qo‘riqlanadigan axborotdan qonunga xilof ravishda foydalanish uchun javobgarlikni nazarda tutadi. Qoidabuzarlar oqibatlarning og‘irligiga qarab jarima (100 BHMgacha), axloq tuzatish ishlari yoki 1 yildan ozodlikdan mahrum qilish bilan jazolanadi.
Qo‘shimcha xavf
Xakerlar ko‘pincha ma’lumotlardan g‘arazli maqsadlarda foydalanishi mumkin. Shuningdek, tashkilotning butun kompyuter tizimining yaxlitligiga tahdid soladi (“Kompyuter sabotaj”ning 2785-moddasi). Xakerlar xizmat kompyuter uskunalarini ishdan chiqarish, kompyuter tizimini buzish bilan tahdid qilmoqda.
Etik pentest: xavfsizlik standarti va sertifikatlash
Axloqiy pentest faqat tizim egasining roziligi bilan o‘tkaziladi. PTES (Penetration Testing Execution Standard) xalqaro standartida bunday testlarni o‘tkazish uchun aniq talablar belgilangan.
Asosiy jihatlar:
Barcha harakatlarni muvofiqlashtirish. Tizim egasining ruxsatisiz har qanday harakatlar noqonuniy hisoblanadi.
Shaffoflik va hujjatlashtirish. Professional kompaniyalar to‘liq hisobot taqdim etadi va har bir qadamni buyurtmachi bilan kelishib oladi.
Maxfiylik kafolati.
Kirish uchun test xizmatlarini taklif qiluvchi professional kompaniyalar ega bo‘lishi kerak bo‘lgan sertifikatlar va kompetensiyalar:
Mutaxassislar sertifikatlari:
CEH (Cyertified Ethical Hacker): buzg‘unchilik metodologiyasini tushunish uchun bazaviy daraja.
OSCP (Offensive Security Cyertifiyed Professional): ko‘nikmalarni amalda qo‘llashga e’tibor qaratilgan yuqori daraja.
GPEN (GIAC Penetration Tester): kirish testi sohasidagi malakani tasdiqlovchi sertifikat.
CISSP (Cyertifiyed Information Systems Security Professional): axborot xavfsizligi sohasida umumiy darajadagi ekspertizani tasdiqlaydi.
Xalqaro standartlarga muvofiqligi:
ISO/IEC 27001: axborot xavfsizligini boshqarish tizimlari.
PTES (Penetration Testing Execution Standard): pentestlarni bajarish standartlari.
Kompaniya vakolatlari:
Yirik tashkilotlar bilan ishlash va turli murakkablikdagi loyihalarni bajarish tajribasiga ega bo‘lish.
Xavflarni tahlil qilishdan tortib aniqlangan zaifliklarni bartaraf etishgacha bo‘lgan xizmatlarning to‘liq siklini ta’minlash.
Ishning barcha bosqichlarida maxfiylik va ma’lumotlarni himoyalash kafolati.
Ushbu imtiyozlar sertifikatlangan kompaniyalarni, ayniqsa, ishonchli himoya va uzoq muddatli obro‘ga ega bo‘lgan tashkilotlar uchun pentestlar o‘tkazish uchun eng yaxshi tanlovga aylantiradi.
Xakerlar sizga murojaat qilganda nima qilish kerak?
Agar sizning kompaniyangiz ruxsasiz pentestga duch kelsa:
Hamkorlikka kirishmang. Zararkunandalar harakatlarining qonuniyligini tan olmang.
Dalillarni to‘plang. Yozishmalarni saqlang, skrinshotlar, audio yozuvlar va boshqa materiallarni oling.
Huquqni muhofaza qiluvchi organlarga murojaat qiling. Bu keyingi hujumlarning oldini olish va aybdorlarni jazolashga yordam beradi.
Voqeani tahlil qiling. Tizimlarni aralashuv izlari bor-yo‘qligiga tekshiring.
Xavfsizlikni kuchaytiring. Aniqlangan zaifliklarni bartaraf eting va hodisalarga qarshi ichki siyosatlarni qayta ko‘rib chiqing.
Advokat maslahati
Yurist Xolboyev Nodir Tohirovich qonun hujjatlariga rioya qilish muhimligini ta’kidlaydi va kompaniyalar uchun quyidagi tavsiyalarni taklif qiladi:
Muvofiqlashtirilmagan pentestga javob siyosati (buzishga urinish)
Tashkilotlar agar kimdir ularning tizimlarini ruxsasiz sinab ko‘rishga urinsa (xakerlik hujumi), harakatlar algoritmini oldindan tayyorlashi kerak. Kompaniya rahbariyati dalillar bazasini to‘plab, huquqni muhofaza qiluvchi organlarga murojaat qilishi kerak
Pudratchilar bilan shartnomalar tuzish
Pentestlarni o‘tkazish uchun shartnomalar aniq shartlarni o‘z ichiga olishi kerak: muddatlar, ishlar hajmi va tomonlarning javobgarligi. Bunday yondashuv xavflarni minimallashtiradi.
Dalillar bazasini to‘plash
Agar hisobot tekshiruvchi bilan kelishmasdan olingan bo‘lsa, murojaatning barcha tafsilotlarini qayd etib, zarurat tug‘ilganda huquqni muhofaza qiluvchi organlarga taqdim etish lozim. Yozishmalardan nusxa oling (yozishmalar, skrinshotlarni eksport qiling, agar audio formatda bo‘lsa, suhbatni diktofonga yozib oling). Bu dalillarning barchasi sizga regulyatorlar va organlarga ariza bilan murojaat qilishda kerak bo‘ladi. Qanday bo‘lmasin, bunday hodisa yuz berganda, organlarga murojaat qilishni maslahat beraman, chunki bu jinoyatchilarning jazosiz harakat qilishiga yo‘l qo‘ymaydi va kompaniyangizni keyingi xavflardan saqlaydi.
Nima uchun professionallarni tanlash muhim?
Sertifikatlangan mutaxassislar tomonidan pentestlar o‘tkazish nafaqat xavflarni kamaytiradi, balki kompaniyaga sezilarli afzalliklarni ham beradi:
Qonunchilikka muvofiqligi. Ishlar qat’iy qonun doirasida olib borilmoqda.
Sifat va natijaviylik. Sertifikatlangan mutaxassislar ham texnik, ham tashkiliy zaifliklarni aniqlaydilar.
Jarayonning shaffofligi. Har bir bosqich buyurtmachi bilan kelishiladi va test natijalari tushunarli hisobotga rasmiylashtiriladi.
Professional kompaniyalar xalqaro standartlar bo‘yicha ishlaydi va ishonsa bo‘ladigan himoyani ta’minlaydi.
Xulosa
Kelishilmagan pentestlar (xakerlik hujumlari) muammoni hal qilish emas, balki yangilarini yaratishdir. Ular qonunlarni buzmoqda, xavfsizlikka tahdid solmoqda va ishonchga putur yetkazmoqda. O‘z biznesingiz va obro‘yingizni himoya qilish uchun qonun hujjatlariga rioya qiladigan, kerakli sertifikatlarga ega va axloqiy standartlarga rioya qiladigan mutaxassislarni tanlang.
Kamilla Fayziyeva tayyorladi
