QLOBALLAŞMA İLƏ DİNAMİK RƏQƏQMSALLAŞMA KONTEKSTİNDƏ KİBER TƏHLÜKƏSİZLİK VƏ KRİTİK İNFRASTRUKTUR
Rəqəmsallaşmanın böyük templə öyrənilməsi, qlobal şəkil alması və sənaye sahəsində informasiya sistemlərinin rolunun əsas elementlərindən birinə çevrilməsi ilə infrastruktur obyektlərinin coğrafi baxımdan səpələnmiş və geniş əraziyə yayılmış idarəetmə strukturu üçün uzaqdan nəzarət və giriş sistemlərindən istifadə etmək zərurətə çevrilmişdir. Ölkələrin əməkdaşlıq və inteqrasiya səyləri kompüter sistemlərinin səmərəli şəkildə istifadəsi sayəsində asanlaşmış və sürətlənmişdir.
Kritik infrastrukturlar dövlət və təchizat infrastrukturu üçün həyati əhəmiyyət kəsb edən, prosesləri asanlaşdırıcı rəqəmsallaşdırılmış strukturlardır. Bu infrastrukturlar elektrik enerjisi istehsalı, ağıllı yollar, körpülər, tunellər kimi nəqliyyat sistemləri, hava yolu və hava hərəkətinə nəzarət sistemləri, rabitə şəbəkələri, su saxlama və paylama sistemləri, qida anbarları, tibb və səhiyyə sistemləri, maliyyə, bank və ticarət sistemləri kimi qruplaşdırıla bilər. Bu sistemlər bütün təbii fəlakətlərin, müharibələrin, iğtişaşlar kimi sosial böhranların və ya terror hərəkətlərinin hədəfi ola bilər. Son illərdə kritik infrastrukturlara edilən hücum cəhdlərinə nəzər saldıqda, bu hücumların əksəriyyətinin kommunikasiya infrastrukturu və ya kommunikasiya infrastrukturu vasitəsilə digər kritik infrastrukturları hədəf aldığı qeyd oluna bilər.[1]
Rəqəmsallaşma sahəsindəki innovasiyanın kritik infrastrukturların davamlı və təkmilləşdirilə bilən olması yönündə mühüm yeniliklərə səbəb olduğu, bunun nəticəsində də daha əvvəl yaşanmamış yeni sui-istifadə hallarının olması dəfələrlə müşahidə edilmişdir. Bütün dünya ölkələri bu texnologiyaların səbəb ola biləcəyi zəif nöqtələrə məhəl qoymadan yeni texnologiyalara inteqrasiya olmağa çalışırlar. Halbuki, bu rəqəmsallaşma prosesində hər bir ölkənin texnoloji aktivlərinin imkanları, qabiliyyəti və prosesə hazır olma imkanları aşağıdakı cədvəldən də göründüyü kimi fərqlənir. Bəzi ölkələr yüksək templi prosesə uyğunlaşa bilsə də, bəziləri bu vəziyyətdən əziyyət çəkir.[2]
İstifadə olunan informasiya sistemlərinin qorunması üzrə risklərin analizi və bu istiqamətdə sistemi təşkil edən komponentlərin müəyyən edilməsi sonra bu komponentlərin bir-biri ilə əlaqəsini və onların əlçatanlığını əks etdirən proses diaqramlarının yaradılması və komponentlərin informasiya sistemləri baxımından kritiklik və əhəmiyyətlilik dərəcələrinə görə taktiki, operativ və strateji səviyyələrə görə qruplaşdırılmasıdır. Əlçatanlıq matrisi yaradıldıqda və səviyyə qruplaşdırılması aparıldıqda, risklərin qiymətləndirilməsi prosesi başa çatdıqdan sonra riskin azaldılması prosesində ilk müdaxilə ediləcək komponentlər, xətanın aşkar edildiyi bölməyə daxil olan (əlaqəsi olan) digər sistemlər müəyyən edilməklə digər sistemlərin təhlili çərçivəsindən çıxarılır. Beləliklə, reaksiya müddəti qısalaraq və sistemlərin görəcəyi zərər minimum səviyyəyə endirilmiş olur31. Aparılan bu test və təhlillər nəticəsində kritik hesab edilən informasiya sistemləri infrastrukturunda situasiya məlumatlılığının yaranması təmin edilə bilər.
Hal-hazırda isə istifadəçilərin əksəriyyətinin koronavirus epidemiyası səbəbilə iş, alış-veriş və təhsil kimi gündəlik fəaliyyətlərini elektron şəraitə köçürməsi ilə 2020-ci ilin kiberhücumlar baxımından çox aktiv bir il kimi tarixə yazıldığı deyilə bilər. Kiberhücumlar artıq çox geniş potensial qurban kütləsinə nüfuz edə bilir. Dünyada rəqəmsallaşma prosesi davam etdikcə, rəqəmsal mühitdəki təhdidlərin miqyası və sayı da eyni templə artır.
Kritik informasiya sistemlərinin infrastrukturunun təhlükəsizliyini təmin etmək üçün zəruri olan məsələlərdən biri də kritik infrastrukturun idarə edilməsinə cavabdeh olan dövlət və özəl qurumlar arasında məlumatların təhlükəsiz mübadiləsi şəbəkələrinin yaradılmasıdır. Xüsusilə inteqrasiya olunmuş sistemlər nəzərə alındıqda, müəyyən bir sistemdə baş verən və ya sistemə edilən hücum cəhdində digər infrastrukturlar da təsirə məruz qalacağı üçün təhlükəsiz şəbəkə vasitəsilə qabaqlayıcı xəbərdarlıq/siqnal sisteminin qurulması infrastrukturların hadisəyə müdaxilə etməsini və tədbir görməsini sürətləndirəcək. Bu sistemlərə misal olaraq aşağıdakıları göstərmək olar:
• Avropa İttifaqının Kritik İnfrastruktur Xəbərdarlığı Üzrə Məlumat Şəbəkəsi (Critical Infrastructure Warning Information Network-CIWIN)[5]
• ABŞ Daxili Təhlükəsizlik Departamenti (Department of Homeland Security-DHS) tərəfindən işlənib hazırlanmış CWIN [6]
• Avstraliya Kritik İnfrastrukturların Mühafizəsi üzrə Etibarlı Məlumat Paylaşma Şəbəkələri-(Trusted Information Sharing Networks for Critical Infrastructure Protection-TISNCIP)[7]
Rəqəmsallaşmada infrastruktur təhlükəsizliyi məsələlərinə gəldikdə, baş verən bu proseslər nəticəsində təhlükəsizlik proseslərinə bu gün daha çox fərdi və korporativ təhlükəsizlik tədbirləri kimi yanaşılmış və həll yolları da əsasən belə yanaşma ilə işlənib hazırlanmışdır. Bundan əlavə, təhlükəsizlik həlləri və təkmilləşdirilən avadanlıqlar da bu sahələrdəki siyasət və strategiyalara uyğun perspektivlərlə strukturlaşdırılmağa çalışılmışdır. Mövcud vəziyyətdə ölkələrnin təhlükəsizliyi, e-hökumətin təhlükəsizliyi və kritik təchizat zəncirlərinə aid infrastrukturların təhlükəsizliyi kimi anlayışlar bu ehtiyacların nəticəsi kimi ortaya çıxmışdır.
Ümumilikdə təhlükəsizlik problemləri ilə bağlı həll yolları işləyib hazırlamaq üçün İnformasiya Sistemlərinin Təhlükəsizliyi Tədbirləri mövzusu bu gün ciddi məsələ kimi yanaşmanın tələb olunduğu amilə çevrilmişdir. Qurumların informasiya sistemlərinin təhlükəsizliyini təmin etmək üçün aşağıda bəhs edilən təhlükəsizlik tədbirləri ilə bağlı siyasət və strategiyalarının işlənib hazırlanması və struktur daxilində tətbiqi məcburi xarakter almışdır.
Dövlətlər tərəfindən kibertəhlükəsizliklə bağlı gələcəyə yönələn addımlar atılmaqdadır. Lakin bu o demək deyil ki, bu gün təhlükənin miqyası kiçikdir. Beynəlxalq təşkilatlar tərəfindən aparılan təhlillərin nəticəsinə əsasən, kibercinayətkarlıq və kiberinsidentlər nəticəsində dünya iqtisadiyyatına dəyən illik zərər hazırda 1 trilyon ABŞ dollarından çoxdur. Bu göstəricinin 2025-ci ilə qədər 10 trilyon ABŞ dollarına yüksələcəyi təxmin edilir. Bu, ABŞ və Çindən sonra dünyanın üçüncü iqtisadiyyatı olmağa namizəd məbləğdir. Sadalananlar kibertəhlükəsizliyin təmin olunmasını dövlətlər üçün prioritet məsələlərdən birinə çevirib. Bu isə öz növbəsində ölkələr səviyyəsində hüquqi, təşkilati, texniki və texnoloji məqamları nəzərdə tutan ümummilli yanaşmanın formalaşdırılmasını tələb edir.
“Kritik Infrastruktur” və Kiber Təhlükəsizlik: Bu gün informasiya və kommunikasiya texnologiyaları həyatımızın ayrılmaz tərkib hissəsinə çevrilmişdir. COVID-19 epidemiyası ilə birlikdə, uzaqdan işləmə və təhsil modelinin özü ilə gətirdiyi yeni dünya ilə internetdən asılılığımız get-gedə daha da artır. Belə asılılıq prosesindən ən effektli şəkildə istifadə edilə bilməsi üçün təhlükəsizlik amili inkaredilməz xarakter almışdır. Bu təhlükəsizlik strukturu formalaşdırıldığı zaman yalnız dövlət yönümlü strukturdan daha çox dövlət, özəl sektor və fərdlər arasında əməkdaşlığa əsaslanan struktur yaradılmalıdır. Kibertəhlükəsizlik anlayışına sadəcə kritik infrastrukturların qorunması və ya casusluq fəaliyyətinin həyata keçirildiyi sahə kimi baxılmamalıdır. Kibertəhlükəsizliyin nüfuz etdiyi sahələr iqtisadiyyatdan diplomatiyaya, beynəlxalq hüquqdan daxili təhlükəsizliyə qədər bir çox sahələri əhatə edir.
Abraham Maslovun ehtiyaclar piramidası sisteminə görə fizioloji tələbatlardan sonra ikinci ən əsas tələbat - təhlükəsizliklə bağlı tələbatdır. Təhlükəsiz mühitdə olmaq ehtiyacı təmin olunmadan növbəti ehtiyacın təmin edilməsi mümkün hesab edilmir. Maslovun da öz nəzəriyyəsində qeyd etdiyi kimi, hər mənada təhlükəsiz olmaq insanların əsas ehtiyacıdır.3 Elə bütün bunlara görə də kiber sahədə təhlükəsiz olmaq şəxsiyyətin təbiətindən irəli gələn bir zərurətdir. Kiber dünyanın inkişafına paralel olaraq bu kiber mühit hücumlara və təhdidlərə açıq vəziyyətə gəlmiş, müxtəlif təşkilatların fəaliyyət və təbliğat kanalına çevrilmişdir. [8]Yaranan belə bir xoşagəlməz mənzərədə kiber təhlükəsizlik və müdafiə işləri beynəlxalq səviyyədə əhəmiyyət kəsb etmişdir.
Klassik təhlükəsizlik anlayışından imtina etməyə məcbur olan şəxslər, dövlətlər və təşkilatlar inkişaf edən bu kiber dünyanın təhlükəsizlik anlayışına uyğunlaşmaq məcburiyyətində qalmışlar. Xüsusilə də kritik infrastruktur işlərinin bu texnoloji inteqrasiyaya daxil olması ilə kiber hücumların təsirləri gözlənilməz səviyyələrə gəlib çatmışdır. Bu hücumlara qarşı kiber təhlükəsizlik və müdafiə işləri sürətləndirilmiş, həmçinin bu hücumu təşkil edən pis insanların, dövlətlərin və təşkilatların cəzasız qalmaması üçün yeni qanun yaradılması məcburi hal almışdır. Kiber təhlükəsizlik anlayışı texnologiyanın sürətli inkişafı ilə birlikdə insanların, qurumların, təşkilatların və dövlətlərin gündəliyində olan ən mühüm məsələyə çevrilmişdir. 2000-ci illərdə bu texnoloji inteqrasiyanın fərdlər səviyyəsinə enməsi ilə bu anlayışın əhəmiyyəti danılmaz faktora çevrilmiş və bu tendensiya gələcəkdə daha da artacaq. Məlumat üçün qeyd edək ki, hazırda qlobal kibertəhlükəsizlik bazarının həcmi 217,9 milyard ABŞ dolları təşkil edir və 2026-cı ilə qədər bu göstəricinin 345,4 milyard ABŞ dollarına çatacağı proqnozlaşdırılır. Rəqəmlər göstərir ki, kibertəhlükəsizlik həllərinə və xidmətlərinə tələbat mütəmadi şəkildə artmaqdadır.[9]
Qlobal Kiber Təhlükəsizlik İndeksi[10] 194 üzv ölkə üzrə Beynəlxalq Telekommunikasiya İttifaqı tərəfindən keçirilən anket sorğuları nəticəsində müəyyən meyarlar əsasında qiymətləndirmənin aparıldığı hesabatdır. Qlobal Kiber Təhlükəsizlik İndeksi 5 əsas qrup çərçivəsində 25 fərqli qiymətləndirmə ilə, qrupların müxtəlif çəki nisbətləri əsasında hazırlanan hesabatdır. Bu beş əsas göstərici aşağıdakılardır:
1) Hüquqi tədbirlər,
2) Texniki tədbirlər,
3) Təşkilati tədbirlər,
4) Bacarıqların artırılması,
5) Əməkdaşlıq
Qlobal Kibertəhlükəsizlik İndeksinin məqsədləri aşağıda təqdim olunur:
• Qlobal kibertəhlükəsizlik mədəniyyətini inkişaf etdirmək,
• Ölkələrin kibertəhlükəsizlik sahəsində mövcud bacarığını üzə çıxarmaq,
•Ölkələri kibertəhlükəsizlik sahəsində çatışmayan cəhətlərini aradan qaldırmağa həvəsləndirmək,
• Ölkələrin kibertəhlükəsizlik sahəsindəki inkişaf səviyyələrini qlobal və regional nöqteyi-nəzərdən qiymətləndirmək.
Bu gün kibertəhlükəsizlik artıq milli təhlükəsizlik strategiyalarında da müzakirə olunan bir anlayışa çevrilmişdir. Xüsusilə son bir neçə ildə rəhbər şəxslərin də mütəmadi olaraq kibercinayət və kibercasusluğun hədəfinə çevrilmələri diqqəti bu sahədə olan problemə cəlb edir və bu sahəyə daha çox investisiya qoyulmasını zəruri edir. Kibercinayətlər cinayət törətməyin xüsusi vasitəsi olmaqdan çıxmış, informasiya sistemlərinə qarşı işlənən cinayətlərlə yanaşı, saxtakarlıq, təhqir, dələduzluq, şəxsi həyatın toxunulmazlığı və şəxsi məlumatlara qarşı cinayətlər kimi bir çox cinayət növü çox vaxt informasiya sistemləri vasitəsilə törədilən cinayətlərə çevrilmişdir.
Texnologiyanın davamlı inkişafı ilə yanaşı, kibertəhlükəsizlik sahəsindəki yeniliklər o qədər sürətlə baş verir ki, görülən tədbirlər və aparılan hüquqi tənzimləmələr kifayət etmir. İnformasiya sistemlərinə qarşı təhdidlər və ehtiyaclara uyğun olaraq qəbul edilən qərarlar gələcəkdə təhlükəsizliyin təmin olunmasında kifayət qədər effektli ola bilmir. Eyni zamanda çox sayda müxtəlif kiberhücum üsulları mövcuddur və xüsusən də şəxsi miqyasda onların əksəriyyəti məlum deyil. İnformasiya sistemləri üzrə təhlükəsizlik strategiyaları mövzunu bilən mütəxəssislər tərəfindən işlənib hazırlansa da, çox vaxt son istifadəçi bu inkişaf edən ekosistemdə olan yeni nəsil təhlükəsizlik tədbirlərindən xəbərsiz olur. Bu kontekstdə kiberməkanda olan bütün təhdidlərə qarşı dövlət, qurum və fərdlərin birlikdə hərəkət edərək, hətta dövlətlər miqyasında əməkdaşlıq edərək bütün dünyada maairflənmənin artırılması prioritet hədəf olmalıdır. Kibertəhlükəsizliyin səbəb olacağı xərclərin bu sahədəki xərclərdən daha yüksək ola biləcəyi nəzərə alındıqda, kibermüdafiəyə daha çox sərmayə ayrılmalı olduğu bilinməlidir. Çünki, nformasiya sistemlərinə edilən hücumların həm sayı, həm də onların vurduğu zərərin miqyası qarşıdakı dövrdə tədricən artacaq və həyatımızın bir parçasına çevriləcək.
Yeni texnologiya və memarlıq işlərinin şəbəkə və infrastrukturlarına nəzarət edilməsi və onların idarə olunmasında ənənəvi strukturun əhəmiyyətli dərəcədə dəyişməsi qaçılmazdır. Kiber/rəqəmsal hücumların gələcəkdə ölkələri gözləyən və onları ən çox məşğul edəcək mühüm problemlərdən biri olması strukturların əsas yol xəritələrində bu sahəyə diqqəti artıracaq. Kritik infrastrukturlara edilən hücumların təkcə proqram təminatına deyil, həm də avadanlıqların zədələnməsinə səbəb olması ilə tədarük zəncirinin işinə təsir etdiyi müşahidə edilir. Buna görə də qlobal səviyyədə bu cür hücumların vuracağı ziyanlar da nəzərə alınmalı və həyata keçiriləcək/planlaşdırılacaq işlərin məqsədəuyğunluğuna nəzarət edilməlidir.
İstifadə edilən mənbələr:
- Anas Abou El Kalam, Yves Deswarte, Amine Baina, Mohamed Kaaniche, PolyOrBAC: A security framework for Critical Infrastructures, https://www.researchgate.net/publication/235004054_PolyOrBAC_A_security_framework_for_Critical_Infrastructures
- Network Readiness Index, https://networkreadinessindex.org/2019/
- Global Cybersecurity Index, https://www.itu.int/en/ITU-D/Cybersecurity/ Pages/global-cybersecurity-index.aspx
- Critical Infrastructure Warning Information Network-CIWIN, https://ec.europa.eu/home-affairs/networks/critical-infrastructure-warning-information-network-ciwin_en
- Department of Homeland Security-DHS https://www.dhs.gov/
- Trusted Information Sharing Networks for Critical Infrastructure Protection-TISNCIP, https://www.directory.gov.au/portfolios/home-affairs/trusted-information-sharing-network-critical-infrastructure-resilience
- https://www.acarindex.com/dosyalar/makale/acarindex-1449663814.pdf
- https://report.az/ikt/sahin-eliyev-novbeti-5-ilde-azerbaycan-kibertehlukesizlik-sahesinde-ixracatci-olkeye-cevrilecek/
- ITU Global Cybersecurity Index 2018, https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf
[1]Anas Abou El Kalam, Yves Deswarte, Amine Baina, Mohamed Kaaniche, PolyOrBAC: A security framework for Critical Infrastructures,
https://www.researchgate.net/publication/235004054_PolyOrBAC_A_security_framework_for_Critical_Infrastructures
[3] Network Readiness Index, https://networkreadinessindex.org/2019/
[4] Network Readiness Index, https://networkreadinessindex.org/2019/
[5] https://ec.europa.eu/home-affairs/networks/critical-infrastructure-warning-information-network-ciwin_en
[6] Department of Homeland Security-DHS https://www.dhs.gov/
[7] https://www.directory.gov.au/portfolios/home-affairs/trusted-information-sharing-network-critical-infrastructure-resilience
[8] https://www.acarindex.com/dosyalar/makale/acarindex-1449663814.pdf
[9]https://report.az/ikt/sahin-eliyev-novbeti-5-ilde-azerbaycan-kibertehlukesizlik-sahesinde-ixracatci-olkeye-cevrilecek/
[10] Global Cybersecurity Index, https://www.itu.int/en/ITU-D/Cybersecurity/Pages/global-cybersecurity-index.aspx
[11] ITU Global Cybersecurity Index 2018, https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf