Электрон тижоратда ахборот хавфсизлигини таъминлаш масалалари

Автор:
Шохрух Рахмат
-

Бугунги кунда дунё бўйлаб Интернет фойдаланувчиларининг сони тўрт миллиарддан ортган бир пайтда янги турдаги сифат «виртуал иқтисодиёт» ибораси остида намоён бўлиб, ўз ўрнини тобора мустаҳкамлаб бормоқда. Унда, харидлар бизнес юритишнинг янги усулларидан фойдаланган ва ўзининг маркетинг стратегиясига эга бўлган ҳамда бошқа кўплаб имкониятларни қўллаган ҳолда савдо сайтлари орқали амалга оширилади. 

Электрон тижорат(ЭТ) – бу маҳсулотларни Интернет орқали сотишга йўналтирилган тадбиркорлик фаолияти. Одатда ЭТнинг икки шакли ажратилади:

  • корхоналар орасидаги савдо (business to business, B2B);
  • корхоналар ва жисмоний шахслар, яъни истеъмолчилар орасидаги савдо (business to consumer, B2С).

ЭТ қуйидаги янги ибораларни пайдо бўлишига сабаб бўлди:

  • Электрон магазин – маҳсулотга талаб бўлган ҳолатларда ишлаб чиқарувчилар ёки дилерлар томонидан фойдаланиладиган витрина ва савдо тизимлари.
  • Электрон каталог – турли ишлаб чиқарувчилар маҳсулотларининг катта ассортиментини қараб олган рўйхат.
  • Электрон аукцион – Интернет-технологияларидан фойдаланадиган, мультимедиа интерфейсига боғлиқ иловага ва Интернетга кириш каналига эга бўлган ҳамда маҳсулотларнинг хусусиятларини кўрсата оладиган классик аукцион аналоги.
  • Электрон универмаг – оддий фирмалар маҳсулотларини, ўз маҳсулот бренди билан қўядиган оддий универмаг аналоги.
  • Виртуал ҳамжамият (community)лар, уларда сотиб олувчилар ўз манфаатларининг гуруҳлари бўйича (мухлислар клублари, уюшмалар ва ҳ.к.) ташкил топади. 

ЭТ соҳасидаги Интернет жуда катта фойда келтиради:

  • йирик хусусий компаниялар томонидан хомашё ва бутловчи қисмларнинг сотиб олиниши Интернет биржалар орқали амалга оширилаётганлиги эвазига иқтисод қилиш миқдори 25-30% га етади;
  • аукционда бутун дунёдан рақобат қилувчи етказувчиларнинг иштирок этиши вақтнинг реал миқёсида улар томонидан тақдим қилинадиган маҳсулот ва хизматлар нархларининг пасайишига олиб келади;
  • бутун дунёдан сотиб олувчиларнинг рақобати натижасида сотиладиган маҳсулот ёки хизматларнинг нархини ошиши;
  • зарур ходимлар сонининг қисқариши ва қоғоз ҳужжатлар билан ишлар ҳажмининг камайиши ҳисобига иқтисод қилиш.

Ғарб мамлакатларида ЭТда етакчи поғонани В2В сектори эгаллади.

Дастлаб ўз бизнесини Интернетга ўтказган компаниялардан аппарат-дастурий воситаларни сотувчи ва компьютер ҳамда телекоммуникация хизматларини кўрсатувчилари афзалликларга эга бўлдилар.

Ҳар бир интернет-магазин иккита асосий қисмдан иборат бўлади: электрон витрина ва савдо тизими.

Электрон витрина Web-сайтда сотилаётган маҳсулотлар тўғрисида маълумотларни сақлайди, магазин маълумотлар базасига киришни таъминлайди, харидорларни рўйхатга олади, сотиб олувчининг электрон “саватчаси” билан ишлайди, буюртмаларни расмийлаштиради, маркетинг маълумотларини тўплайди, маълумотларни савдо тизимига тақдим этади.

Савдо тизими маҳсулотни етказиб беради ва унинг тўлови учун ҳужжатларни расмийлаштиради. Савдо тизими – алоҳида компанияга тегишли бўлган Web-серверда ўз жойини ижарага олувчи турли фирмаларнинг магазинлари мажмуаси.

Интернет-магазиннинг ишлаш технологияси қуйидаги кўринишга эга:

Харидор электрон витринадаги маҳсулотлар ва нархлар каталогидан керакли маҳсулотни танлаб олади ва шахсий маълумотлари киритиладиган шакл (исми-шарифи, отасининг исми, почта ва электрон манзил, етказиб бериш ва тўловнинг афзал усули)ни тўлдиради. Агар тўлов Интернет орқали амалга ошириладиган бўлса, у ҳолда унинг ахборот хавфсизлигига алоҳида эътибор берилади.

Расмийлаштирилган маҳсулот интернет-магазиннинг савдо тизимига топширилади ва бу ерда буюртма комплектация қилинади. Савдо тизими қўлда бажариладиган ёки автоматлаштирилган усулда фаолият юритади. Қўлда бажариладиган тизим автоматлаштирилган тизимни сотиб олиб, йўлга қўйишнинг имкони мавжуд бўлмаган ҳолда, оддий почта жўнатмалари принципи бўйича ишлайди, одатда маҳсулот ҳажми катта бўлмаганда.

Маҳсулот (товар) ни етказиш ва тўловини амалга ошириш. Харидорга маҳсулотни етказиш қуйидаги йўллар билан амалга оширилади:

  • шаҳар ва атрофларида магазин курьери томонидан;
  • ихтисослаштирилган курьерлик хизмати (шу жумладан хорижий) томонидан;
  • почта томонидан;
  • ҳаридорнинг ўзи олиб кетиши;
  • телекоммуникация тармоқлари орқали маълумот каби махсус маҳсулот (товар) етказилади.

Маҳсулот (товар) учун тўловлар қуйидаги усулларда амалга оширилади:

  • аввалдан ёки маҳсулотни олган вақтда;
  • курьерга ёки ҳақиқий магазинга келганда нақд пул билан;
  • почта ўтказмаси билан;
  • банк ўтказмаси орқали;
  • кредит карта (VISA, Mastercard ва ҳоказо)лари ёрдамида;
  • алоҳида тижорат банклари орқали электрон тўлов тизимлари воситасида.

Охирги вақтда электрон тижорат ёки Интернет орқали савдо дунё бўйлаб анчагина шиддат билан ривожланиб бормоқда. Табиийки, ушбу жараён кредит-молия ташкилотларининг бевосита иштирокида амалга оширилмоқда. Ва савдонинг ушбу тури борган сайин кенг қамровга эга бўлиб бормоқда, айниқса, янги электрон бозордан корхоналар ва аҳолининг кўпчилиги фойдалана олиши мумкин бўлган жойларда.

Электрон тармоқлардаги тижорат фаолияти баъзи жисмоний чекловларни бартараф этади. Компаниялар, ўз компьютер тизимларини Интернетга улаб, мижозларига куну-тун, дам олиш кунларисиз хизмат кўрсатиш имкониятига эга. Маҳсулотга буюртмалар ҳар қандай вақтда, ҳар қандай жойдан қабул қилиниши мумкин.

Бироқ ушбу масаланинг яна бир томони бор. Хорижда, электрон тижорат кўпроқ ривожланиб бораётган давлатларда, олди-сотди шартномалари ёки маҳсулотларнинг қиймати кўп ҳолатларда 300-400 АҚШ доллари билан чекланиб қолмоқда.
Бу компьютер тармоқларидаги ахборот хавфсизлиги муаммоларининг етарли даражада ҳал бўлмаётганлиги билан изоҳланмоқда. БМТнинг Жиноятчиликни олдини олиш ва курашиш қўмитасига кўра, компьютер соҳасидаги жиноятчилик халқаро муаммолар даражасига кўтарилган. АҚШда жиноятчиликни ушбу тури даромадлилик бўйича қурол ва наркотик моддалари билан савдо қилишдан кейин учинчи ўринни эгаллаб улгурган.

Бундай кенг диапазон электрон тижоратнинг ахборот хавфсизлигини таъминлаш муаммоси билан белгиланади. Агар хавфсизлик даражаси бугунги ҳолатдагидек бўлиб сақланиб турса, у ҳолда электрон тижоратнинг дунё айланмаси янада камайиши мумкин. Бу ҳолат, айнан электрон тижорат тизимининг паст даражада ҳимояланганлиги, электрон бизнеснинг ривожланишини тўхтатиб турувчи омили эканлигини намоён қилади.

Электрон тижоратнинг иқтисодий хавфсизлигини таъминлаш муаммосини ҳал қилиш биринчи навбатда унда қўлланаётган ахборот технологияларининг ҳимояси билан боғлиқ, яъни ахборот хавфсизлигини таъминлаш масалалари билан.

Бизнес-жараёнларининг Интернет муҳитига интеграциялашуви хавфсизликни таъминлаш ҳолатини кескин ўзгаришига олиб келади. Электрон ҳужжат асосида ҳуқуқ ва жавобгарликнинг пайдо бўлиши,ҳам ҳужжат жўнатувчини, ҳам қабул қилувчини барча хавфлар мажмуасидан ҳар томонлама ҳимоялашни талаб қилади.

Афсуски, электрон тижорат корхоналарининг раҳбарлари ахборот хавфларининг жиддийлигини ва ўз ресурсларининг ҳимоясини ташкил қилишнинг муҳимлигини ахборот ҳужумларига дучор бўлганидан сўнг англамоқдалар. Кўриниб турганидек, барча санаб ўтилган тўсиқлар ахборот хавфсизлиги соҳасига тегишли.

Тижорат амалиётларини ўтказишга бўлган асосий талаблар орасида – конфиденциаллик, яхлитлик, аутентификация, авторизация, кафолатлар ва сир сақланиши.

Ахборотнинг хавфсизлигига эришишда унинг очиқлиги, конфиденциаллиги, яхлитлиги ва юридик аҳамиятини таъминлаш базавий вазифалар ҳисобланади.

Ҳар бир хатар хавфсиз ахборотнинг ушбу тўртта хусусияти ва сифатига зарар етказиши мумкинлиги нуқтаи назаридан кўриб чиқилиши зарур. Конфиденциаллик очиқлиги чекланган маълумот, унга фақат ушбу маълумот етказилиши мўлжалланган шахс кириш ҳуқуқига эга эканлигини билдиради. Маълумотнинг яхлитлиги остида унинг ўзгартириб бўлмас ҳолда бўлиши хусусияти тушунилади. Маълумотнинг очиқлиги тизимнинг, ваколати бўлган субъектларга маълумотга тўсиқсиз кириш ҳуқуқи билан таъминлаш хусусияти орқали белгиланади. Маълумотларнинг юридик аҳамияти, охирги вақтда мамлакатимизда ахборот хавфсизлигига оид норматив-ҳуқуқий базанинг яратилиши билан биргаликда ортиб бормоқда.

Комплекс ахборот хавфсизлигини таъминлаш доирасида, аввалам бор, ўз ичига навбатдагиларни олувчи электрон бизнес хавфсизлиги соҳасидаги асосий муаммоларни ажратиш лозим:

  • алоқа каналлари орқали узатилаётганда маълумотларни ҳимоялашни;
  • компьютер тизимлари, маълумотлар базалари ва электрон ҳужжат айланишни ҳимоялашни;
  • маълумотни узоқ вақт давомида электрон кўринишда сақланишини таъминлашни;
  • транзакциялар хавфсизлигини таъминлашни, тижорат маълумотини махфийлигини, аутентификацияни, интеллектуал мулкнинг ҳимоясини.

Электрон тижоратга йўналтирилган хавфларининг бир неча тури мавжуд: 

  • Тизимга ташқаридан кириш.
  • Компания ичида ноқонуний кириш.
  • Ахборотни қасддан ўғирлаш ва ўқиш.
  • Маълумотларни ёки тармоқларни қасддан бузиш.
  • Фойдаланувчини нотўғри (фирибгарлик мақсади билан) идентификациялаш.
  • Дастурий-аппарат ҳимоясини бузиш.
  • Фойдаланувчининг бир тармоқдан бошқасига ноқонуний кириши.
  • Вирусли ҳужумлар.
  • Хизмат кўрсатишдан бош тортиш.
  • Молиявий фирибгарлик.

Ушбу хавфларга қарши турли технологияларга асосланган бир қатор усуллардан фойдаланилади, булар: шифрлаш – маълумотларни ўқилиши ёки ўзгартирилишига тўсқинлик қилиш учун кодлаш; жўнатувчи ва олувчи шахсининг ҳаққонийлигини текширувчи электрон имзолар; электрон калитлардан  фойдаланадиган stealth-технологиялар; брандмауэрлар, виртуал ва хусусий тармоқлар.

Ҳимоялаш усулларидан бирортаси ҳам универсал ҳисобланмайди, масалан, брандмауэрлар вируслар мавжудлигига текшириш ўтказмайди ва маълумотлар яхлитлигини таъминлашга қодир эмас. Автоматик ҳимояни бузишга қарши қаратилган мутлақ ишончли усул мавжуд эмас ва уни бузиш эртами-кечми амалга оширилади. Бироқ бундай ҳимоянинг бузилиши, ўз ўрнида, унинг сифатига боғлиқ. Эътироф этиш керакки, Интернетдаги уланишлар ва иловаларнинг ҳимояси учун дастурий ва аппарат таъминотлар кўп вақтдан бери ишлаб чиқилмоқда, бироқ ушбу янги технологиялар бир маромда жорий қилинмаяпти.

Қуйида компанияни ҳар бир босқичда кутиб турадиган хавфлар тўғрисида маълумотлар келтириб ўтилган:

  • электрон магазин серверининг web-саҳифасини алмаштириб қўйиш (сўровларни бошқа серверга йўналтириш), бу ҳолат мижоз ҳақидаги маълумотларни, айниқса унинг кредит карталари ҳақидаги маълумотларни бегона кишилар учун очиқ бўлишини таъминлайди;
  • сохта буюртмаларни яратиш ва электрон магазин ходимлари томонидан фирибгарликларнинг турли шаклларини амалга ошириш, масалан, маълумотлар базалари билан манипуляциялар (статистика, компьютер нохуш ҳодисаларининг яримидан кўпи ўз ходимларнинг фаолиятлари билан боғлиқ эканлигига гувоҳлик беради);
  • электрон тижорат тармоқлари орқали узатиладиган маълумотларни ўғирлаш;
  • ҳуқуқбузарларнинг компаниянинг ички тармоғига кириб келиши ва электрон магазин компонентларини шубҳа остига қўйиши;
  • хизмат кўрсатишдан бош тортиш каби хуружларни амалга ошириш ва фаолиятни тўхтатиш ёки электрон тижорат тармоғини ишдан чиқариш.

Бундай хавфларнинг амалга оширилиши натижасида компания ўз обрўйини ва мижозлар ишончини йўқотади, потенциал ва/ёки амалга оширилмаган келишув ва битимлардаги пулни йўқотади, электрон магазин фаолияти бузилади, фаолиятни тиклаш учун вақт, пул ва одам ресурсларини сарфлайди.

Албатта, Интернет орқали узатиладиган маълумотларнинг ўғирланиши билан боғлиқ таҳдидлар фақат электрон тижорат соҳасига таалуқли эмас. Бироқ ушбу соҳанинг тизимларида муҳим иқтисодий аҳамиятга эга бўлган кредит карталарининг рақамлари, банк ҳисоб рақамлари, шартномалар мазмуни ва бошқа маълумотларнинг айланиши алоҳида ўрин тутади.

Биринчи қарашда, ҳар бир бундай нохуш ҳодиса –электрон бизнес конкрет субъектининг ички ишидек туюлиши мумкин. Бироқ, фаолияти ҳақиқатдан ҳам умуммиллий характерга эга бўлган Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade каби электрон бизнес етакчи серверларининг оммавий ишдан чиқиши ҳолатини ёдга олайлик. Тергов федерал бюроси (ФБР) томонидан ўтказилган текширув, ушбу серверлар DoS-ҳужумлари амалга оширилиши натижасида, хизмат кўрсатишга йўналтирилган манзил сўровларнинг миқдори кўпайиб кетганлиги сабабли ишдан чиққанлигини кўрсатди. Масалан, Buy серверига амалга оширилган сўровлар оқими ўртача кўрсаткичлари 24 мартага ошган, чекланганлари эса – 8 мартага. Ҳар хил баҳоларга кўра, ушбу ҳаракатлар натижасида А ҚШ иқтисодиёти томонидан кўрилган иқтисодий зарар ярим миллиардлик рақами атрофида тебранади.

Хавфсизликни таъминлаш нафақат электрон бизнесни муваффақиятли юритишнинг зарур шарти, балки контр-агентлар орасидаги ишончли муносабатларнинг фундаменти ҳисобланади. Электрон бизнеснинг моҳияти фаол ахборот алмашинуви, транзакцияларнинг ҳимояланмаган очиқ тармоқ орқали ўтказилишидан иборат бўлади, буларни бизнес субъектлари орасидаги ишончли муносабатсиз амалга ошириб бўлмайди.

Шунинг учун хавфсизликни таъминлаш комплекс характерга эга бўлиб, ўз ичига Web-серверларга ва Web-иловаларга кириш, фойдаланувчиларни аутентификация ва авторизация қилиш, маълумотларнинг яхлитлиги ва махфийлигини таъминлаш, электрон рақамли имзонинг амалга оширилиши ва бошқа масалаларни қамраб олади.

Интернетда тижоратнинг ривожланиб бориши сайин тармоқ орқали узатиладиган маълумотларнинг ҳимоялаш масалаларига эътибор кўпайиб бормоқда.

Интернет орқали ҳимояланган ҳамкорликни ташкил қилишга мўлжалланган ихтисослаштирилган протоколлар (масалан, SET, SOCKS5, SSL, SHTTP) бутун дунёда кенг қўлланилмоқда ва хорижий ишлаб чиқарувчилар томонидан Интернет асосида банк ва савдо электрон тизимларини яратиш учун муваффақиятли фойдаланилмоқда.

Хорижда электрон бизнеснинг ахборот хавфсизлиги муаммоларини ҳал қилиш билан ахборот хавфсизлиги ва электрон бизнес воситаларини етказувчилари ҳамда Интернет-хизматлар провайдерлари каби компаниялар вакиллари ва экспертларидан таркиб топган жамоат ташкилоти – Internet Security Task Force (ISTF) – мустақил консорциум шуғулланади.

ISTF консорциуми электрон бизнес ташкилотчиларининг эътиборини биринчи навбатда тортиши зарур бўлган ахборот хавфсизлигининг ўн иккита қуйидаги соҳаларини ажратади:

  • идентификацияловчи маълумотни объектив тасдиқлаш механизми;
  • шахсий маълумот ҳуқуқи;
  • хавфсизлик ҳодисаларини белгилаш;
  • корпоратив периметрнинг ҳимояси;
  • ҳужумларни белгилаш;
  • потенциал хавфли таркибни назорат қилиш;
  • кириш назорати;
  • маъмурлаштириш;
  • ҳодисаларга чора кўриш.

Маълумки, кўпчилик хатарлардан ишончли ҳимояланишга электрон рақамли имзо (ЭРИ) алгоритмларининг қўлланиши имкон беради, бироқ бу фақат ушбу алгоритмлар асосланган ҳамкорлик протоколларига, муносабатларнинг юридик тўғри конструкциясига ва ишончнинг мантиқий ёпиқ тизимига қўшилган ҳолатларда иш беради.

Маълумотларни ҳимоялаш асосида электрон рақамни ҳисоблаш, чиқариш ва уни бир жуфт тегишли калитлар билан текшириш жараёнларининг мантиқи ётади, яъни, фундаментал математик тадқиқотларга асосланган мантиқ. Электрон рақамни фақат ёпиқ калит эгаси ҳисоблаб чиқариши мумкин, ёпиқ калитга мос бўлган очиқ калит эгаси эса уни текшириши мумкин.

Шубҳасиз, ахборот хавфсизлигини таъминлаш билан ушбу соҳанинг мутахассислари шуғулланиши зарур, бироқ давлат ҳокимияти органлари, шаклидан қатъий назар корхона ва муассасаларнинг раҳбарлари ушбу масалаларни эътибор марказида тутишлари лозим.

Улар учун қуйида ахборот хавфсизлигининг комплекс тизимини ташкил қилишнинг асосий функционал компонентлари келтирилган: 

  • коммуникацион протоколлар;
  • криптография воситалари;
  • авторизация ва аутентификация механизмлари;
  • умумий фойдаланиш тармоқларидан иш жойларига киришни назорат қилиш воситалари;
  • вирусларга қарши комплекслар;
  • ҳужумларни аниқлаш ва аудит дастурлари;
  • фойдаланувчиларнинг киришини марказлашган ҳолда назорат қилишни бошқариш ҳамда очиқ тармоқлар орқали маълумотлар пакетлари ва турли иловаларнинг хабарлари билан хавфсиз алмашинуви воситалари.

Интернетда таклиф этилаётган технологияларни секин-асталик билан стандартлаштириш жараёнидан ўтказаётган, асосан кўнгилли ташкилотлардан ташкил топган, бир қатор қўмиталар аллақачон мавжуд. Ушбу, Интернет муҳандислари ишчи гуруҳининг асосий қисмини ташкил қилувчи қўмиталар (Internet Engineering Task Force, IETF) бир нечта муҳим протоколларнинг стандартизациясини ўтказдилар, бу билан уларни Интернетга жорий қилинишини тезлаштирдилар. TCP/IP каби протоколлар маълумотларни узатиш учун, SMTP (Simple Mail Transport Protocol) ва POP (Post Office Protocol) электрон почта ҳамда SNMP (Simple Network Management Protocol) тармоқларни бошқариш учун жорий қилингани – бу IETFнинг амалга оширган саъй-ҳаракатларининг бевосита натижаси ҳисобланади. Қўлланилаётган ҳимоя маҳсули тури компаниянинг эҳтиёжига боғлиқ бўлади.

Интернетда хавфсиз маълумотларни узатиш протоколлари (SSL, SET, IP v.6) кенг оммалашган. Санаб ўтилган протоколлар Интернетда нисбатан яқин вақт ичида қимматли ахборотни ҳимоялаш зарурати сифатида пайдо бўлган ва шу заҳоти де-факто стандартларига айланган. Шу ўринда, Интернет бир неча ўн йиллар аввал катта қийматга эга бўлмаган илмий маълумотлар алмашинуви учун яратилганлигини эслатиб ўтамиз.

Айни пайтда, республикамизда ҳозирча Интернетни маҳфий маълумотларни узатиш, ишлов бериш ва сақлаш фаолияти билан боғлиқ соҳаларга жорий қилишга эҳтиёткорлик билан ёндашилмоқда. Шу ўринда эътироф этиш керакки, электрон тижоратнинг ривожланишини қуйидаги сабаблар секинлаштиради:

  • Электрон тижорат инфратузилмасининг мавжуд эмаслиги ёки секинлик билан ривожланиши ва ҳаридорга маҳсулотни етказиб беришнинг (курьерлик хизматлари) имкони мавжуд эмаслиги, айниқса, бошқа шаҳарда жойлашган “электрон магазин” орқали.
  • Бу соҳадаги давлат қонунчилик амалиётининг қолоқлиги, ва оқибатда, электрон шаклда тузилган битимларнинг бажарилишига кафолатларнинг мавжуд эмаслиги ёки заифлиги.
  • Тижоратда Интернетдан фойдаланиш билан боғлиқ фирибгарликарнинг ривожланиши учун объектив ва субъектив сабабларнинг мавжудлиги.
  • Электрон тижорат лойиҳаларига пухта маркетинг ишлов берилмаслиги.
  • Маҳсулотлар учун тўловларни амалга оширишдаги қийинчиликлар, хусусан, аҳолининг тижорат банкларига ишончи мавжуд эмаслиги.

Шу сабабли, республикамизда электрон тижорат фақат давлатнинг иқтисодий ҳолати янада кўпроқ даражада ривожланиб, анча илдамлаб кетган ҳолдагина кенг ривожланиши мумкин.

Шоҳрух Раҳмат, Ахборот ва жамоат
хавфсизлиги маркази Норматив-ҳуқуқий
базани ривожлантириш департаменти бошлиғи.