Mamlakatimizda raqamli moliya qandaydir yangilik bo‘lmay qolgan. Pul o‘tkazamiz, hisoblarni to‘laymiz, kartadan mobil ilova orqali foydalanamiz va bularning hammasi bir necha soniyada bo‘ladi. Go‘yo qandaydir sehrdek! Lekin aslida bu qulaylik ortida shaxsiy ma’lumotlar va pulni himoya qilish uchun juda katta mehnat turibdi. Bu mehnatsiz tizimga bo‘lgan ishonch qumdan yasalgan qasr kabi ilk xatodayoq yuvilib ketardi.
Bugun bank va fintexlar eng chiroyli ilova poygasida qatnashishmaydi. Ular xavfsizlik bo‘yicha haqiqiy mustahkam tizim quradi. Davlat qoidalar va o‘yin maydonini belgilab beradi, kompaniyalar esa ularni bajaradi. Ishonch o‘z-o‘zidan paydo bo‘lmaydi. Uni qonunlar, texnologiyalar va mas’uliyat yaratadi.
Nega bugun ijtimoiy muhandislik haqida gapirmaymiz
Firibgarlik haqida gap ketsa, ko‘pchilik darrov zararli havolalar, fishing va ijtimoiy muhandislikning boshqa usullarini tasavvur qiladi. Bu tabiiy, chunki yo‘qotishlarning eng ko‘p sababi aynan shunday holatlar bo‘ladi. Ijtimoiy muhandislik eng oson va eng arzon hujum usuli, chunki u texnologiyaga emas, odamga qaratilgan. Har qanday, hatto qimmat va murakkab himoyaning ham eng zaif joyi doim foydalanuvchi bo‘ladi. Odam firibgarlarga kodlarni, rekvizitlarni yoki akkauntga kirish huquqini o‘z qo‘li bilan berib qo‘ysa, hech qanaqa himoya dasturi yordam bera olmaydi.
Lekin bugun gap bu haqida emas. Ijtimoiy muhandislik shunchalik katta mavzu-ki, unga alohida maqola kerak. Bu materialda esa bank va fintexlar 24/7 rejimida xakerlik hujumlari, texnik tahdidlar va buzib kirish urinishlarini qanday oldini olishini ko‘rib chiqamiz.
Bank bilan bog‘liq masalalaringizni bir necha daqiqada onlayn hal qiling⚡️
Hoziroq AVO bank ilovasini yuklang
Qonun va ma’lumotlar himoyasi
O‘zbekistonda fuqarolarning ma’lumotlari qanday yig‘ilishi, saqlanishi va ishlatilishini belgilab beradigan 3 ta qonun bor:
- «Shaxsiy ma’lumotlar to‘g‘risida»gi qonun shaxsiy ma’lumot nima ekanini aniq tushuntiradi va uni qanday himoya qilish kerakligini belgilaydi.
- «To‘lovlar va to‘lov tizimlari to‘g‘risida»gi qonun esa bank va fintex ishini tartibga soladi: litsenziyalar, standartlar, risklarni boshqarish, hammasi adamantdan yasalgan seyfdek yuqori darajada ishonchli bo‘lishi kerak.
- Raqamlashtirish kuchaygani sayin «Kiberxavfsizlik to‘g‘risida»gi qonun ham qabul qilindi va unda birinchi marta rasman shunday deyiladi: moliya mamlakat infratuzilmasining juda muhim va kritik qismi. Shu sababli kompaniyalarda nimadir noto‘g‘ri ketib qolsa, oldindan tayyor harakat rejasi bo‘lishi shart. 2024-yildan boshlab jarimalar, cheklovlar va auditlar ham belgilandi.
Bu qanday ishlaydi
Qonunlar shunchaki qog‘ozdagi yozuv emas. Bugun ular fintexning kundalik ishining bir qismiga aylangan. Mijozlar ma’lumotlari mamlakat ichidagi serverlarda saqlanadi, ularga kirish esa juda qattiq cheklangan. Banklar risklarni boshqarish mexanizmlarini joriy qiladi, tranzaksiyalarni himoya qiladi va infratuzilmani 24/7 kuzatib boradi. Doimiy auditlar va stress-testlar tizim hujumlar va nosozliklarga bardoshli ekanini ko‘rsatib turadi. Himoya bir martalik ish emas, bu serverlar va xodimlarning mashaqqatli mehnatining mahsuli.
Standart va texnologiyalar
Xalqaro darajada banklar va to‘lov tizimlari dunyoda eng kuchli deb tan olingan standartlar bo‘yicha ishlaydi. Masalan, ISO/IEC 27001 axborot xavfsizligini boshqarishdagi oltin standart hisoblanadi. Buni batafsil yo‘riqnoma deb tasavvur qilish mumkin: qaysi jarayonlarni yo‘lga qo‘yish kerak, qaysi risklarni hisobga olish kerak va qaysi qoidalarga amal qilinsa, xodimlar, mijozlar va hamkorlarning ma’lumotlari xavfsiz saqlanadi.
Yana bir muhim standart bu PCI DSS . U karta rekvizitlari qayta ishlanishi, uzatilishi va saqlanishini tartibga soladi. Agar bank yoki data-markaz PCI DSS bo‘yicha sertifikatlangan bo‘lsa, bu uni tashqi auditorlar tekshirgan va infratuzilma, shifrlash jarayonlari, dasturlarni yangilash, zaifliklarni kuzatish kabi ishlarning hammasi eng yuqori talablarga mosligini anglatadi.
Zamonaviy fintex-kompaniyalar ba’zan bundan ham oldinlab ketadi va biometrik barmoq izi, yuz, ovoz yordamida qilinadigan autentifikatsiyani joriy qiladi. Buning uchun ISO 19092 standarti bor, u biometrik ma’lumotlarni qanday yig‘ish, saqlash va uzatishni tushuntirib beradi.
Misol: AVO bank va PCI DSS
O‘zbekistonda xalqaro standartlar joriy etilganiga misol sifatida AVO bank’ni keltirish mumkin. 2024-yil mart oyida bank PCI DSS talablariga moslik sertifikatini oldi. Sertifikatlash 3 bosqichda o‘tgan: axborot xavfsizligi siyosatini baholash, hujumlarni modellashtirish orqali IT-infratuzilmani tekshirish va himoyani kuchaytirish bo‘yicha tavsiyalar bilan hisobotlar tayyorlash. Auditni to‘lov industriyasi xavfsizlik kengashi tomonidan akkreditatsiyadan o‘tgan QSA Compliance Control kompaniyasi o‘tkazgan.
Auditdan o‘tish uchun AVO bank DLP , SIEM, onlayn va oflayn zaiflik skanerlari, MXDR, shuningdek, dolzarb tahdidlarni kuzatish uchun Threat Intelligence kabi bir qator texnologiyalarni joriy qilgan. Bundan tashqari, tizimga kirib ko‘rish testlari, ASV-skanerlash va yakuniy QSA auditi ham o‘tkazilgan.
Bulardan maqsad
ISO/IEC 27001, PCI DSS, biometrik autentifikatsiya degan gaplar shunchaki jiddiy ko‘rinish uchun aytilmaydi. Bularning hammasi bitta narsa — firibgarlar mijoz ma’lumotlariga yaqinlasha olmasligi uchun kerak. Bank yoki fintex xalqaro standartlarga mos ishlasa, mijozlar moliyaviy ma’lumotlari ishonchli himoyalanganiga ko‘ngli to‘q bo‘ladi.
*Maqolada keltirilgan ma’lumotlar saytga joylashtirilgan vaqt uchungina amal qiladi: fikrlar muallifning shaxsiy qarashlarini aks ettiradi va AVO bank'ning rasmiy nuqtayi nazariga mos kelmasligi mumkin. Bank havola qilingan tashqi manbalar uchun mas’uliyatni zimmasiga olmaydi, ko‘rsatilgan narxlar esa taxminiy xarakterga ega. Qaror qabul qilishdan oldin eng so‘nggi ma’lumotlar bilan tanishib chiqishni tavsiya qilamiz.
AVO ilovasini yuklab oling
Barcha bank xizmatlari va operatsiyalari 24/7 sizning smartfoningizda