Axborot xavfsizligi
Yüklə 395,4 Kb.
|
| Kiberjinoyat — kompyuter va tarmoqning birgalikdagi aloqasi ostida sodir etiluvchi jinoyat turi[1][2]. Kompyuter jinoyat paytida maqsadli yoʻnaltirilgan qurol vazifasini bajarib beradi. Kiberjinoyat kimningdir xavfsizligi va moliyaviy saviyasiga zarar yetkazish maqsadida sodir etiladi Anʼanaviy jinoyatchilikning kamayishi bilan global hamjamiyatlar kiberjinoyatlarning muntazam oʻsishiga guvoh boʻlishda davom etmoqda[12]. Kiberjinoyat moliyaviy jinoyatlardan tortib firibgarlikgacha, kiberpornografik savdo va reklama firibgarliklari orqali keng koʻlamli faoliyatni oʻz ichiga oladi[
7. Kiberjinoyat va raqamli inqilobning ilk namunalari 20-asrning oʻrtalarida kiberjinoyatning birinchi tan olingan holati 1962-yilda Allen Sher MIT kompyuter tarmoqlariga hujum qilib, perfokarti orqali ularning maʼlumotlar bazasidan parollarni oʻgʻirlaganida sodir boʻldi. Bu voqea raqamli tizimlardan foydalanadigan jinoyatchilikning yangi davrini boshlab berdi.1 1970-yillar - telefonni chalgʻitish: Internet paydo boʻlishidan oldin, "telefonni chalgʻitish" subkulturasi paydo boʻldi. Bu ishqibozlar bepul shaharlararo qoʻngʻiroqlarni amalga oshirish yoki toʻlovsiz premium xizmatlardan foydalanish uchun analog telefon tizimidagi zaifliklardan foydalangan. “Koʻk quti” deb nomlanuvchi qurilmalar va maxfiy axborot byulletenlari orqali ma’lumot almashish usullaridan foydalanib, ular ruxsat etilmagan daromad olish uchun texnologiyani manipulyatsiya qilish imkoniyatlarini namoyish etdilar 1980-yillar - Birinchi kompyuter viruslari. 1980-yillarda shaxsiy kompyuterlarning paydo boʻlishi bilan birinchi kompyuter viruslari paydo boʻldi. "Brain" virusi deb nomlanuvchi eng qadimgi viruslardan biri 1986 yilda paydo boʻlgan 1988 yil - Morris Vorm. 1988 yilda Robert Tappan Morris birinchi yirik Internet hujumlaridan biri hisoblangan "Morris Worm" ni chiqardi. Ushbu oʻz-oʻzini takrorlaydigan dastur bir-biriga bogʻlangan Unix tizimlari boʻylab tarqalib, katta tarmoq tiqilib qolishiga va tizimning ishdan chiqishiga olib keldi 1990-yillar - xakerlar submadaniyati va korruptsiya. 1990-yillarda xakerlik subkultura sifatida rivojlandi, “Chaos Computer Club” va “L0pht” kabi guruhlar mashhurlikka erishdi. 8. Kiberjinoyatlarning jadal rivojlanishining asosiy sabablari Kiberjinoyatchilik faoliyatining keng tarqalishi kompyuter jinoyatlarini aniqlash va jinoiy javobgarlikka tortish masalasidir. Xakerlik hamjamiyatlari oʻz bilimlarini Internet orqali sezilarli darajada tarqatganligi sababli xakerlik kamroq murakkablashdi. Bloglar va hamjamiyatlar maʼlumot almashishga katta hissa qoʻshdilar: yangi boshlanuvchilar eski xakerlarning bilimlari va maslahatlaridan foydalanishlari mumkin. Bundan tashqari, xakerlik har qachongidan ham arzonroq: bulutli hisoblash davridan oldin spam yuborish yoki firibgarlik qilish uchun maxsus server, serverlarni boshqarish, tarmoq konfiguratsiyasi va texnik xizmat koʻrsatish boʻyicha koʻnikmalar, Internet-provayder standartlarini bilish va boshqalar kerak edi. Taqqoslash uchun, xizmat sifatida pochta dasturi marketing maqsadlari uchun kengaytiriladigan, arzon, ommaviy va tranzaksiyaviy elektron pochta xabarlarini yuborish xizmati boʻlib, spam uchun osongina sozlanishi mumkin[60]. Bulutli hisoblash kiberjinoyatchi uchun parolni qoʻpol ravishda majburlash, botnetga kirishni yaxshilash yoki spam kampaniyasini osonlashtirish nuqtai nazaridan oʻz hujumidan foydalanish usuli sifatida foydali boʻlishi mumkin 9. Kiberjinoyatning turli faoliyat toifalari va unga misollar --Kiberterrorizm, umuman olganda, kibermakon yoki kompyuter resurslaridan foydalanish orqali sodir etilgan terrorchilik harakati sifatida taʼriflanishi mumkin (Parker 1983) --Kiber tovlamachilik veb-sayt, elektron pochta serveri yoki kompyuter tizimi zararli xakerlar tomonidan qayta-qayta xizmat koʻrsatishni rad etish yoki boshqa hujumlarga duchor boʻlganda yoki tahdid qilinganda sodir boʻladi. Bu xakerlar hujumlarni toʻxtatish va „himoya“ taklif qilish evaziga pul talab qiladi. --- Kiberpornografik savdo — bu qurbonlarni tashish, keyin esa veb-kamerada majburan jinsiy harakatlar va yoki zoʻrlashning jonli translyatsiyasidir--- Reklama firibgarliklari, ayniqsa, kiberjinoyatchilar orasida mashhurdir, chunki bunday firibgarliklar jinoiy javobgarlikka tortilish ehtimoli kamroq va ayniqsa, daromad keltiruvchi kiberjinoyatlardir[40].Sorbonna biznes maktabi professori Jan-Lup Richet kiberjinoyatchilar hamjamiyatlarida kuzatilgan reklama firibgarliklarining koʻp turlarini uchta toifaga ajratdi: (1) shaxsiy maʼlumotlar bilan bogʻliq firibgarlik; (2) atribut firibgarligi; va (3) reklama-firibgarlik xizmatlari 10.Kiberjinoyatning iqtisodiy va ijtimoiy oqibatlari Kiberjinoyat nafaqat jismoniy shaxslar va tashkilotlarga ta’sir qiladi; uning ta’siri ham iqtisodiy, ham ijtimoiy sohalarga ta’sir qiladi. Kiberjinoyatlarning oqibatlari keng qamrovli boʻlib, iqtisodiyotlar, korxonalar, jismoniy shaxslar va umumiy ijtimoiy farovonlik uchun chuqur oqibatlarga olib kelishi mumkin. Kiberjinoyatning ba’zi asosiy iqtisodiy va ijtimoiy oqibatlari: Moliyaviy yoʻqotishlar Korxonalar: Kiberhujumlar maʼlumotlarning buzilishi, toʻlovlar va operatsiyalarning uzilishi tufayli korxonalar uchun katta moliyaviy yoʻqotishlarga olib kelishi mumkin. Xarajatlarga tiklash xarajatlari, advokatlik toʻlovlari va obroʻga zarar yetishi kiradi. Jismoniy shaxslar: Jismoniy shaxslar shaxsiy ma’lumotlarni oʻgʻirlash, onlayn firibgarlik va firibgarlik operatsiyalaridan moliyaviy yoʻqotishlarga duch kelishi mumkin, bu ularning jamgʻarmalari, kreditlari va umumiy moliyaviy farovonligiga ta’sir qiladi 11.Kiber qonunlar va qoidalar Kiberjinoyatlarning kuchayishi butun dunyo hukumatlarini raqamli tahdidlarga qarshi kurashish va onlayn muhit xavfsizligini ta’minlashga qaratilgan qonun va qoidalarni qabul qilishga undadi. Ushbu kiberqonunlar va qoidalar ma’lumotlarni himoya qilish va maxfiylikdan xakerlik va kiberbullyinggacha boʻlgan keng koʻlamli muammolarni oʻz ichiga oladi Eng koʻzga koʻringan xalqaro shartnomalardan biri bu Birlashgan Millatlar Tashkiloti Bosh Assambleyasining “Xalqaro xavfsizlik kontekstida axborot va telekommunikatsiyalar sohasidagi taraqqiyot” rezolyutsiyasidir 12.Kiberjinoyatchilikka qarshi kurashda xalqaro hamkorlikning roli Kompyuter dalil manbai boʻlishi mumkin (qarang, raqamli sud tibbiyoti). Agar kompyuter jinoiy maqsadlarda bevosita foydalanilmasa ham, u jurnal fayli koʻrinishida jinoiy tergovchilar uchun qimmatli yozuvlarni oʻz ichiga olishi mumkin. Koʻpgina mamlakatlarda[45] Internet-provayderlar qonunga koʻra, oʻzlarining log-fayllarini oldindan belgilangan vaqt davomida saqlashlari shart. Masalan; Yevropa boʻylab maʼlumotlarni saqlash direktivasi (barcha Yevropa Ittifoqiga aʼzo davlatlar uchun amal qiladi) barcha elektron pochta trafigini kamida 12 oy davomida saqlanishi kerakligini taʼkidlaydi. AQShda Federal qidiruv byurosi (FQB)[47] va Milliy xavfsizlik departamenti (DHS)[48] kiberjinoyatlarga qarshi kurashuvchi davlat idoralari hisoblanadi. FQB kiberjinoyatchilik boʻyicha oʻqitilgan agentlar va tahlilchilarni oʻz idoralari va shtab-kvartiralarida joylashtirgan[47]. DHSga koʻra, Maxfiy xizmatda moliyaviy kiber jinoyatlarni nishonga olish uchun ishlaydigan kiber razvedka boʻlimi mavjud. Ular oʻzlarining razvedka maʼlumotlaridan xalqaro kiberjinoyatlardan himoyalanish uchun foydalanadilar. Ularning saʼy-harakatlari banklar kabi muassasalarni tajovuzlardan va axborot buzilishidan himoya qilishga qaratilgan. 13.Kibertahdidlar haqida dastlabki tushunchalar Kiberjinoyatlarning birinchi holatlari raqamli inqilobning tabiiy natijasi sifatida paydo boʻldi, bu analog texnologiyalardan raqamli texnologiyalarga oʻtishni belgilab berdi. 20-asrning ikkinchi yarmi va undan keyingi davrlarni qamrab olgan bu transformatsiya davri kompyuterlar, tarmoqlar va Internetning paydo boʻlishiga olib keldi, axborotni qayta ishlash, saqlash va uzatish usullarini tubdan oʻzgartirdi. Ushbu texnologiyalar tarqalishi bilan qiziquvchan va yomon niyatli odamlar noqonuniy faoliyat uchun oʻz imkoniyatlarini oʻrgana boshladilar. Mana, kiberjinoyat va uning raqamli inqilob bilan aloqasi haqidagi ba’zi bir muhim dastlabki misollar: 20-asrning oʻrtalarida kiberjinoyatning birinchi tan olingan holati 1962-yilda Allen Sher MIT kompyuter tarmoqlariga hujum qilib, perfokarti orqali ularning maʼlumotlar bazasidan parollarni oʻgʻirlaganida sodir boʻldi. Bu voqea raqamli tizimlardan foydalanadigan jinoyatchilikning yangi davrini boshlab berdi 14.Axborot xavfsizligida kibertahdidlarni tahlil qilish Kiberjinoyatchilikning koʻpayishi natijasida kiberjinoyatchilik faoliyatidan foyda olishga intilayotgan shaxslar va guruhlarni qoʻllab-quvvatlash uchun professional ekotizim rivojlandi. Ekotizim juda ixtisoslashgan, jumladan zararli dasturlarni ishlab chiquvchilar, botnet operatorlari, professional kiberjinoyat guruhlari, oʻgʻirlangan kontentni sotishga ixtisoslashgan guruhlar va boshqalar. Bir nechta yetakchi kiberxavfsizlik kompaniyalari ushbu shaxslar va guruh faoliyatini kuzatish uchun koʻnikma, resurslar va koʻrinishga ega[55]. Ushbu manbalardan mudofaa maqsadlarida foydalanish mumkin boʻlgan juda koʻp maʼlumotlar, jumladan, zararlangan fayllar xeshlari[56] yoki zararli IP/URLlar[56], kabi texnik koʻrsatkichlar, shuningdek maqsadlar, usullar va usullarni profillovchi strategik maʼlumotlar mavjud. profilli guruhlarning kampaniyalari. Ulardan baʼzilari erkin nashr etiladi, lekin doimiy, doimiy kirish odatda dushman razvedka obuna xizmatiga obuna boʻlishni talab qiladi. Individual tahdid aktyori darajasida tahdid razvedkasi koʻpincha oʻsha aktyorning „TTP“si yoki „taktikalar, texnikalar va protseduralar“ deb ataladi, chunki infratuzilma, vositalar va boshqa texnik koʻrsatkichlar tajovuzkorlar uchun koʻpincha oʻzgarishi mumkin emas. Korporativ sektorlar sunʼiy intellekt kiberxavfsizlikning hal qiluvchi rolini koʻrib chiqmoqda[57][58]. INTERPOL Cyber Fusion Center Internet foydalanuvchilariga soʻnggi onlayn firibgarliklar, kiber tahdidlar va xavflar haqida maʼlumot tarqatish uchun kiberxavfsizlikning asosiy ishtirokchilari bilan hamkorlikni boshladi. Ijtimoiy ishlab chiqilgan firibgarliklar, toʻlov dasturlari, fishing va boshqalar boʻyicha hisobotlar 2017-yildan beri 150 dan ortiq mamlakatlardagi xavfsizlik agentliklariga tarqatilgan[ 15.Insonga qaratilgan tahdidlar Axborot xavfsizligi kontekstida insonga qaratilgan tahdidlar tashkilot ichidagi odamlarning harakatlari, xatti-harakatlari va oʻzaro ta’siri natijasida yuzaga keladigan xavf va zaifliklarni anglatadi. Ushbu tahdidlar raqamli tizimlar, tarmoqlar va maxfiy ma’lumotlar xavfsizligini buzish uchun inson psixologiyasi, ijtimoiy muhandislik taktikasi va ichki hujumlar ehtimolidan foydalanadi. Dasturiy ta’minot yoki apparatdagi kamchiliklardan kelib chiqadigan texnik zaifliklardan farqli oʻlaroq, insonga qaratilgan tahdidlar inson elementiga qaratilgan boʻlib, odamlarni manipulyatsiya qilish, aldash yoki xavfsizlik xavflarini fosh qilishga majburlash mumkinligini tan oladi. 16.Ijtimoiy muhandislik va onlayn tahdidlar Axborot xavfsizligi kontekstida ijtimoiy muhandislik — bu odamlarga nisbatan biror xatti-harakatni amalga oshirish yoki maxfiy maʼlumotlarni oshkor qilish maʼnosidagi psixologikmanipulyatsiya. Maʼlumot toʻplash, firibgarlik yoki maʼlum bir tizimga kirish maqsadida amalga oshiriladigan ishonch hiylasining bir turi boʻlgan ijtimoiy muhandislik anʼanaviy „con“ dan farq qiladi, chunki u koʻpincha murakkabroq firibgarlik sxemasining koʻp bosqichlaridan biri hisoblanadi[1]. Shuningdek, u „shaxsning manfaatlariga mos keladigan yoki aksincha boʻlishi mumkin boʻlgan harakatni amalga oshirishga taʼsir qiluvchi har qanday harakat“ deb taʼriflangan[2]. Ijtimoiy muhandislikka misol sifatida loginni talab qiladigan koʻpgina veb-saytlarda „parolni unutdingizmi“ funksiyasidan foydalanishni misol qilib keltirish mumkin. Notoʻgʻri himoyalangan parolni tiklash tizimi zararli tajovuzkorga foydalanuvchining hisobiga toʻliq kirish huquqini berish uchun ishlatilishga sabab boʻlib qolishi mumkin, bunda ayni paytda asl foydalanuvchi hisobga kirish huquqini yoʻqotadi 17.Texnik tahdidlar Texnik xavfsizlik tahdidlari texnologik infratuzilma, dasturiy ta’minot tizimlari, apparat komponentlari va tarmoq konfiguratsiyasidagi kamchiliklardan kelib chiqadigan xavf va zaifliklarni anglatadi. Ushbu tahdidlar raqamli axborot va tizimlarning maxfiyligi, yaxlitligi va mavjudligini buzish uchun texnik zaifliklardan foydalanadi. Odamlarga qaratilgan va shaxslarni manipulyatsiya qiladigan tahdidlardan farqli oʻlaroq, texnik tahdidlar tashkilotning raqamli muhitining texnologik jihatlaridagi zaif tomonlardan foydalanishni oʻz ichiga oladi. – axborot xavfsizligiga tah-didni yuzaga kelishiga bevosita sabab bo‘luvchi subyektdir. Avtomatlashtirilgan tizimlarda xavfsizlikni buzishning asosiy manba-lari quyidagilar hisoblanadi: – avariya yoki tabiiy ofatlar (yong‘in, yer silkinishi, suv toshqini va boshqalar); – texnik vositalarning inkor etishi va buzilishi; – avtomatlashtirilgan tizim qismlarini loyihalash va ishlab chiqishdagi xatolar (dasturiy vositalar, ma’lumotlarni qayta ishlash texnologiyalari, qurilma vositalari va boshqalar); – foydalanishdagi xatolar; – tartibbuzarlarning maqsadli harakatlari. --kommunikatsiyalar (aloqa kanallari yoki kommunikatsiya qurilma-lari orqali ma’lumotlarni uzatish va qayta ishlash); – xizmat ko‘rsatuvchi xodimlar. Axborotning konfidensialligi, butunligi va ruxsat etilganligini buzish maqsadida ta’sir ko‘rsatish obyektlariga nafaqat axborot tizimi elementlari, balki uni qo‘llab turuvchi infratuzilma (elektr, issiqlik ta’minoti, sovitish tizimlari) ham kiradi. Bundan tashqari texnik vositalarning joylashish hududiga ham e’tibor qaratish lozim, ya’ni ularni qo‘riqlanuvchi hududga joylashtirish zarur. Simsiz aloqa vositalarini o‘rnatishda, ularning amal qilish masofasi (harakat zonasi) nazorat qilinuvchi hududdan chiqib ketmasligi tavsiya etiladi 18.Zararli dasturlarning turlari Zararli dasturiy ta’minot, zararli dasturlarning qisqartmasi, ma’lumotlarni oʻgʻirlash, kompyuterlar va kompyuter tizimlariga zarar etkazish yoki yoʻq qilish maqsadida kiber jinoyatchilar tomonidan ishlab chiqilgan har qanday dasturiy ta’minotni anglatadi. Zararli dasturlarning ba’zi keng tarqalgan misollari orasida viruslar, qurtlar, troyan viruslari, josuslik dasturlari, reklama dasturlari va ransomware kiradi.7 Zararli dastur ruxsatsiz funktsiyalar yoki jarayonlarni amalga oshirish orqali tizimni buzishi mumkin. Kiberjinoyatchilar koʻpincha kompyuter yoki mobil qurilmaga yashirin kirish uchun zararli dasturlardan foydalanadilar. Ba’zi zararli dasturlar tarmoqda uzoq vaqt davomida aniqlanmasdan qolishi mumkin, asta-sekin ma’lumotni oʻgʻirlaydi va saytga katta zarar yetkazadi 19.Texnik xavflarni tahlil qilish Axborot xavfsizligi sohasidagi texnik xavflarni tahlil qilish xavfsizlik buzilishiga olib kelishi mumkin boʻlgan zaifliklarni aniqlash va yumshatishda muhim jarayondir. Axborot xavfsizligidagi texnik xavflarni tahlil qilish uchun quyidagi qadamlar qoʻyilishi mumkin: Potentsial tahdidlarni aniqlash; Har bir tahdidning ehtimoli va ta’sirini baholash; Zaifliklarni aniqlash; Mavjud boshqaruv vositalarini baholash; Xatarlarni kamaytirish strategiyalarini ishlab chiqish; Monitoring va koʻrib chiqish 20.Ekologik tahdidlar Axborot xavfsizligi kontekstida ekologik tahdidlar ma’lumotlar, texnologik infratuzilma va raqamli tizimlarning yaxlitligi, mavjudligi va mavjudligini buzishi mumkin boʻlgan tabiiy yoki jismoniy hodisalar natijasida yuzaga keladigan xavf va buzilishlarni anglatadi. Ushbu tahdidlar raqamli zaifliklar va inson harakatlari doirasidan tashqariga chiqadi va tashkilotning biznes uzluksizligini saqlash va vositalarini himoya qilish qobiliyatiga ta’sir qilishi mumkin boʻlgan tashqi omillarni oʻz ichiga oladi. 21.Himoya ob’ektlarining toifalari Himoya qilinadigan ob’ektlar huquqiy yoki boshqa muhofaza qilinadigan narsalarning keng doirasiga tegishli boʻlishi mumkin. Ushbu himoyalar intellektual mulk, tijorat sirlari, shaxsiy ma’lumotlar, milliy xavfsizlik yoki boshqa muhim manfaatlarni himoya qilish uchun moʻljallangan boʻlishi mumkin. Himoya tuzilmalari tabiiy ofatlardan tortib, inson hujumlarigacha boʻlgan turli tahdidlarga qarshi turish uchun moʻljallangan. Har xil turdagi himoya tuzilmalari mavjud boʻlib, ularning har biri oʻziga xos xususiyatlarga va qoʻllanilishiga ega. Yüklə 395,4 Kb. Dostları ilə paylaş:
|