Bəhruz Əliyev, İnformasiya Texnologiyaları üzrə mühəndis-tədqiqatçı, Azərbaycan Kibertəhlükəsizlik Təşkilatları Assosiasiyasının (AKTA) eksperti
Bu günə qədər informasiya texnologiyalarına nəzarət və baxış fərqli idi. Müəyyən qurumlar vəzifələri bölüşüb, işlər aparırdılar, amma 2023-cü il 28 avqust tarixindən məsələlər fərqli və daha dəqiq prizmada inkişaf etdi. Ona görə ki Azərbaycan Respublikasının informasiya təhlükəsizliyi və kibertəhlükəsizliyə dair 2023-2027-ci illər üçün Strategiyası ölkə rəhbəri Cənab Prezident İlham Əliyev tərəfindən təsdiq edildi. Bu strategiyaya istinadlar edərək, burada əksini tapdığına sevindiyim, müxtəlif çıxış və yazılarımda qeyd etdiyim məsələlər, diqqətimi çəkən xüsusi məqamların bəzilərini qeyd edib, mühəndis-tədqiqatçı kimi qismən şərhini verməyə çalışacağam. Şərhlərin verilmə məqsədi strategiyada qeyd edilənlərin bir qismini bir qədər sadə formada oxucuya çatdırmaq və onun bu məsələyə verəcəyi əhəmiyyəti yüksəltməkdir. İnformasiya Təhlükəsizliyi üzrə Koordinasiya Komissiyasının hazırlayıb, ölkə rəhbərinə təqdim etdiyi bu sənəd kifayət qədər sanballı hazırlanmışdır.
31 səhifədən və 8 bölmədən ibarət olan “Azərbaycan Respublikasının informasiya təhlükəsizliyi və kibertəhlükəsizliyə dair 2023-2027-ci illər üçün Strategiyası” hər bölməsində ciddi məqamları vurğulayır, qlobal trendləri, mövcud vəziyyətin təhlilini, hədəf göstəriciləri, məqsədləri, prioritet istiqamətləri, təhdidlərin müəyyənləşdirilməsi və risklərin idarə edilməsini, maliyyələşdirmə mexanizmlərini bölmələrdə göstərmişdir. Sonuncu bölmədə isə “Azərbaycan Respublikasının informasiya təhlükəsizliyi və kibertəhlükəsizliyə dair 2023-2027-ci illər üçün Strategiyası”nın həyata keçirilməsi ilə bağlı tədbirlər planı qeyd edilmiş və qurumların öhdəlikləri, vəzifələri, görəcəyi prioritet işlər cədvəldə göstərilmişdir.
Birinci bölmə möhtəşəm hesab etdiyim bu cümlə ilə başlayır: “Azərbaycan Respublikasının informasiya məkanının müasir təhdidlərdən qorunması milli təhlükəsizliyin əsas istiqamətlərindəndir.”
Qloballaşan dünyada informasiya təhlükəsizliyinin və kibertəhlükəsizliyin təmin olunması istər milli, istərsə də beynəlxalq səviyyədə əsas məsələyə çevrilmişdir. Başlıca məqsədin insanların, cəmiyyətin və dövlətin maraqlarının qorunması olduğu bildirilib.
İnformasiya təhlükəsizliyinin necə təmin edilməsi isə geniş diapozunlu bir cümlə ilə ifadə edilmişdir: “İnformasiya təhlükəsizliyi informasiya sahəsində milli təhlükəsizliyə təhdidləri müəyyən etmək, bu təhdidlərin istifadə edə biləcəyi zəifliklərin, boşluqların və təhdid nəticəsində yarana bilən fəsadların aradan qaldırılması və ya əvvəldən təyin edilmiş hədlərə qədər azaldılması üçün hüquqi, təşkilati, əməliyyat-axtarış, kəşfiyyat və əks-kəşfiyyat, elmi-texniki və təhsil, informasiya-təhlil, kommunikasiya, kadr təminatı, iqtisadi və digər sahələr üzrə tədbirləri əlaqələndirilmiş qaydada təşkil, icra, nəzarət və davamlı təkmilləşdirmək üçün qanunvericiliklə müəyyən edilən mühafizə üsulları və vasitələri ilə təmin edilir.” Cümlə qısaca şərh edildiyi zaman görmək mümkündür ki, bu sahədə təhdidləri müəyyən etmək, təhdidlərin istifadə edəcəyi boşluqların tapılması və fəsadların aradan qaldırılması və ya azaldılması kimi proseslər aparılacaqdır. Eyni zamanda, əlaqələndirilmiş hüquqi, iqtisadi və elmi yanaşma olacaqdır.
Strategiyada açıq formada yazılır ki, o, dövlətin, cəmiyyətin və insanların müasir İKT-dən təhlükəsiz istifadəsinin təmin edilməsi üçün milli informasiya təhlükəsizliyi səviyyəsinin yüksəldilməsinə, dövlət və özəl şəbəkələrin, kritik informasiya infrastrukturlarının təhlükəsizliyinin təmin olunmasına aid tədbirlərin müəyyənləşdirilməsinin və həyata keçirilməsinin təşkilinə, həmçinin fərdi məlumatların mühafizəsinə, Azərbaycan Respublikasının Konstitusiyası ilə təsbit edilmiş insan hüquq və azadlıqlarına riayət edilməsinə daha əlverişli şəraitin yaradılmasına xidmət edir.
Strategiyanın nəyə əsaslandığını görmək mümkündür. Bu məsələ sənəddə öz yerini bu cümlə ilə tapır: “Strategiya Azərbaycan Respublikasının Konstitusiyasına və digər normativ hüquqi aktlarına, o cümlədən “Milli təhlükəsizlik haqqında”, “İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında” Azərbaycan Respublikasının qanunlarına, Azərbaycan Respublikası Prezidentinin 2007-ci il 23 may tarixli 2198 nömrəli Sərəncamı ilə təsdiq edilmiş “Azərbaycan Respublikasının milli təhlükəsizlik konsepsiyası”na, habelə informasiya təhlükəsizliyi üzrə Azərbaycan Respublikasının tərəfdar çıxdığı beynəlxalq müqavilələrə əsaslanır.
Məlumdur ki, ölkələrin beynəlxalq reytinqlərdə yüksəlməsinin və önə çıxmasının səbəblərindən biri də strategiyanın mövcudluğudur. Strategiyaların mövcudluğunu həm də ölkələrin bu tipli təhlükələrə qarşı qalxan kimi qoruyucusu hesab etmək olar. Strategiyalar 5-7-10 illik aralıqlarla dünyada baş verən yenilikləri və inkişaf tendensiyalarını nəzərə alaraq hazırlanır. Hazırda Avropa İttifaqına daxil olan 27 ölkənin, Beynəlxalq Telekommunikasiya İttifaqına üzv olan 193 ölkənin isə 108-inin müəyyən dövrləri əhatə edən informasiya təhlükəsizliyi və kibertəhlükəsizlik strategiyaları mövcuddur.
Strategiya informasiya təhlükəsizliyi və kibertəhlükəsizlik sahəsində Azərbaycan Respublikasında ilk strategiya olmaqla, ölkədə informasiya təhlükəsizliyi və kibertəhlükəsizlik üzrə dövlət siyasətinin tərkib hissəsidir və bu sahədə fəaliyyətin əsas məqsədlərini, prinsiplərini, istiqamətlərini və prioritet vəzifələrini müəyyən edir.
Eyni zamanda, strategiyada qeyd olunan məsələlər həm milli, həm də ümumbəşəri xarakter daşıyır, insanların, cəmiyyətin və dövlətin maraqlarını nəzərə alaraq, dövlət, özəl və qeyri-hökumət təşkilatlarına, fiziki şəxslərə şamil edilir. İnsanların, cəmiyyətin və dövlətin həyati əhəmiyyətli bütün maraqlarının daha yüksək və təkmil səviyyədə qorunması hazırda həm də ölkənin informasiya təhlükəsizliyi və kibertəhlükəsizlik siyasətinin əsas məqsədi kimi müəyyənləşdirilir və onun dinamik inkişaf tələblərinə cavab verməsi nəzərdə tutulur.
Strategiyanın ikinci bölməsi olan qlobal trendlərdə isə çox maraqlı məsələlər qeyd olunub. Bəzilərini vurğulamaq yerinə düşərdi:
2.1.3. informasiya təhlükəsizliyi ilə əlaqəli olan sahələrlə idarəetmə sistemləri arasında harmonizasiya, qurumdaxili və qurumlararası koordinasiya, beynəlxalq əməkdaşlıq, informasiya təhlükəsizliyini istiqamətləndirmə şuraları (“cyber-savvy boards”), informasiya təhlükəsizliyi ekosistemi;
Artıq təbii tələbə çevrilən birgə hərəkət etmək bu bənddə yer tapmışdır. Hücum edən hər zaman ən azı bir addım öndə olmağa çalışır. Qurumlararası əlaqələrin qurulması, koordinasiya və əməkdaşlıq nə qədər keyfiyyətli olsa, o qədər güclü müdafiə sistemi və ya müdafiə ekosistemi yarada bilərik.
2.1.8. süni intellekt mühəndisliyi, idarəetmə üzrə qərarvermədə, riskləri, insidentləri müəyyənetmədə, o cümlədən funksionallıqda anomaliyaları və konfiqurasiyada sanksiyasız dəyişiklikləri dərhal aşkaretmədə, qabaqlayıcı (preventiv) və bərpaedici (korrektiv) əks-tədbirləri hazırlamaqda süni intellekt, rəqəmsal etimad (“digital trust”) texnologiyaları;
Bu bənddə geniş formada inkişaf edən süni intellekt texnologiyalarının gətirə biləcəyi təhdid və zərərlərdən qorunmaq ciddi məsələlərdən biridir. Süni intellekt kimi qərarvermə texnologiyalarının risklərindən qorunmaq və ya həmin risklərdən bir qədər də yayınmaq, qabaqlayıcı tədbirlər və həllər daha ciddi rol oynamağa başlayacaq.
2.1.13. kibertəhdidlərə qarşı mübarizədə daha mükəmməl texnoloji həllərin tətbiqi zərurəti;
Artan kibertəhdidlər nəzərə alınmalıdır və alınacaqdır. Bununla bağlı daha müasir metod və texnologiyaların tətbiqi ciddi əhəmiyyət daşıyır.
2.1.15. “ransomware” hücumlarının artması və bu hücumlara qarşı intensiv maarifləndirmə təşəbbüslərinin icra olunması;
Bir çox insanı qurbana çevirən fidyə proqram təminatı kimi adlandıra biləcəyimiz proqram təminatının zərərlərindən qorunmağın ən effektiv yollarından birisi istifadəçilərin maarifləndirilməsidir. Daimi olaraq, maarifləndirmə fəaliyyəti müxtəlif media vasitələri ilə aparılmalıdır. Əks halda məlumatsızlıqdan vətəndaşa aid məlumatlarının oğurlanması və qarşılığında müxtəlif qeyri-qanuni tələblər çoxala bilər.
Strategiyanın üçüncü bölməsi olan mövcud vəziyyətin təhlili ölkəmizin informasiya təhlükəsizliyi və kibertəhlükəsizlik istiqamətində keçdiyi yolu və tarixi göstərir. Görülmüş bir çox hüquqi və təşkilati tədbirlər göstərilmişdir. Azərbaycan aidiyyəti beynəlxalq konvensiya və proqramlara qoşulmuş, milli qanunvericilik bazası inkişaf etdirilmişdir. Strategiya sənədində qeyd edilmiş bu inkişaf ardıcıllığını elə olduğu kimi sıralamaq daha düzgün addım olardı.
- İlk olaraq, Azərbaycan 2001-ci il noyabrın 23-də Budapeşt şəhərində imzalanmış “Kibercinayətkarlıq haqqında” konvensiyaya qoşuldu. Konvensiyanın müddəalarından irəli gələrək, Azərbaycan Respublikasının Cinayət Məcəlləsinə müvafiq dəyişikliklər edilmişdir.
- Azərbaycan Respublikasının Rəqəmsal İnkişaf və Nəqliyyat Nazirliyində fəaliyyət göstərən standartlaşdırma üzrə “İnformasiya-kommunikasiya texnologiyaları” Texniki Komitəsi (TK05) tərəfindən informasiya təhlükəsizliyi üzrə beynəlxalq standartların əsasında 18 identik milli standart hazırlanmış və müvafiq qaydada dövlət qeydiyyatına alınmışdır.
- Azərbaycan Respublikasında informasiya təhlükəsizliyi sahəsindəki əsas vəzifələrin yerinə yetirilməsi, milli informasiya resurslarının qorunması və təhdidlərin qarşısının alınması və bu sahədə effektiv tədbirlərin gücləndirilməsi məqsədilə informasiya təhlükəsizliyi sahəsində fəaliyyətin təkmilləşdirilməsi tədbirləri “İnformasiya təhlükəsizliyi sahəsində fəaliyyətin təkmilləşdirilməsi tədbirləri haqqında” Azərbaycan Respublikası Prezidentinin 2012-ci il 26 sentyabr tarixli 708 nömrəli Fərmanı ilə müəyyən edilmişdir. Bu Fərmanla informasiya təhlükəsizliyi məsələlərinə məsul olan qurumlar – Azərbaycan Respublikası Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi və Azərbaycan Respublikasının Rəqəmsal İnkişaf və Nəqliyyat Nazirliyi yanında Elektron Təhlükəsizlik Mərkəzi yaradılmışdır. “Azərbaycan Respublikasının Rabitə və Yüksək Texnologiyalar Nazirliyi yanında Elektron Təhlükəsizlik Mərkəzinin fəaliyyətinin təmin edilməsi haqqında” Azərbaycan Respublikası Prezidentinin 2013-cü il 5 mart tarixli 833 nömrəli Fərmanında dəyişiklik edilməsi barədə” Azərbaycan Respublikası Prezidentinin 2018-ci il 19 sentyabr tarixli 276 nömrəli Fərmanı ilə qeyd olunan mərkəzə Xidmət statusu verilmişdir. “Xüsusi dövlət mühafizəsi sahəsində idarəetmənin təkmilləşdirilməsi haqqında” Azərbaycan Respublikası Prezidentinin 2020-ci il 16 mart tarixli 957 nömrəli Fərmanı ilə Azərbaycan Respublikası Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyinin bazasında müstəqil olaraq Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidməti yaradılmışdır.
- Azərbaycan Respublikası Prezidentinin 2014-cü il 2 aprel tarixli 359 nömrəli Sərəncamı ilə təsdiq edilmiş “Azərbaycan Respublikasında informasiya cəmiyyətinin inkişafına dair 2014-2020-ci illər üçün Milli Strategiya”da müxtəlif sahələrin inkişafı kimi, informasiya təhlükəsizliyinin təmin edilməsi də öz əksini tapmışdır.
- Azərbaycan Respublikası Prezidentinin 2018-ci il 29 mart tarixli 3851 nömrəli Sərəncamı ilə İnformasiya Təhlükəsizliyi üzrə Koordinasiya Komissiyası yaradılmışdır.
- Azərbaycanda TIER III səviyyəli, ISO/IEC 20000 və ISO/IEC 27001 standartlarına uyğun Data Mərkəzi yaradılmış və fəaliyyəti təmin edilmiş, “Elektron hökumət”in inkişafı, “Rəqəmsal hökumət”ə keçidin təmin edilməsi, dövlət qurumlarının informasiya texnologiyalarına, elektron xidmətlərin yaradılmasına və göstərilməsinə tələb olunan dövlət xərclərinin optimallaşdırılması, informasiya sistemlərinin fəaliyyətinin daha müasir standartlar əsasında keyfiyyətli, dayanıqlı və təhlükəsiz infrastrukturda təşkilinin təmin edilməsi, vətəndaşların bu imkanlardan sərbəst istifadəsi məqsədilə “bulud texnologiyası”nın tətbiqi məqsədilə “Hökumət buludu”nun (“G-cloud”) yaradılmasına başlanılmışdır.
- “Kritik informasiya infrastrukturunun təhlükəsizliyinin təmin edilməsi sahəsində bəzi tədbirlər haqqında” Azərbaycan Respublikası Prezidentinin 2021-ci il 17 aprel tarixli 1315 nömrəli Fərmanına əsasən, Azərbaycan Respublikasında kritik informasiya infrastrukturunun və onun tərkibinə daxil olan informasiya sistemlərinin, informasiya-kommunikasiya şəbəkələrinin və avtomatlaşdırılmış idarəetmə sistemlərinin təhlükəsizliyinin gücləndirilməsi məqsədilə ardıcıl tədbirlər həyata keçirilir.
- Beynəlxalq təcrübəyə uyğun olaraq ölkədə kibertəhlükəsizlik insidentlərinə cavabvermə qrupları (CERT) fəaliyyət göstərir. Azərbaycan Respublikasının Rəqəmsal İnkişaf və Nəqliyyat Nazirliyi yanında Elektron Təhlükəsizlik Xidməti – Milli CERT (www.cert.az) ölkə üzrə kibertəhlükəsizliyin pozulmasına yönəlmiş hərəkətlərin aşkarlanmasını, qarşısının alınması üçün preventiv tədbirlərin həyata keçirilməsini təmin edən əlaqələndirici qurum kimi çıxış edir. Azərbaycan Respublikası Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi (www.cert.gov.az) dövlət qurumlarının kibertəhlükəsizliyinin pozulmasına yönəlmiş hərəkətlərin aşkarlanmasını, qarşısının alınması üçün preventiv tədbirlərin görülməsini, eləcə də onların təhlükəsiz internet şəbəkəsi ilə təmin edilməsini və 24/7 Təhlükəsizlik Əməliyyatları Mərkəzi (SOC) vasitəsilə təhlükəsizliyinin nəzarətdə saxlanılmasını həyata keçirir. Milli Elmlər Akademiyasının Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi “AzScienceCERT”(www.sciencecert.az) elm-kompüter şəbəkəsinin təhlükəsizliyinə məsuldur.
- Azərbaycan Respublikası Dövlət Təhlükəsizliyi Xidməti tərəfindən “Kibercinayətkarlıq haqqında” Konvensiyaya uyğun olaraq, kiberməkanda törədilən cinayətlərin araşdırılması məqsədilə xarici həmkarlara təcili köməyin (verilənlərin mühafizəsi) təmin olunması ilə bağlı fəaliyyət həyata keçirilir.
Qeyd etmək lazımdır ki, strategiya hazırlanarkən Avropa və digər inkişaf etmiş ölkələrin mövcud strategiyaları araşdırılmış, beynəlxalq təcrübədən istifadə edərək, ölkəmizdə necə tətbiq olunacağı da düşünülmüşdür.
Strategiyanın dördüncü bölməsində əhatə etdiyi dövr üçün nəzərdə tutulan “Hədəf göstəricilər”dən bəhs edilmişdir və bu sahədə risklərin reyesterinin yaradılmasının da nəzərdə tutulduğu qeyd edilmişdir.
4.1.2. informasiya təcavüzünə və həqiqətlərin təhrif edilməsinə, milli dəyərlərin pozulmasına aid təhdidlərin qarşısını ala bilən müasir texnologiyaların (o cümlədən, süni intellektə əsaslanan texnologiyaların) işlənib hazırlanması üçün fəaliyyətin gücləndirilməsi;
Hal-hazırda yerli və dünya mediasında yalan və təhrif olunmuş məlumatlar, kifayət qədər çoxalmışdır. Müxtəlif formada informasiya ilə təcavüzə, milli dəyərlərin pozulmasına gətirib çıxaran məsələlərlə mübarizə strategiyanın hədəflərindən bir olmuşdur. Sürətlə inkişaf edən Süni intellekt texnologiyaları səs və görüntülərindən istifadə edərək, olmamış bir hadisəni olmuş kimi rəsmi şəxslərin səsi və görüntüsü ilə təqdim edə bilir. Bu hal cəmiyyətdə müxtəlif çaşqınlığa səbəb ola bilər. Elə bu problemin aradan qaldırılması və müvafiq tədbirlərin görülməsi üçün süni intellekt texnologiyalarının imkanlarından istifadə hədəflərdən biri kimi qeyd olunub.
4.1.4. informasiya mühafizəsinin texniki, kriptoqrafik, proqram və digər vasitələr üzrə təminatının təkmilləşdirilməsi, bu sahədə yerli istehsalçıların inkişafına dəstək verilməsi;
Göründüyü kimi, bu bənddə texniki və kriptiqrafik proqramların yerli istehsalçılar tərəfindən inkişaf etdirilməsi hədəf kimi qoyulmuşdur. Bu, həqiqətən, çox ciddi addımdır. Təhlükəsizliklə bağlı proqram təminatının milli səviyyədə hazırlanmasının bizə ciddi imkanlar qazandıracağına şübhə yoxdur.
Fərdi məlumatların mühafizəsinin gücləndirilməsi, bir çox kompleks sistemlərdə, kritik informasiya infrastrukturu obyektlərində, milli mediada təhlükəsizliyin təkmilləşdirilməsi hədəflər arasındadır.
4.1.14. informasiya təhlükəsizliyi və kibertəhlükəsizlik sahəsində elmi tədqiqat və layihə-təcrübə işlərinin real tətbiqləri nəticəsində rəqabətədavamlı məhsulların işlənməsi və hazırlanması;
İnformasiya təhlükəsizliyi və kibertəhlükəsizlik sahəsində aparılan tədqiqat işlərinin çoxalmasına həqiqətən ehtiyac vardır. Eyni zamanda, milli şifrələmə üsulları, milli əməliyyat sistemləri kimi bir çox komponentlərin yaradılması və inkişaf etdirilməsi, elmi tədqiqat işlərinə real yanaşma və həllər üçün mühit yaranacağı qənaətindəyəm.
4.1.15. informasiya təhlükəsizliyi və kibertəhlükəsizlik sahəsində fəaliyyət üçün kompetensiya (bilik, bacarıq və səriştə) tələbatları, tədris və təlim proqramları, maarifləndirmə materialları bazasının formalaşdırılması və aktuallığının davamlı təmin olunması;
4.1.20. cəmiyyətdə geniş maarifləndirmə və məlumatlandırma nəticəsində informasiya təhlükəsizliyi və kibertəhlükəsizlik mədəniyyətinin yüksəldilməsinin təmin edilməsi;
Hər zaman vurğuladığımız maarifləndirmə işlərinin də strategiyada yer tapması xüsusi sevindirici məsələdir. Ona görə ki ciddi əhəmiyyətə sahib olan informasiya təhlükəsizliyi və kibertəhlükəsizliyin hər bir vətəndaş üçün prioritet məsələ olduğunun izah olunmasına və məktəblərdən tutmuş iş yerlərinə qədər təlimlər keçirilməsinə çox ehtiyac vardır.
Bundan başqa, informasiya təhlükəsizliyi və kibertəhlükəsizlik sahəsində kadr hazırlığı və bu kadrların məşğulluq səviyyəsinin, təhsil müəssisələrində səmərəliliyin artırılması, yeni təhsil mərkəzlərinin, beynəlxalq şirkətlərlə birgə laboratoriyaların formalaşdırılması hədəflər arasındadır.
4.1.21. internetdən gələn qlobal təhdidlərdən, zərərli informasiyalardan və yaranan fəsadlardan uşaqların mühafizəsi;
Eyni zamanda, uşaqların da zərərli informasiyalardan qorunması üçün müxtəlif filtrləmə və digər üsullardan istifadə edilərək, fəsadlardan qorunma göstərilən bənddə yerini tapmışdır.
İnformasiya təhlükəsizliyi və kibertəhlükəsizlik üzrə beynəlxalq əməkdaşlıq, ölkəmizin beynəlxalq reytinqlərdə yerinin yaxşılaşdırılması, milli standartların tətbiqi və təkmilləşdirilməsi, startapların fəaliyyətinin genişləndirilməsi kimi hədəflər mövcuddur.
Strategiyanın 4 bölməsinin ümumi olaraq izahına çalışdıq. Ümid edirəm ki, bir qədər sadələşdirərək, ana fikri izah etməyə çalışdığımız bu mükəmməl sənəd hər kəs üçün faydalı olacaqdır.