Ақпараттандыру саласындағы ақпараттық қауіпсіздік немесе киберқауіпсіздік – электрондық ақпараттық ресурстардың, ақпараттық жүйелердің және ақпараттық – коммуникациялық инфрақұрылымның сыртқы және ішкі қатерлерден қорғалуының жағдайы.
Қазақстанда қазіргі таңда киберқауіпсіздік саласының дамуы мәселесіне ерекше назар аударылуда. Мемлекеттік органдардың, үкіметтік емес ұйымдар мен бизнестің бірлесіп атқарған жұмысының нәтижесінде – еліміз дүниежүзілік киберқауіпсіздік индексінде біраз ілгерлеушілік байқатуда. Мысалы соңғы көрсеткіштер бойынша 42 тармаққа көтеріліп, 40 – орынды иеленіп отыр.
Ақпараттық қауіпсіздік ол біздің күнделікті өміріміздің ажырамас бөлігі болып келеді. Ақпараттық қауіпсіздік негізінен үш маңызды қағиданы сақтаудан тұрады. Олар: 1) Құпиялылық, 2) Қолжетімділік, 3) Тұтастық. Енді осылардың әрқайсысына қысқаша түсініктеме бере кетейік.
Құпиялылық ол – ақпаратқа тек соған құқығы бар адам ғана қол жеткізе алуы тиіс.Ал мұндай құқығы жоқ адамға ақпаратқа қолжетімділік әрқашан жабық болуы керек. Мысалы, ұялы телефоныңыздың құпия сөзін немесе банк картаңыздың нөмері мен PIN кодын сізден басқа ешкім білмеуі керек.
Қолжетімділік - аты айтып тұрғандай, ақпарат қажет болған уақытта ол қолжетімді болуы керек. Тез әрі дәл сол мезетте. Мысалы, өзіңізді белгілі бір медициналық мекемеге тіркеу үшін, денсаулық сақтау органының сайты арқылы өтініш беру керек. Басқаша жасаудың жолы жоқ. Алайда сіз қызмет алуға тиіс порталдың сайты ашылмайды немесе ашылғанмен ол жерде қандай да бір іс-әрекет жасауға мүмкін емес. Бұл ақпараттық қауіпсіздіктің талаптарына қайшы келіп тұр.
Тұтастық – бұл ақпарат әрқашан дұрыс әрі нақты болу керек дегенді білдіреді. Ол өздігінен өзгермеуі керек және әдейі бұрмаланбауы керек. Мысалы, сіз өз картаңыздан екінші бір адамның картасына ақша аударғанда, бағдарламалық жасақтама ақша алушының карта нөмерін өзгертіп, ақшаны орта жолда қаскүнемдердің картасына аударып жіберуі мүмкін. Ақпараттық қауіпсіздікте мұндайға жол берілмеуі керек.
Мамандардың жүргізген әлеуметтік сауалнамаларына сүйенсек, сауалнамаға қатысқандардың 57 % - интернет арқылы ақпарат алатындықтарын айтқан, 35 % - интернет және теледидар арқылы алады екен ақпаратты, ал 6 % - оған мобильді қосымшалар арқылы қол жеткізеді.
Сіз кибершабуылдарға ұшырадыңыз ба? – деген әлеуметтік сауалнамаға қатысқандардың жауаптарына қарап кибершабуылдарға ұшырамағандардың саны жыл сайын азайып отырғанын көруге болады. Мысалы – 2018 жылы жүргізілген сауалнамаға қатысқандардың 51 пайызы кибершабуылға ұшырамағандығын айтса, 2019 жылы олардың үлесі 56 пайызды көрсеткен, ал 2020 жылы 46 пайыз адам мұндай шабуылдарға ұшырамағандықтарын көрсеткен. Бұдан байқайтынымыз кибершабуылға ұшырағандардың санының артып келе жатқандығы.
Кибершабуылдардың да түр-түрі болатыны белгілі. Сіз соңғы жылдары кибершабуылдардың қандай түрлеріне ұшырадыңыз ? – деген жүргізілген әлеуметтік сауалнама нәтижелері төмендегідей.
Бұдан компьютерлік вирустар шабуылы жыл санап артып келе жатқандығын байқауға болады. Бұл азаматтардың компьютерлік шабуылдардан қорғанатын құралдарды өз деңгейінде пайдаланбайтынын көрсетеді. Мұны жүргізілген сауалнама нәтижесінен көруге болады. Мысалы тек 5,9 % ғана адам ақылы лицензиялық бағдарламаларды қолданса, 51,4 пайыз тегін лицензиялық бағдарламаларды, ал 29 пайызы лицензиялық емес тегін бағдарламаларды қолданатындықтарын айтқан. Ал 9,4 пайыз адам қорғау құралдарын мүлдем қолданбайды екен.
Сонымен қатар, 2018 жылмен салыстырғанда 2019 жылы банк карталарына жасалған кибер алаяқтық біршама төмендеген. Мысалы 2018 жылы бұл көрсеткіш 7,2 пайызды құраса, 2019 жылы 2,5 пайызды құраған.
Мамандар жеке ақпараттық қауіпсіздіктің негізгі 7 қадамын ұсынады.
Ең басты, 1 – қадамда Электрондық цифрлық қолтаңбаларыңызды ең бағалы заттай сақтау керек. Қазіргі күні әрбір азамат ЭЦҚ оңай ала алады. ЭЦҚ өте ыңғайлы әрі сенімді екені белгілі. Алайда ЭЦҚ айтарлықтай қауіп бар, оны біле жүру артық болмайды. Егер ЭЦҚ ұрланатын болса онда басқа біреу құжаттарға қол қоя алады. Олар өте маңызды құжаттар болуы мүмкін.
ЭЦҚ қолды қылмау үшін, оны ең сенімді жерге сақтау керек. Мұндай сақтау орны Республика азаматтарының жаңа үлгідегі барлық жеке куәліктеріне орнатылған электронық чип. ЭЦҚ алған кезде оны жеке куәлікке жазып беруін сұраңыз. Алайда жеке куәлікті ЭЦҚ қоймасы ретінде пайдаланудың да өз қиындықтары бар. Жеке куәліктегі ЭЦҚ қолдану үшін сізге арнайы құрылғы кард-ридед қажет болады.
Егер сізде ондай мүмкіндік жоқ болса, онда «токен» деп аталатын арнайы қойманы пайдалануға болады. Ол негізі флэш-жинақтағышға ұқсайды, бірақ ЭЦҚ үшін сенімді.
Әдетте ЭЦҚ беру кезінде халыққа қызмет көрсету орталығының қызметкерлері бірыңғай типтік құпиясөз орнатады. Мұндай жағдайда міндетті түрде ЭЦҚ құпия сөзін өзгерту керек, немесе ЭЦҚ алу кезінде типтік құпиясөз емес, өзіңіздің жеке құпиясөзіңізді орнатуды сұрау қажет.
ЭЦҚ ешқашан электрондық пошта арқылы жібермеу керек. Поштаны бұзуға болады, содан кейін ЭЦҚ ұрланады. Қалайда жіберу керек болса, «құпиясөзбен мұрағаттау» әдісін қолдану керек.
ЭЦҚ бөтен компьютерлерге көшіруге болмайды. Сондай – ақ ЭЦҚ компьютерге сақтауға да кеңес бермейді мамандар.
Киберқауіпсіздікті сақтаудың 2 – қадамы ол – кұпиясөз. Барынша күрделі құпиясөздерді қолдануға тырысу керек. Бірақ өзіңізге есте сақтауға оңай болғаны жөн. Бізде көру жадына жауап беретін ми бөлігінің жақсы дамығандығын ескерсек, онда осы қасиетті құпиясөз ойлап табу кезінде тиімді пайдаланан жөн. Компьютердің алдына отырып айналаңызға қарасаңыз, көз алдыңызда жүздеген түрлі заттар бар екенін байқауға болады. Ескере кететін бір жайт құпиясөзді ойлап табу кезінде бір затты алған болсаңыз, онда оның атауы мен түсін қоса жазу керек.
Ешқашан құпиясөзді бөтен адамға бермеу керек.
3- қадам ол электрондық поштаны қолданған кезде абай болу керек. Дербес компьютерлерге вирус жұқтырудың ең көп таралған тәсілі – ол зиянды мазмұны бар электрондық хат жіберу. Мұндайдан сақтану үшін – өздігінен іске қосылатын файлдарды ешқашан ашпау керек. Бұл файлдарды атауының соңындағы соңғы нүктеден кейін келетін әріптер арқылы ажыратуға болады. Ол әріптердің жиі кездесетін түрлерін ұсынамыз: .exe, .com, .cmd, .msi, .bat. Бұл әріптердің ресми атауы- файл кеңейтілімі. Мұндай кеңейтілімдері бар тіркеу файлдарын ашуға болмайды.
Хакерлер дербес компьютерлерден бөлек кеңселік қосымшалардың файлдарын да түрлендіре алады. Олар ол үшін макростарды пайдаланды. Макростар – ол кеңселік қосымшалардың стандартты буманы жазып алуға және ойнатуға мүмкіндік беретін командалар жиынтығы. Сондықтан қандай жағдайда болмасын файлдармен бірге электрондық пошта арқылы келген «макростарды» іске қоспау керек.
Күдікті хаттарды ашуға, оларға жауап беруге, оларда көрсетілген сілтемелерге өтуге болмайды.
Қауіпсіздікті сақтаудың 4 қадамы – вирусқа қарсы қорғанысты қолдану. Бұл үшін Антивирусты қолдану керек. Атауынан көрініп тұрғандай Антивирус- «вирустардан» қорғайтын құрал. Компьютерлік вирустар нақты жұқпалы ауруларға ұқсас, тек айырмашылығы ол адамдарға емес,компьютерлік жүйелерге әсер етеді. Смартфон мен компьютерге қандай да болсын сенімді антивирусты орнату керек және оның жаңартуларын өшіруге болмайды.
5 – қадам ол жаңартулардан тұрады. Яғни бағдарламалық жасақтардың жаңартылуын қадағалап, орнату керек. Антивирус пен операциялық жүйе автоматты түрде жаңартылып тұруы тиіс.
Жасанды бағдарламалық жасақтаманы пайдаланудан аулақ болған жөн. Жаңартуларды өшіріп тастамау керек екендігін мамандар шегелеп ескертеді.
6 – қадамға әлеуметтік инженерия, әлеуметтік желілер және скимминг. Енді осы ұғымдарға жеке - жеке тоқтала кетсек, әлеуметтік инженерия деген- ол адам психологиясының ерекшеліктеріне негізделген, ақпаратқа қажетті қолжетімділікті алу әдісі. Яғни бөгде адамдар, сізді психологиялық түрде тұзаққа түсіріп, өздеріне керекті мәліметтерді алып алулары мүмкін. Ешқашанда қағазға жазылған құпиясөздерді көрінетін немесе бөгде адамдарға қолжетімді жерлерде қалдырмаңыз .
Ал әлеуметтік желілер туралы бәріміз білеміз. Бұлар біз туралы ашық әрі артық ақпарат көзі болуы мүмкін. Әлеуметтік желілерде парақшалары бар азаматтардың 53,6 пайызы өз өмірі туралы ақпаратты әлеуметтік желілерге салады екен. Ал 39,5 қазақстандықтар сайттарда авторизациялану үшін электрондық пошта мен жеке аккаунттарын пайдаланады.
Есте болатын бір нәрсе, ол қаскүнемдер біздің эмоцияларымызды пайдаланып қалуға тырысады.
Скимминг – ол арнайы оқу құрылғысының, скиммердің көмегімен банк картасының деректерін немесе құписөзді ұрлау. Көпшілік жерлерде бейнекамералар көп болғандықтан, құпиясөзді барынша жасырын енгізу керек. Пин-кодты немесе құпиясөзді енгізген кезде пернетақтаны алақанмен жабу керек.
Бейтаныс адамдармен телефон арқылы банк шоттар немесе карталар туралы сөйлесуден аулақ болу керек. Күдікті банкоматтар мен төлем терминалдарын пайдаланбаған дұрыс. Картаңызды сатушыға, кассирге ұзақ уақытқа бермеңіз.
7- қадам ол резервтік көшірме. Ақпарат жоғалып кетуі мүмкін. Ол хакерлердің шабуылының әсерінен ғана болмайтын құбылыс. Телефон жоғалып кетіп жатады әдетте немесе компьютердің қатқыл дискісі қүйіп кету де ғажап емес.
Сауалнама нәтижесіне сүйенсек – азаматтардың 52,3 пайызы деректердің резервтік көшірмелерін жасамайды, ал сауалнамаға қатысқандардың 38,7 пайызы резервтік көшірмелердік құрумен айналысады екен.
Қазақстандықтардың 39,7 пайызы ақпараттарын компьютерде сақтаса, 31,5 пайызы флэш- жинақтағышта, ал 20,2 пайызы бұлтты сервистерде сақтайды екен. Ал сауалнамаға қатысқандардың 89,7 пайызы жеке деректерін кім және қандай мақсатта қолдану мүмкін екендігін білмейтін болып шықты.
Маңызды ақпараттарды сақтау үшін оларды сыртқы ақпарат тасымалдағыштарда көшіріп отыру керек. Мұның қарапайым жолы – резервтік көшірмелердің көптеген сервистерін пайдалану. Олардың ақылысы да тегіні де бар. Google, Apple iCloud, Mail.ru, Yandex бұлтты сақтағыштар бар. Бұлар шетелдік сервистер болса, Oblaka.kz және Ps.kz деген қазақстандық бұлтты сақтау орындары сервистерінде қолдануға болады.
Кибершабуылдарға төтеп беру үшін, өзіңізге тиесілі өзгелер білмеуі тиіс ақпараттарды сақтау үшін жоғарыда аталған жеті қадамды сақтасаңыз, сонда сіз жеке ақпараттық қауіпсіздігіңізді қорғай аласыз деген сөз.
Қауіпсіздікті сақтауда тағы бір есте болатын нәрсе – ол құқыңыздың заңмен қорғалатындығы. Банктен несие рәсімдеген кезде банк қызметкеріне барлық дербес деректер туралы мәліметті жайып саламыз. Сол кезде құжаттарға қол қойғанда, оператор жинайтын дербес деректердің тізбесіне, дербес деректерді жинау мақсаттары мен мерзімдеріне, жиналған дербес деректерді үшінші тұлғаларға беру мүмкіндігіне, деректерді трансшекаралық беру туралы ақпаратқа мұқият назар аудару қажет. Сонымен қоса, жеке деректердің заңсыз таралуынан қорғану үшін ұйымның жеке деректерінің құпиялылығын сақтау саясатымен танысу да артық болмайды.
Ерке Жомарт,
«Адырна» ұлттық порталы