Oʻzbekiston respublikasi oliy va oʻrta maxsus ta’lim vazirligi begbo’tayev
IoT - buyumlar interneti sohasida xavfsizlik masalalari
Download 7.57 Mb.
|
Begbutayev A Yusupov RUquv qollanma tarmoq texnologiyalari Kitob
IoT - buyumlar interneti sohasida xavfsizlik masalalariOxirgi paytlarda axborot xavfsizligi masalasiga tegishli boʻlgan barcha tadbirlarda eng koʻp muhokama qilinayotgan asosiy masalalardan biri bu “buyumlar interneti” hisoblanadi. Aynan ushbu texnologiya oʻtgan yili ham ushbu soha mutaxassislar aqlini koʻproq egallab, turli ommaviy axborot vositalaridagi yangiliklarda tez-tez uchrab turdi. Ekspertlarning fikricha ushbu tendensiya kelgusida ham pastlamaydi. SHu sababli, ushbu maqolamizda “buyumlar interneti” nomi ostida qoʻllaniladigan texnologiyalar tomonidan ayni paytda etkazilishi mumkin boʻlgan dolzarb xavflar koʻrib chiqiladi. Internetga chiqishi mavjud boʻlgan koʻp sonli qurilmalar buzilishdan etarli darajada himoyalanmagan boʻladi. Ularning koʻpchiligiga bir xil parollar oʻrnatilgan boʻlib, baʻzilarida koʻpchilikka maʻlum boʻlsada, biroq tuzatilmagan zaifliklar mavjud. “Aqlli” buyumlarni ishlab chiqaruvchilar aksariyat holatlarda xavfsizlik masalalariga befarqlik munosabatida boʻladi, foydalanuvchilarning esa, uyidagi har bir buyum bilan shugʻullanishga vaqti boʻlmaydi. Bunday vaziyat esa fojeaviy oqibatlarga olib keladi. Oʻtgan yili “narsalar interneti” bilan bogʻliq hodisalar orasida eng ovoza boʻlgani Miraj botneti boʻldi. U deyarli butunlay obroʻsizlantirilgan IoT-qurilmalardan tashkil topgan boʻlib, tarixdagi eng yirik DDoS-hujumlarga sabab boʻldi. Qonunbuzarlar faoliyatining asosiy mazmuni, IoT-qurilmalarni boshqarishda koʻp foydalanadigan soddalashtrilgan Linux versiyasi boshqaruvidagi qurilmalarga kirib boradigan troyan dasturidan foydalanishdan tashkil topgan. Bunda buzib kirish harakatining oʻzi unchalik murakkab emas boʻlib chiqdi dastur bor-yoʻgʻi 61 ta defoltli loginlar va parollar kombinatsiyasini toʻliq terish usuli orqali qurilmaga kirishni qoʻlga kiritgan. Biroq obroʻsizlantirilgan qurilmalarning umumiy soni 493 mingdan oshgan edi. Ularning orasida termoregulyatorlar, sovutgichlar va tosterlar kabi “aqlli buyumlar” ham mavjud edi. Miraj botnetidan DDoS-hujumlar choʻqqiga chiqqan vaqtda ularning tezligi bir soniyada bir terrabaytgacha etgan. DNS operatoriga uyushtirilgan hujumda ushbu botnetdan foydalanish, hujumni qaytarish uchun qoʻllanilgan tezkor tadbirlarga qaramasdan taniqli bir qator xizmatlarga kirishda muammolar tugʻdirdi, bular jumlasiga Twitter, GitHub, Soundcloud va Spotify xizmatlari kiradi. Har kunlik hayotimizga yuksak texnologiyalarning kirib kelishi yangidan-yangi xavflarni taqdim qiladi. Yаqingacha qonunbuzarlarning faolligi axborot xavfsizligi bilan cheklangan boʻlsa, hozirda xavf ostiga odamlarning hayoti va sogʻligi qolmoqda. Hozircha bular havotirli tahmin hisoblanadi, biroq hayotiy reallik IoT-qurilmalar bilan ishlashda jismoniy xavfsizlik haqida bugundan qaygʻurishga majbur qilmoqda. Eng dolzarb masala – kun sayin “aqlli” boʻlib borayotgan avtomobillar hisoblanadi. Bugungi kunda avtonom mashinalar Gonkong, Dubay, AQSHning bir qator shtatlari va Yevropaning baʻzi mamlakatlarida koʻcha kezib yuribdi. Ammo bunday avtonom avtomobillar baʻzida xalokatga uchraydi, masalan, Tesla avtopilotining ishidagi nosozliklar bilan bogʻliq noxush hodisalar koʻp muhokamaga uchraydigan holat boʻldi. Ushbu hodisalar uchun javobgarlikni oʻz zimmasiga avtomobil egasi olishi kerakmi yo uning ishlab chiqaruvchisimi, buni hali aniqlash zarur. Avtopilot tizimini hisobga olmagan holda ham, bilamizki, zamonaviy avtomobil turli yuqori texnologiyali modullar bilan, boshqaruv datchiklari va vositalari bilan jihozlangan, ular, tabiiyki, distansion boshqaruvga ega, shu jumladan internet orqali ham. Borgan sari, avtomobillardagi muammolar haqida yangidan-yangi xabarlar tarqalmoqda, ular mashinalarning mexanizmlari bilan emas, balki, aynan dasturiy taʻminot bilan bogʻliq. Ushbu dasturiy taʻminotning xavfsizligi, huddi maishiy IoT-qurilmalarining holatidagidek hali anchagina ish talab qiladigan ahvolda. Ushbu muammo turli ishlab chiqaruvchilarga tegishli: masalan, oʻtgan yilning kuzida General Motors kompaniyasi dasturiy taʻminotdagi xatoliklar tufayli 3 milliondan ortiq avtomobillarni qaytarib olishga majbur boʻldi, ushbu xatoliklar xavfsizlik yostiqchasi va xavfsizlik kamarining nosozliklari bilan bogʻliq boʻlgan. Shuningdek, Volkswagen konserni bilan sodir boʻlgan janjal haqidagi ovoza keng tarqaldi, bunda avtomobillarga zararli moddalarni chiqarishning real koʻrsatkichlarini pasaytirib koʻrsatuvchi dastur oʻrnatilgan. Bundan tashqari, avtomobillarni “kompyuterlashtirish” sababli ularni masofali buzish imkoni mavjud boʻldi. SHu yoʻl bilan tadqiqotchilar va xakerlar Chrysler, Tesla, Mitsubishi kompaniyalariga tegishli va bir qancha boshqa rusumdagi avtomobillarga avtorizatsiyalanmagan kirish huquqini qoʻlga kiritishdi. Agar avtomobillarni buzish – unchalik qoʻrqinchli tuyulmasa, u holda tibbiyot sohasidagi ishlar umuman oʻzgacha ahvolda. Yuksak texnologiyalar tibbiyot xodimlariga katta imkoniyatlar taqdim etadi, telemeditsinadan tortib, to diagnostika va davolashning zamonaviy usullarigacha. Biroq bu yerda ham xavfsizlik masalasi hal qilinmagan. Tibbiyot texnikasini ishlab chiqaruvchi mutaxassislar koʻpincha yovuz niyatlilarning aralashish ehtimolini eʻtibordan chetda qoldiradilar. Axborot xavfsizligining ekspertlari telemeditsinaga oid servislar va texnik vositalarni tahlil qilib, havotirli xulosaga keldilar – kasal va shifokor orasidagi bogʻlanish aksariyat holatlarda zaif hisoblanadi. Ushbu muammoni shifrlashni qoʻllagan holda bartaraf etsa boʻladi, biroq, telemeditsina uchun allaqachon zaif shifrlanmagan protokolli asboblardan foydalanilmoqda. Surunkali ogʻir kasalliklari boʻlgan odamlar egnida olib yuruvchi qurilmalar ularning sogʻligi uchun alohida xavf tugʻdiradi, bular insulin pompalari va kardiostimulyatorlar. Zaif simsiz uzatkichlar kardiostimulyatorlar va defibrillyatorlarga topshiriq yuborishi mumkin, qurilmalarning koʻpchiligi esa 830 voltgacha boʻlgan tokni generatsiya qila olishi mumkin. Koʻpchilik davlatlarda bunday qurilmalarning sifati uchun toʻgʻridan-toʻgʻri javob beradigan mutasaddi idoralar mavjud emas. Kengayib borayotgan “buyumlar interneti”ga oid boʻlgan yana bir masala, bu foydalanuvchilarning gʻayrirasmiyligi masalasidir. Gap shundaki, “aqlli” qurilmalar oʻz egalari toʻgʻrisida anchagina miqdorda maʻlumot toʻplaydi. Qurilmalar egalari haqida, ularning ishlab chiqaruvchilari ham aynan nimani bilishlari ustidan deyarli nazorat qilib boʻlmay qoldi. Noqulay, biroq optimistik ssenariyda ushbu maʻlumotlar reklama beruvchilarga sotilishi mumkin. Ammo ushbu maʻlumotlar qonunbuzarlar qoʻliga tushib qolsa vaziyat boshqa koʻrinish olishi turgan gap. Bunday qurilmalardan olingan maʻlumotlar foydalanuvchining maksimal darajadagi toʻliq va batafsil “portreti”ni shakllantirib berishi mumkin. Bugungi kunning oʻzida Shodan xizmati yordamida ancha keng miqdordagi veb-kameralardan video tomosha qilish mumkin. Foydalanuvchilar allaqachon ushbu xizmat orqali banklar, kollej va maktablarni, politsiya xodimlarining buzilgan kameralaridan translyasiyalarni, xususiy uylar va bebi-monitorlar “kuzatuvi” dagi uxlayotgan koʻp sonli yosh bolalarni tomosha qilish yoʻllarini aniqlab topganlar. Bundan tashqari, koʻpchilik foydalanuvchilar bu vaziyat bilan bogʻliq boʻlgan davlatning oʻz fuqarolari ustidan kuzatib yurish holatlarining koʻpayib ketishidan havotirdalar. Koʻp davlatlarning maxsus xizmatlari tahmin qilinayotgan qonunbuzarlarni asossiz kuzatuvga olganliklari va raqamli sohadagi vakolatlaridan haddan ortiq foydalanganliklari sababli tanqid ostida koʻp qolmoqdalar. Bu borada uylarimizdagi “aqlli” qurilmalarimiz anchagina katta boʻlgan hajmdagi maʻlumotlarni taqdim etmoqda. Misol tariqasida AQSHning Arkanzas shtatida sodir boʻlgan voqeani keltirib oʻtamiz. Xonadon egasi tomonidan Amazon kompaniyasidan sotib olingan aqlli kolonka mudxish qotillikning “guvohi”ga aylandi. Tergov olib boruvchilar ushbu qotillikni xonadon sohibi sodir etgan deb hisoblamoqdalar. Amazon Echo kolonkasi ovozli boshqaruvga ega va muvofiq ravishda uyda roʻy berayotgan barcha narsalarni eshitadi va yozib oladi. Kolonkadan tashqari politsiya ashyoviy dalil sifatida “aqlli uy”ning boshqa qurilmalaridan ham foydalangan: termostat, signalizatsiya tizimi va suv oʻlchagichdan. “Internet buyumlar” bilan bogʻliq muammolar barchaga maʻlum, biroq ularning yyechimini tezlik bilan topishga hozircha imkon mavjud emas. Bunga qaramay, bu yoʻnalishda siljishlar kuzatilmoqda. Yaqindan boshlab davlatlar ushbu mavzu bilan jiddiy shugʻullana boshladilar. Masalan, Rossiyada 2017 yilda industrial internetga oid normativ- huquqiy bazani yaratish boʻyicha harakatlar boshlab yuborildi. Jumladan, uskunalar va dasturiy taʻminot darajasida maʻlumotlarni toʻplash infratuzilmasiga talablar ishlab chiqilgan va maʻlumotlarni toʻplash, ishlov berish va saqlash tartiblari belgilangan. Amerika hukumati ham borgan sari IoT-qurilmalariga tegishli muammolar bilan koʻproq shugʻullana boshlagan. Xususan, AQSHning Ichki xavfsizliki vaziri va Ichki xavfsizlik departamenti ishlab chiqaruvchilarni qurilmalarni xavfsizliklarini, yuqorida keltirib oʻtilgan DNS- provayderga uyushtirilgan DDoS-hujumdan soʻng maksimal darajada taʻminlashlariga chaqirdilar. 2017 yilda Toshkent shaxrida «ICTWEEK Uzbekistan – 2017» axborot-kommunikatsiya texnologiyalari haftaligi doirasida Xalqaro elektraloqalar ittifoqining «IoT» buyumlar interneti sohasi kiber xavfsizligining muhim masalalariga bagʻishlangan hududiy seminar oʻtkazildi. Oʻzbekiston Axborot texnologiyalari va kommunikatsiyalarni rivojlantirish vazirligi hamda Xalqaro elektraloqalar ittifoqi tomonidan tashkil etilgan tadbirda Oʻzbekiston, Moldova, Ukraina, Qozogʻiston, Rossiyadan olim va mutaxassislar, «Cisco», «ZTE», «Huawei», «Microsoft», «Softline» kompaniyalari vakillari ishtirok etdilar. Ilmiy- texnik taraqqiyot internet-texnologiyalaridan foydalanish koʻlamini kengaytirish imkonini beradi. Hozirgi vaqtda elektr jihozlarining soʻnggi modellariga internet tarmogʻiga ulanish imkonini beruvchi uskuna va moslamalar oʻrnatilmoqda. Bu jihozlarni loyihalash va foydalanishda axborot xavfsizligini taʻminlash majburiy talablardan biridir. SHu jihatdan Oʻzbekistonda elektron uskuna va tizimlar kiber xavfsizligini oshirish yuzasidan salmoqli ishlar amalga oshirilmoqda. Seminarda kiber xavfsizlik masalalarida davlat va xalqaro hamkorlikning ahamiyati xaqida soʻz yuritildi. Axborot xavfsizligi butun dunyoda AKT barqaror rivojlanishining muhim tamoyillaridan biri ekani tan olingan. Har bir davlatda kiber tahdidlarga qarshi kurashuvchi mexanizm va tashkilotlar shakllantirilgan yoki shakllantirilmoqda. Prezidentimizning 2017 yil 29 avgustdagi «Axborot- kommmunikatsiya texnologiyalari sohasida loyiha boshqaruvi tizimini yanada takomillashtirish chora-tadbirlari toʻgʻrisida"gi qaroriga muvofiq, Oʻzbekistonda Axborot xavfsizligi va jamoat tartibini taʻminlashga koʻmaklashish markazi tashkil etildi. Markazning vazifasi axborot xavfsizligiga raxna solayotgan zamonaviy tahdidlar haqida maʻlumot yigʻish, ularni tahlil qilish va saqlash, davlat tashkilotlarining axborot tizimlari, maʻlumotlar zaxirasi va bazasiga noqonuniy kirishning oldini olishga qaratilgan samarali tashkiliy va dasturiy-texnik yechimlarni qabul qilish boʻyicha taklif va tavsiyalar ishlab chiqishdir. Zero, hech qanday chegara mavjud boʻlmagan internet olamidagi kiberjinoyatlar tobora xalqaro tus olmoqda. Bu tahdidlarga qarshi kurashish uchun Markaziy Osiyo davlatlari orasida birinchi boʻlib Oʻzbekiston axborot va kommunikatsiya texnologiyalari sohasida xalqaro xavfsizlik tizimiga qoʻshildi. Download 7.57 Mb. Do'stlaringiz bilan baham: 
|