Uzcard раҳбари билан интервью: хакерлар ҳужуми, ишлаш тизимидаги узилишлар ва компания монополияси ҳақида
7 ноябрь куни “Бизнес Лабораторияси” Ўзбекистонда АКТ якунлари бўйича учрашув ўтказди. Мутахассислар Uzсard тизими хакерлар қаршисида заиф, деган хулосага келишди. Шунингдек, Ўзбекистонга интернет-дўконлари бозори оммавий равишда кириб келса, харидорларнинг пул маблағлари хавф остида қолиши, бу эса сармоядорлар учун катта тўсиқ ва қўрқувни келтириб чиқариши муҳокама қилинди.
Биз Ягона умумреспублика процессинг маркази бош раҳбари Аҳрор Маҳмудов билан Uzcard тизимининг мақсади, тизим қай даражада хавфсиз ва компания оммавий узилишлар чоғида қандай чоралар кўриши ҳақида суҳбатлашдик.
— Uzсard тизимининг хакерлар олдида заиф эканлиги ҳақидаги фикрларга қандай қарайсиз?
— Келинг, энг бошидан бошлаймиз. Uzcard тизими EMV’нинг энг сўнгги халқаро стандартига жавоб берган ҳолда фаолият олиб боради, ҳозиргача ушбу стандартнинг янгиланган кўриниши жорий этилмаган. Ягона умумреспублика процессинг маркази (ЯУПМ) ҳар йили Payment Card Industry Data Security Standard (PCI DSS) халқаро стандарти бўйича текширувдан ўтказилади. Биз тўлов тизими сифатида барча синовлардан ўтказиламиз. Агарда биз ўтган йили муваффақиятли текширувлардан ўтган бўлсак, бу жорий йилда ҳам аттестация кафолатланганини англатмайди. Ҳар йили стандарт янги талабларни жорий этмоқда ва тизимни янги талабларга мослаштириш керак бўлади. Мувофиқлаштириш учун эса биз катта ресурсларни, жумладан, молиявий ресурсларни жалб этамиз. Аудиторлар Uzcard тизимини тўлиқ таҳлил қилиб чиқади ва агарда бирор бир нуқсон, камчилик ва заифлик аниқланса, у ҳолда биз томондан уларни тўғрилаш талаб этилади. Аудиторларнинг барча талабларига жавоб берган ҳолда, биз сертификатлаштириламиз. Uzcard тизимида бу каби масалаларни ҳал этиш учун ички хавфсизлик бўлими фаолият олиб боради. Бизнинг халқаро стандартларга мослашишдан бошқа йўлимиз йўқ. Шу сабабдан бизнинг заифлигимиз ҳақидаги уйдирмаларнинг билдирилишига ҳеч қандай асос йўқ. Агарда асоссиз равишда бундай фикрлайдиган бўлсак, у ҳолда дунёнинг барча тўлов тизимлари заиф ҳисобланади. Ишонч билан айта оламанки, биз 99,9 % га ҳимояланганмиз, 0,1 % эса бу базага зарар етказадиган хавф бўлиб, ҳеч ким бу хавфдан ҳимояланмаган. Бу хавф нафақат Uzcard тизимига, балки MasterCard ва VISA ҳам тегишлидир.
Ҳукумат томонидан Uzcard тизими маълумотларнинг махфийлигини таъминлаш учун жавобгар этиб белгилаб қўйилган. Биз ўз вазифамизни бажаряпмиз. Мисол учун, агарда бирор бир банк янги АТМ қурилмалари сотиб олишга қарор қилган бўлса, албатта у бизнинг текширувимиздан ўтиши лозим, ва биз уни текшириб бўлганимиздан сўнг, талабларга мослик ҳақидаги рухсатнома берилади.
— Карталарнинг хавфсизлиги билан боғлиқ энг катта муаммо, бу пластик карта эгалари томонидан карта билан нотўғри фойдаланиш ҳолатлари ҳисобланади. Одамлар тўртта бир каби содда, ҳимояланмаган паролларини ўз карталарига ўрнатишади, шубҳали сайтлардан кейинчалик карта маълумотларини ўғирлаш мумкин бўлган харидларни амалга оширишади. Пластик карталардан фойдаланиш бўйича муомала маданиятини жорий этишга қандай эътибор қаратилмоқда?
— Дарҳақиқат, муаммо - заиф тизим эмас, балки карта эгаларининг хавф остида қолишлари. Авваллари Uzcard тизими фақат маҳаллий даражада фаолият юритган ва ҳеч қандай ташқи хавф бўлмаган, шу сабаб ҳам банкдан ҳам, тизимдан ҳам PIN-кодни ўрнатиш ва уни киритишга тегишли талаблар белгиланмаган. Қатор банклар томонидан автоматик равишда содда пароллар ўрнатиш одатга айланган, фойдаланувчилар эса ўз хоҳишларига кўра уларни ўзгартириб туришган. Ҳаттоки, ёқилғи қуйиш шаҳобчаларида карта эгасидан код рақами аниқланмаган ва автоматик равишда карталарнинг брендидан келиб чиқиб код киритилган ва тўловлар амалга оширилган.
Биз халқаро карталарни (кобейджинг карталари) жорий эта бошладик ва биз банклардан ўз паролларини ўрнатмасликларини талаб қиляпмиз. Эндиликда, ҳаттоки банк ходимининг ўзи ҳам сизнинг паролингизни билмайди. Бунинг учун биз махсус ускуна сотиб олдик ва персонализациялаштириш жараёни бошқа ташкилотда амалга оширилади. Карталар ва карта пароли алоҳида-алоҳида конвертларда тақдим этилади. Етказиб бериш хизматлари билан бошқа бир компания шуғулланиши кўзда тутилмоқда. Бу PCI DSS-халқаро хавфсизлик талаблари бўлиб, янги талабларни жорий этишга эҳтиёж мавжуд эмас, бунинг тайёр ечими мавжуд. Албатта, фойдаланувчи томонидан «нима сабабдан аввал картамни бир соат ичида олар эдим, энди эса уч соат кутишим керак» деган эътирозлар бўлиши табиий, бироқ бу талаблар барчаси хавфсизлик учун амалга оширилмоқда. Агар биз эски схема бўйича иш олиб борсак, унинг натижаси оммавий фирибгарликларга олиб келади ва бу ҳолат пластик карталарга бўлган ишончни сустлаштиради.
Аксарият одамлар кобейджинг карталар чиқарилишига норозилик билдиришганларини кузатишимиз мумкин. Бироқ, ушбу карталарнинг жорий этилиши Uzcard тизимининг босиб ўтган йўли билан боғлиқ. Эсингизда бўлса, оффлайн карталардан онлайнга ўтиш вақтида одамлар бунинг қай даражада зарурлигини тушунишмай, эътироз билдиришган эди, аммо уч ой ўтгач, ҳаммаси ўз изига тушиб кетган. Ҳозирда ҳам кобейджинг карталари билан худди шундай ҳолат кузатилмоқда – бу янги жараёнга вақт ўтиб одамлар кўникади ва кобейджинг карталарининг стандарт карталардан янада қулай эканлигини, унда нафақат ўз мамлакатимизда, балки хорижда ҳам бемалол фойдаланиш мумкинлигини англаб етишади.
— 15 сентябрь куни тизимда уч кунлик носозлик кузатилган эди, бу ҳолат нима сабабдан келиб чиқди, вазиятни қандай ҳал этдингиз, тизим ҳужумга дучор бўлдими?
— Аниқроғи, Uzcard икки кеча-кундуз ишламади. Ҳа, албатта бу катта фожиа эди, тизим бардош беролмади ва ишдан чиқди. Тезкорлик билан махсус гуруҳ ташкил этилди ва носозликни бартараф этиш учун йигирмадан зиёд вариантлар кўриб чиқилди, бироқ бир кеча-кундуз давомида уларнинг ҳеч бири натижа бермади. Биз тизимни икки дақиқа ичида ишга туширишимиз мумкин эди, бироқ бир муаммо мавжуд эди – карталарга тегишли барча маълумотлар базаси ўчиб кетиши мумкин эди. Пул иштирок этган жойда фирибгарлар бўлиш табиий.
Тизимимиз оммавий ҳужумга дучор бўлди. Ҳужум оқибатлари бир ой давомида кузатилди, кўпчилик бу ҳолат содир бўлишини ҳатто тасаввур қилмас эди. Ва бу ҳолат, айнан мен айтиб ўтган 0,1 % лик хавф эди. Марказий банк томонидан тизимни дарҳол ишга тушириш, кейин эса карта эгалари ҳисобида қанча маблағ борлигини аниқлаштириш вазифаси юклатилди. Бироқ, биз бу таклифни инкор этдик. Тасаввур қиляпсизми, ҳисобида бир миллион сўм бўлган бирор бир киши келади-да, ҳисобимда 10 миллион сўм бор эди, дейди – буни ким исботлаб беради. Шу сабаб ҳам, асосий вазифамиз барча маълумотларни тиклаш эди ва жамоамиз бунинг уддасидан чиқди. 17 сентябрь куни тизим ишлаб кетди, бироқ фойдаланувчилар тизимда 5-6 дақиқалик узилишлар содир бўлиб турганини сезишган бўлса керак.
Носозлик қайд этилганида халқаро ҳамкорларимиз - MasterCard, Visa ва China UnionPay компанияларидан ҳам мурожаатлар кузатилди, албатта, эътирозли мурожаатлар эмас, балки қўллаб-қувватлаш ва тегишли ёрдамни кўрсатиш таклифлари билдирилди. Уларда ҳам бу каби вазиятлар содир бўлган, мисол учун 2 йил аввал MasterCard тизими ишдан чиққан эди.
15 сентябрда содир бўлган узилишлар миллий даражадаги муаммо эди, унинг натижасида мамлакатда молиявий тартибсизликлар содир бўлиши мумкин эди. Президентимиз ҳамда Вазирлар Маҳкамасининг тўлов тизими соҳасида бажарилишга топширилган барча қарорлари биз томонимиздан тўлиқ бажарилиб келинмоқда. Март ойида банк хизматлари оммабоплигини ошириш бўйича қарор ишлаб чиқарилганда, компаниямиз айнан халқаро тўлов тизими билан интеграциялашган эди. Айтиб ўтмоқчиманки, қайд этилган носозлик вақтида биз аксарият маҳаллий ҳамкорларимиздан қўллаб-қувватланмадик, кутилган маслаҳатга эҳтиёж сезганимизда, ёрдам олмадик.
— Марказий банкка HUMO номи остидаги яна бир тўлов тизимини жорий этиш бўйича топшириқ берилган эди. Носозлик кузатилганидан сўнг, монополия – бу яхши эмаслигига амин бўлдингизми?
— Қандай монополия ҳақида гапирмоқдасиз, Uzcard тизими кириб келганига 15 йил бўлди, бироқ сўнгги 4 йил давомида бизда GlobUz тизими ҳам ишламоқда, тез орада HUMO ҳам пайдо бўлади. Ҳамкорларимиз айнан фойдали бўлгани учун биз билан ишлаб келишмоқда. “Ўзсаноатқурилишбанк”нинг ҳам ўз тизими мавжуд, нима сабабдан улар тизимни ривожлантирмади? Уларнинг ўзлари бизга уланишган, сабаби бундай ишлаш уларга маъқул келади. Компаниямиз арзон тарифларни таклиф этади, бундан ташқари, биз турли хилдаги инновацион имкониятларни жорий этиб келмоқдамиз.
Мана сиз монополия ҳақида гапирдингиз, бироқ биз айтиб ўтилган вазифаларни бажармасак, бошқа ҳеч ким бажармайди. Ҳаётга эскирган дунёқараши билан қарайдиган одамлар халқни янги хизматлар сари етакламайди, биз эса давр билан ҳамнафас ҳолда олдинга интилмоқдамиз.
Жорий йилда фаолиятимизни ривожлантириш учун 23 миллион доллар миқдорида маблағ сарфладик ва 2018 йилда 200га яқин лойиҳаларни муваффақиятли амалга оширдик. Компания стратегияси 4 йилга мўлжалланган ва биз мазкур стратегияга амал қиламиз.
Монополия бу ҳам яхши ва ёмон ҳамдир. Агар бизда монополия бўлмаганда, ҳар бир карта эгаси Uzсard, VISA, MasterCard каби карталарнинг эмиссияси учун ўз чўнтакларидан пул маблағи тўлар эдилар, шунингдек, тақдим этилган барча карталарни ўзлари билан бирга олиб юришларига тўғри келарди. Биз монополияни ёмон деяпмиз, бироқ масала бунда эмас – носозлик ҳар қандай янги тизим билан ҳам содир бўлиши мумкин ва пуллар ишламай қолган тизимда қолиб кетади. Муаммонинг техник ечими ҳали мавжуд эмас. Нима сабабдан узоқни кўзламай ўйлаш, блогерлик билан шуғулланиб, асосиз маълумотларни оммага тарқатиш керак?!
— Uzcard’нинг халқаро VISA ва MasterCard олдидаги афзалликлари нимада? Маълумотларга кўра, UnionPay, Visa ва Mastercard карталари дунё бўйлаб муомаладаги барча тўлов карталарининг 80%ни ташкил этади. Қолган 20% — AmericanExpress, DinersClub, JCB, Discover ва бир нечта маҳаллий молиявий муассасалар ташкил этади. Бу ҳақда RBR компанияси тадқиқотларида айтилмоқда. Дунёнинг барча давлатлари (шу жумладан, яқинда Россия ҳам) халқаро пластик карталарга тўлиқ ўтишни маъқул кўришмоқда. Ўз миллий тўлов тизимига эга бўлиш, айниқса интернет тармоғида тўловлар хавфсизлигини таъминлаш катта харажатларни талаб этади. Халқаро тўлов тизимлари босиб ўтган йўлни такрорлаш Uzcard тизими томонидан қўшимча пул маблағлари ва қўшимча вақт сарфланишини талаб этади. Тайёр халқаро ечим турганда Uzcard тизимим нима учун керак? Бу нима, мустақилликми?
— Дарҳақиқат, аксарият одамлар дунёда етакчилик қилаётган компаниялар фаолият олиб бораётгани сабабли, Uzcard нима учун кераклиги устида бош қотиради. Лекин ўз тўлов тизимимизга эга бўлмаслик маҳаллий солиқ тўловчиларимизнинг пулларини хорижий давлатларга бериш деганини англатади. Ушбу пул маблағлари мамлакатимизда қолиши ва маҳаллий иқтисодимизни ривожлантириши даркор. Россия, Хитой, Эрон ва яқинда Туркия (санкциялар, чекловлар - таҳририят)каби давлатлар билан содир бўлган ҳолатларни бир эсланг. Нима учун биз ҳам ушбу йўлни босиб ўтишимиз керак?!
Агарда биз тўлов тизимимиз мустақил бўлишини ўйламасдан, барча шартномаларни асоссиз имзолайверсак, бу бутунлай қарамликка олиб келади. Маҳаллий тўлов тизимининг мавжудлиги, биринчи навбатда, миллий хавфсизликдир ва агарда хавфсизлик ёстиқчасини яратиш имконияти мавжуд бўлса нега ундан фойдаланмаслик керак? Ҳозирда бизнинг халқаро ҳамкорларимиз жуда фойдали шароитларни таклиф этаётганликлари боис, васвасага тушиб, тўлиқ ўтиб олишимиз ҳам мумкин, бироқ бу ечими эмас. Биз бундай ҳолатга тушмаслик учун кобейджинг карталарини маъқул кўрдик.
Кобейджинг карталарининг бир қатор имкониятлари мавжуд. Бир картада икки тўлов тизимларининг логотиплари жойлаштирилиши, улардан бири бизнинг маҳаллий Uzcard ва бири дунё тўлов тизимига хизмат кўрсатиши унинг афзаллигидир. Бугунги кунда бундай карталар халқаро ChinaUnionPaу тўлов тизими билан ҳамкорликда чиқарилмоқда. Таъкидлаш жоизки, ChinaUnionPaу ишлаб чиқарилган карталар ва муомаладаги карталар сони бўйича дунёда етакчи ҳисобланади.
Марказий банк мутахассислари бундай чекловлар Ўзбекистонга ҳеч қачон таъсир этмаслигини таъкидлашган бўлса-да, ўзимизни ҳимоялаб маҳаллий тўлов тизимимизни ривожлантириш ортиқчалик қилмайди.
— Uzcard да CVC-код, 3D secure, бир марталик харидлар учун виртуаль карталар мавжуд эмас. Ахир булар қўшимча хавфсизликни таъминлаши мумкин-ку. Бу борада қандай ишлар амалга оширилмоқда?
— Буларнинг барчаси аллақачон мавжуд. CVC-код кобейджинг карталарида мавжуд бўлиб, у ерда NFC (маълумотларни симсиз узатиш технологияси, — таҳр.) «магнитча» бор. Яқин кунларда бу оддий сўм пластик карталар билан ҳам амалга оширилади, янги йилдан бошлаб биз банклар билан бундай карталарнинг эмиссияси масаласи устида иш олиб борамиз.
3D secure масаласи бўйича – бу ҳам тайёр. Хизмат интернет орқали харидлар қилишга ёрдам беради ва уларни бир марталик код билан тасдиқлайди, бу эса қўшимча ҳимоя сифатида хизмат қилади.
Виртуал карталар ҳақида гапирадиган бўлсак, қулай тизим: ҳар бир харид учун бир марталик карта очилади, ҳисобига пул туширилади, харид амалга оширилади ва карта ёпилади. Агарда бу картанинг маълумотлари хакерлар қўлига тушиб қолса ҳам, улар харидга ажратилган маблағдан ортиқ пулни ўғирлай олмайдилар.
Айтиб ўтилганларнинг барчаси, биз томонимиздан техник имкониятлар яратилганини англатади. Биз бу имкониятларни жорий этишга тегишли қонуннинг тасдиқланишини кутмоқдамиз. Ноқонуний бирор нимани ишга туширишга ҳақли эмасмиз. Бу технологияларни ишга тушириш учун қонуний томондан мустаҳкамлик керак. Мисол учун, биз аллақачон WebMoney, QIWI электрон ҳамёнлар билан тизимни интеграллаштирганмиз ва ҳозирда ҳукуматнинг тегишли қарори қабул қилинишини кутмоқдамиз.
Биз ўзимизни инновацион компания деб ҳисоблаганимиз боис, топшириқларни кутиб ўтирмаймиз, қадамимиз олдиндан ўйланган. Оддий мисол, ҳозирда Солиқ кодекси, аниқроғи, келгуси йилдан ҚҚС ни киритиш муҳокама қилинмоқда. Ажабланарлиси, Марказий банк, Молия вазирлиги муҳокама жараёнида терминаллар бунга тайёрми, деб қизиқишмади. Бироқ, бу масала мутахассисларимиз томонидан аллақачон кўриб чиқилган ва тайёрланган. Акс ҳолда, иш катта кечикишлар билан «қандай қилиб бўлса ҳам қилдик» қабилида амалга оширилар эди. Шу сабаб ҳам биз очиқ мулоқотга тайёрмиз, баҳслашишга, қаердадир нимадир таклиф киритишга тайёрмиз. Биз тартибга солиш органи томонидан доимий маслаҳатларга муҳтожмиз.
Йил якунида тизимга янги технологияларни жорий этиш бўйича йирик лойиҳани тайёрламоқдамиз ва албатта, барчани тақдимотга таклиф этамиз. Бизнинг истагимиз, одамлар орасида тушунмовчилик келиб чиқмаслиги учун маълумотни тўғри етказиш, асосийси эса ёлғон хабарлар тарқатилмаслигини таъминлашдир.
—Uzcard қўшимча ускуналар харид қилиб олиш ёрдамида тизимнинг имкониятларини оширишни режалаштиряптими?
— Тизимимиз кеча-ю кундуз фаол ҳолатда ишлаши даркор. Серверларни янгисига қайси пайт ўтказамиз? Бу ишни аксарият аҳоли вакиллари уйқудалигида, эрта тонгда соат 3-4лар атрофида амалга ошириш мумкин. Шунингдек, ҳаттоки, арзимас қўшимча киритиш узилишларга сабаб бўлиши мумкин, шу сабаб ҳам мен ҳар доим жамоамизга таъкидлайман, бизни хато қилишга ҳаққимиз йўқ. 15 сентябрдаги каби ҳолат такрорланса, бизни ҳеч ким кечирмайди, дейман. Етти ўлчаб бир кес, деган мақолни бизнинг ҳолатда 100 марта ўлчаб бир кес, деб ўзгартирган бўлардим.
Биз аллақачон зарурий қўшимча ускуналарни харид қилганмиз, бироқ тизимда салбий ҳолатлар кузатилмаслиги учун уларни янги йил арафасида ишга туширмасликка қарор қилдик. Ўтган йилдан буён, байрам кунларида бизнинг янги жамоамиз узилишларга йўл қўймаган. Кўрсаткичларга назар ташласак, ўтган йили, бир сонияда 800 та транзакциялар амалга оширилган, оддий кунларда эса бу кўрсаткич 180 тадан 200 тагачани ташкил этади. Жорий йилда бундан ҳам юқори рақамлар бўлиши кутилмоқда. Янги ускунани синовдан ўтказиш, қўшимча ҳимояларни ўрнатиш ишлари байрам кунларидан кейинга режалаштирилмоқда. Одамларнинг тўлов тизимида узилишлар бўлмаслигига ва байрамни аъло даражада ўтказишга ишончлари юқори бўлсин. Мени Uzcard жамоасидан кўнглим тўқ, улар ўз ишининг усталари. Ҳазил тариқасида мен жамоамизни “ватанпарвар роботлар” деб атайман