Маълумотлар хавфсизлиги сервер қаерда жойлашганига қанчалик боғлиқ? Интернетдаги шахсий маълумотлар сақланиши бўйича жаҳон тажрибаси қандай? Киберхавфсизлик бўйича мутахассис Анвар Нарзуллаев Kun.uz'га берган интервьюсида шу ва бошқа саволларга ойдинлик киритди.
Шу йил апрелда «Шахсга доир маълумотлар тўғрисида»ги қонунга қўшилган янги 27-1 модда кучга кирган эди. Шу асосда йирик интернет компаниялар ва ижтимоий тармоқлардан Ўзбекистон фуқароларининг шахсига доир маълумотларни жисмонан Ўзбекистон ҳудудида жойлашган серверларда сақлаш талаб этилмоқда.
Kun.uz бу қонуннинг эҳтимолий оқибатлари ҳақида Universiti Sains Islam Malaysia олийгоҳининг Ахборот хавфсизлиги кафедраси етакчи мутахассиси, фан доктори Анвар Нарзуллаев билан суҳбатлашди.
Қуйида суҳбатнинг иккинчи қисми матн ҳолида тақдим этилмоқда.
– Серверларнинг киберхавфсизлиги қайсидир давлатда жойлашганига боғлиқми ёки бунинг аҳамияти йўқми?
– Бу ерда иккита нарсани ҳисобга олиш керак: биринчидан, киберхавфсизлик деганда онлайн ҳужумлар ҳам тушунилади, серверларга онлайн ҳужум қилиниши – киберхавфсизликнинг бир қисми. Ҳакерлар ҳужум қилаётганда сервернинг қайси давлатда жойлашганига унча эътибор бермайди. Шу жиҳатдан қаралганда, серверларнинг қаерда жойлашгани катта аҳамиятга эга эмас.
Иккинчидан, серверларнинг жисмоний хавфсизлигини ҳам тушуниш керак, масалан, исталган бир серверга бирор бир ходим уланадиган бўлса, унинг узоқ масофадан уланган одамдан фарқи – у кўпроқ маълумотларни ўғирлаши мумкин.
Қолаверса, хавфсизлик деганда фақат маълумотларни ўғирлаш тушунилмайди, балки уларнинг яхлитлигини сақлаш ҳам тушунилади. Мисол учун, сервердаги маълумотлар электр токи ўчиши, ёнғинлар ёки бошқа табиий ва бошқа офатлардан ҳам ҳимояланган бўлиши талаб этилади.
Ўзбекистонда мана шундай дата-марказлар қилинадиган бўлса, юқоридаги каби хавфсизликлар қанчалик таъминланишини ҳам ўйлаб кўриш керак. Катта компаниялар буни тўлиқ ўрганиб чиқиб, ундан кейин бундай марказларга ёки серверларга пул тикишади.
– Ҳозирги кунда сиз айтган хавфсизликнинг қай бири актуалроқ?
– Хавфсизлик деганда биринчи навбатда техник таъминот, иккинчидан жисмоний хавфсизлик, учинчи навбатда мана шу серверлар билан ишлайдиган одамларни тарбиялаш – мана шу учаласи биргаликда тушунилади.
Серверлар билан ишлайдиган одамларни ҳам тарбиялаш, уларга ҳам хавфсизлик чораларини ўргатиш керак.
– Бу борадаги халқаро тажриба қандай? Ривожланган давлатлар ҳам фуқароларининг шахсий маълумотлари жойлашган серверларни ўзларига олиб келишни талаб қиладими?
– Бу муаммо ўзи 2013 йилда Эдвард Сноуден Американинг турли сирларини фош этиб ташлаганидан сўнг келиб чиқди. Кўп давлатлар маълумотларни ўз давлатида серверларда сақлаш бўйича турли чора-тадбирлар кўришни бошлашди. Лекин бу борадаги энг қаттиқ қонунлар фақатгина Россия ва Хитойда.
Хитой тутган йўлга кўра, ҳар қандай маълумотлар, шахсийми ёки бошқа, Хитойда сақланиши лозим. Россияда эса шахсий маълумотлар ва ундан ташқари, ижтимоий тармоқда қўйган расмлари, ёзишмалар, қўнғироқлар – барчаси Россияда сақланиши керак.
Бу – Россиядаги операторларга миллиардлаб доллар зиён келтирди. Чунки дата-марказларни сақлаш компанияларга эмас, алоқа операторлари бўйнига қўйилди. Биз қўлламоқчи бўлаётган вариант Россияникининг енгилроқ кўриниши, яъни давлат фақат шахсий маълумотларни талаб қиляпти.
Европадан Германия ва Франция маълумотларни ўзларига кўчиришга ҳаракат қилди. Лекин Европа Иттифоқи бунга қарши бўлди ва бутунлай рад этилди. Ҳозирги кунда аксар Европа давлатларида фақатгина маълум бир турдаги маълумотлар: давлат ишчилари маълумотлари, тиббий маълумотлар кабиларгина сақланади.
Жанубий Корея мисолида гапирадиган бўлсак, геодаталар, хариталар, кадастр маълумотларигина давлатнинг ўзида сақланади.
Бизга энг яқини Қозоғистон тажрибасига қаралса, улар фақат “.kz” домени билан тугаган сайтларнигина ўзларида сақланишини талаб қилган. Бунинг халқаро компанияларга алоқаси йўқ.
– Facebook, Instagram ёки Google каби компаниялар серверларини ўзлари рўйхатдан ўтган давлатда сақлайдими ёки бошқа жойларда ҳам сақлашлари мумкинми?
– Дунё бўйлаб дата-марказлар жуда кўп. Ҳар бир катта компаниянинг ўз дата-марказлари бор. Улар ҳар бир қитъада биттадан дата-марказ бўлиши учун ҳаракат қилади. Чунки бу онлайн хизматнинг тезлигига таъсир қилади.
Умуман олганда, дунёдаги барча онлайн серверлар асосан учта компания томонидан бошқарилади. Булар – Microsoft, Amazon, Google. Ҳар қандай ижтимоий тармоқ, дейлик Ўзбекистондаги катта-кичик дастурлар мана шу катта компанияларнинг серверларидан фойдаланади.
Бу серверлар, айтганимдек, дунёнинг исталган бурчагида бўлиши мумкин. Дастурчига ўз давлатига яқин ҳудуддаги серверни таклиф қилади. Бундан келиб чиқадики, улар серверларини айни бир мамлакатга эмас, дунё бўйлаб жойлаштиради.
– Фуқаролар шахсий маълумотлари олиб келинмагач, ижтимоий тармоқлар блоклаб қўйилса, VPN'дан фойдаланиш бошланади. VPN'лар олиб келадиган зарар ҳақида тўхталиб ўтсангиз.
– VPN серверларни ишлатишнинг катта хавфи – шахсий маълумотлар эмас, балки тақиқланган веб-сайтларга кириши осон бўлиб қолади. Аслида интернетда давлат ростан ҳам блоклаши керак бўлган нарсалар бор. Масалан, порнографик, террористик маълумотлар ва қора бозор кабилар. Одамлар VPN'дан фойдаланишни бошлагандан кейин буларнинг ҳаммаси очилиб кетади. Давлат мана шу тарафдан келадиган хавфни ҳисобга олиши керак.
VPN ишлатиш давлатнинг зиёнига ишлайди. Қолаверса, VPN ишлатгандан кейин сизнинг алоқангиз шифрланган бўлади, сиз қайси сайтга киряпсиз, умуман билиб бўлмайди, натижада давлат буни назорат қила олмай қолади.
Иккинчидан, бизда кўпинча бепул VPN сервердан фойдаланишади. Билиб олиш керакки, интернетда бепул хизмат таклиф қилиняптими, демак сиз маҳсулот бўлиб хизмат қиляпсиз. Сизнинг маълумотларингиздан исталган йўлда фойдаланиши, ҳатто, сизнинг ўзингизга “шантаж” қилиши ҳам мумкин.
Суҳбатдошимизнинг мавзу юзасидан якуний хулосалари қуйидагича бўлди.
— Аслида ижтимоий тармоқлар серверларини кўчиришни талаб қилиш шарт эмас. Фуқароларнинг шахсий маълумотларини ҳимоя қилиш қонуни ҳар бир давлатда бор. Бунинг учун серверларни кўчириш талаб қилинмайди. Қонунда ҳам айтиляптики, Ўзкомназорат шахсий маълумотлар қандай сақланаётгани, уларга тажовуз бўлган ёки йўқлигини назорат қилиши керак. Бу назорат механизмлари қандай қилиб йўлга қўйилади? Дейлик, Facebook серверларини олиб келди дегани, улар маълумотларни очиб беради дегани эмас – буни ҳам жиддий ўйлаб кўриш зарур.
Шунинг учун аввало назорат деганда буни қандай амалга ошириш устида бош қотириш керак. Балки, уларга серверини олиб келишни эмас, Тошкентда минтақавий офисини очишни таклиф қилиш керакдир, бирор муаммо туғилганда, шу офис орқали ҳал қила олсин.
Бошқа томондан, бу қонун орқали ўзимиз кўпроқ зиён кўрамиз, ўзимиздаги кичик стартаплар оёғига болта уриб қўйишимиз мумкин.
Фаррух Абсаттаров суҳбатлашди.
Тасвирчи – Муҳиддин Қурбонов.
