O‘zbekiston | 14:51 / 15.12.2018
24143
20 daqiqa o‘qiladi

Uzcard rahbari bilan intervyu: xakerlar hujumi, ishlash tizimidagi uzilishlar va kompaniya monopoliyasi haqida

Foto: UzCard

7 noyabr kuni “Biznes Laboratoriyasi” O‘zbekistonda AKT yakunlari bo‘yicha uchrashuv o‘tkazdi. Mutaxassislar Uzsard tizimi xakerlar qarshisida zaif, degan xulosaga kelishdi. Shuningdek, O‘zbekistonga internet-do‘konlari bozori ommaviy ravishda kirib kelsa, xaridorlarning pul mablag‘lari xavf ostida qolishi, bu esa sarmoyadorlar uchun katta to‘siq va qo‘rquvni keltirib chiqarishi muhokama qilindi.   

Biz Yagona umumrespublika protsessing markazi bosh rahbari Ahror Mahmudov bilan Uzcard tizimining maqsadi, tizim qay darajada xavfsiz va kompaniya ommaviy uzilishlar chog‘ida qanday choralar ko‘rishi haqida suhbatlashdik.

 Uzsard tizimining xakerlar oldida zaif ekanligi haqidagi fikrlarga qanday qaraysiz?

— Keling, eng boshidan boshlaymiz. Uzcard tizimi EMV’ning eng so‘nggi xalqaro standartiga javob bergan holda faoliyat olib boradi, hozirgacha ushbu standartning yangilangan ko‘rinishi joriy etilmagan. Yagona umumrespublika protsessing markazi (YaUPM) har yili Payment Card Industry Data Security Standard (PCI DSS) xalqaro standarti bo‘yicha tekshiruvdan o‘tkaziladi. Biz to‘lov tizimi sifatida barcha sinovlardan o‘tkazilamiz. Agarda biz o‘tgan yili muvaffaqiyatli tekshiruvlardan o‘tgan bo‘lsak, bu joriy yilda ham attestatsiya kafolatlanganini anglatmaydi. Har yili standart yangi talablarni joriy etmoqda va tizimni yangi talablarga moslashtirish kerak bo‘ladi. Muvofiqlashtirish uchun esa biz katta resurslarni, jumladan, moliyaviy resurslarni jalb etamiz. Auditorlar Uzcard tizimini to‘liq tahlil qilib chiqadi va agarda biror bir nuqson, kamchilik va zaiflik aniqlansa, u holda biz tomondan ularni to‘g‘rilash talab etiladi. Auditorlarning barcha talablariga javob bergan holda, biz sertifikatlashtirilamiz. Uzcard tizimida bu kabi masalalarni hal etish uchun ichki xavfsizlik bo‘limi faoliyat olib boradi. Bizning xalqaro standartlarga moslashishdan boshqa yo‘limiz yo‘q. Shu sababdan bizning zaifligimiz haqidagi uydirmalarning bildirilishiga hech qanday asos yo‘q. Agarda asossiz ravishda bunday fikrlaydigan bo‘lsak, u holda dunyoning barcha to‘lov tizimlari zaif hisoblanadi. Ishonch bilan ayta olamanki, biz 99,9 % ga himoyalanganmiz, 0,1 % esa bu bazaga zarar yetkazadigan xavf bo‘lib, hech kim bu xavfdan himoyalanmagan. Bu xavf nafaqat Uzcard tizimiga, balki MasterCard va VISA ham tegishlidir.

Hukumat tomonidan Uzcard tizimi ma'lumotlarning maxfiyligini ta'minlash uchun javobgar etib belgilab qo‘yilgan. Biz o‘z vazifamizni bajaryapmiz. Misol uchun, agarda biror bir bank yangi ATM qurilmalari sotib olishga qaror qilgan bo‘lsa, albatta u bizning tekshiruvimizdan o‘tishi lozim, va biz uni tekshirib bo‘lganimizdan so‘ng, talablarga moslik haqidagi ruxsatnoma beriladi.

Kartalarning xavfsizligi bilan bog‘liq eng katta muammo, bu plastik karta egalari tomonidan karta bilan noto‘g‘ri foydalanish holatlari hisoblanadi. Odamlar to‘rtta bir kabi sodda, himoyalanmagan parollarini o‘z kartalariga o‘rnatishadi, shubhali saytlardan keyinchalik karta ma'lumotlarini o‘g‘irlash mumkin bo‘lgan xaridlarni amalga oshirishadi. Plastik kartalardan foydalanish bo‘yicha muomala madaniyatini joriy etishga qanday e'tibor qaratilmoqda? 

— Darhaqiqat, muammo - zaif tizim emas, balki karta egalarining xavf ostida qolishlari. Avvallari Uzcard tizimi faqat mahalliy darajada faoliyat yuritgan va hech qanday tashqi xavf bo‘lmagan, shu sabab ham bankdan ham, tizimdan ham PIN-kodni o‘rnatish va uni kiritishga tegishli talablar belgilanmagan. Qator banklar tomonidan avtomatik ravishda sodda parollar o‘rnatish odatga aylangan, foydalanuvchilar esa o‘z xohishlariga ko‘ra ularni o‘zgartirib turishgan. Hattoki, yoqilg‘i quyish shahobchalarida karta egasidan kod raqami aniqlanmagan va avtomatik ravishda kartalarning brendidan kelib chiqib kod kiritilgan va to‘lovlar amalga oshirilgan.

Biz xalqaro kartalarni (kobeydjing kartalari) joriy eta boshladik va biz banklardan o‘z parollarini o‘rnatmasliklarini talab qilyapmiz. Endilikda, hattoki bank xodimining o‘zi ham sizning parolingizni bilmaydi. Buning uchun biz maxsus uskuna sotib oldik va personalizatsiyalashtirish jarayoni boshqa tashkilotda amalga oshiriladi. Kartalar va karta paroli alohida-alohida konvertlarda taqdim etiladi. Yetkazib berish xizmatlari bilan boshqa bir kompaniya shug‘ullanishi ko‘zda tutilmoqda. Bu PCI DSS-xalqaro xavfsizlik talablari bo‘lib, yangi talablarni joriy etishga ehtiyoj mavjud emas, buning tayyor yechimi mavjud. Albatta, foydalanuvchi tomonidan «nima sababdan avval kartamni bir soat ichida olar edim, endi esa uch soat kutishim kerak» degan e'tirozlar bo‘lishi tabiiy, biroq bu talablar barchasi xavfsizlik uchun amalga oshirilmoqda. Agar biz eski sxema bo‘yicha ish olib borsak, uning natijasi ommaviy firibgarliklarga olib keladi va bu holat plastik kartalarga bo‘lgan ishonchni sustlashtiradi.   

Aksariyat odamlar kobeydjing kartalar chiqarilishiga norozilik bildirishganlarini kuzatishimiz mumkin. Biroq, ushbu kartalarning joriy etilishi Uzcard tizimining bosib o‘tgan yo‘li bilan bog‘liq. Esingizda bo‘lsa, offlayn kartalardan onlaynga o‘tish vaqtida odamlar buning qay darajada zarurligini tushunishmay, e'tiroz bildirishgan edi, ammo uch oy o‘tgach, hammasi o‘z iziga tushib ketgan. Hozirda ham kobeydjing kartalari bilan xuddi shunday holat kuzatilmoqda – bu yangi jarayonga vaqt o‘tib odamlar ko‘nikadi va kobeydjing kartalarining standart kartalardan yanada qulay ekanligini, unda nafaqat o‘z mamlakatimizda, balki xorijda ham bemalol foydalanish mumkinligini anglab yetishadi.

— 15 sentabr kuni tizimda uch kunlik nosozlik kuzatilgan edi, bu holat nima sababdan kelib chiqdi, vaziyatni qanday hal etdingiz, tizim hujumga duchor bo‘ldimi?

— Aniqrog‘i, Uzcard ikki kecha-kunduz ishlamadi. Ha, albatta bu katta fojia edi, tizim bardosh berolmadi va ishdan chiqdi. Tezkorlik bilan maxsus guruh tashkil etildi va nosozlikni bartaraf etish uchun yigirmadan ziyod variantlar ko‘rib chiqildi, biroq bir kecha-kunduz davomida ularning hech biri natija bermadi. Biz tizimni ikki daqiqa ichida ishga tushirishimiz mumkin edi, biroq bir muammo mavjud edi – kartalarga tegishli barcha ma'lumotlar bazasi o‘chib ketishi mumkin edi. Pul ishtirok etgan joyda firibgarlar bo‘lish tabiiy. 

Tizimimiz ommaviy hujumga duchor bo‘ldi. Hujum oqibatlari bir oy davomida kuzatildi, ko‘pchilik bu holat sodir bo‘lishini hatto tasavvur qilmas edi. Va bu holat, aynan men aytib o‘tgan 0,1 % lik xavf edi. Markaziy bank tomonidan tizimni darhol ishga tushirish, keyin esa karta egalari hisobida qancha mablag‘ borligini aniqlashtirish vazifasi yuklatildi. Biroq, biz bu taklifni inkor etdik. Tasavvur qilyapsizmi, hisobida bir million so‘m bo‘lgan biror bir kishi keladi-da, hisobimda 10 million so‘m bor edi, deydi – buni kim isbotlab beradi. Shu sabab ham, asosiy vazifamiz barcha ma'lumotlarni tiklash edi va jamoamiz buning uddasidan chiqdi. 17 sentabr kuni tizim ishlab ketdi, biroq foydalanuvchilar tizimda 5-6 daqiqalik uzilishlar sodir bo‘lib turganini sezishgan bo‘lsa kerak.

Nosozlik qayd etilganida xalqaro hamkorlarimiz - MasterCard, Visa va China UnionPay kompaniyalaridan ham murojaatlar kuzatildi, albatta, e'tirozli murojaatlar emas, balki qo‘llab-quvvatlash va tegishli yordamni ko‘rsatish takliflari bildirildi. Ularda ham bu kabi vaziyatlar sodir bo‘lgan, misol uchun 2 yil avval MasterCard tizimi ishdan chiqqan edi.

15 sentabrda sodir bo‘lgan uzilishlar milliy darajadagi muammo edi, uning natijasida mamlakatda moliyaviy tartibsizliklar sodir bo‘lishi mumkin edi. Prezidentimiz hamda Vazirlar Mahkamasining to‘lov tizimi sohasida bajarilishga topshirilgan barcha qarorlari biz tomonimizdan to‘liq bajarilib kelinmoqda. Mart oyida bank xizmatlari ommabopligini oshirish bo‘yicha qaror ishlab chiqarilganda, kompaniyamiz aynan xalqaro to‘lov tizimi bilan integratsiyalashgan edi. Aytib o‘tmoqchimanki, qayd etilgan nosozlik vaqtida biz aksariyat mahalliy hamkorlarimizdan qo‘llab-quvvatlanmadik, kutilgan maslahatga ehtiyoj sezganimizda, yordam olmadik.

— Markaziy bankka HUMO nomi ostidagi yana bir to‘lov tizimini joriy etish bo‘yicha topshiriq berilgan edi. Nosozlik kuzatilganidan so‘ng, monopoliya – bu yaxshi emasligiga amin bo‘ldingizmi?

— Qanday monopoliya haqida gapirmoqdasiz, Uzcard tizimi kirib kelganiga 15 yil bo‘ldi, biroq so‘nggi 4 yil davomida bizda GlobUz tizimi ham ishlamoqda, tez orada HUMO ham paydo bo‘ladi. Hamkorlarimiz aynan foydali bo‘lgani uchun biz bilan ishlab kelishmoqda. “O‘zsanoatqurilishbank”ning ham o‘z tizimi mavjud, nima sababdan ular tizimni rivojlantirmadi? Ularning o‘zlari bizga ulanishgan, sababi bunday ishlash ularga ma'qul keladi. Kompaniyamiz arzon tariflarni taklif etadi, bundan tashqari, biz turli xildagi innovatsion imkoniyatlarni joriy etib kelmoqdamiz.  

Mana siz monopoliya haqida gapirdingiz, biroq biz aytib o‘tilgan vazifalarni bajarmasak, boshqa hech kim bajarmaydi. Hayotga eskirgan dunyoqarashi bilan qaraydigan odamlar xalqni yangi xizmatlar sari yetaklamaydi, biz esa davr bilan hamnafas holda oldinga intilmoqdamiz.

Joriy yilda faoliyatimizni rivojlantirish uchun 23 million dollar miqdorida mablag‘ sarfladik va 2018 yilda 200ga yaqin loyihalarni muvaffaqiyatli amalga oshirdik. Kompaniya strategiyasi 4 yilga mo‘ljallangan va biz mazkur strategiyaga amal qilamiz.

Monopoliya bu ham yaxshi va yomon hamdir. Agar bizda monopoliya bo‘lmaganda, har bir karta egasi Uzsard, VISA, MasterCard kabi kartalarning emissiyasi uchun o‘z cho‘ntaklaridan pul mablag‘i to‘lar edilar, shuningdek, taqdim etilgan barcha kartalarni o‘zlari bilan birga olib yurishlariga to‘g‘ri kelardi. Biz monopoliyani yomon deyapmiz, biroq masala bunda emas – nosozlik har qanday yangi tizim bilan ham sodir bo‘lishi mumkin va pullar ishlamay qolgan tizimda qolib ketadi. Muammoning texnik yechimi hali mavjud emas. Nima sababdan uzoqni ko‘zlamay o‘ylash, blogerlik bilan shug‘ullanib, asosiz ma'lumotlarni ommaga tarqatish kerak?!

Uzcard’ning xalqaro VISA va MasterCard oldidagi afzalliklari nimada? Ma'lumotlarga ko‘ra, UnionPay, Visa va Mastercard kartalari dunyo bo‘ylab muomaladagi barcha to‘lov kartalarining 80%ni tashkil etadi. Qolgan 20% — AmericanExpress, DinersClub, JCB, Discover va bir nechta mahalliy moliyaviy muassasalar tashkil etadi. Bu haqda RBR kompaniyasi tadqiqotlarida aytilmoqda. Dunyoning barcha davlatlari (shu jumladan, yaqinda Rossiya ham) xalqaro plastik kartalarga to‘liq o‘tishni ma'qul ko‘rishmoqda. O‘z milliy to‘lov tizimiga ega bo‘lish, ayniqsa internet tarmog‘ida to‘lovlar xavfsizligini ta'minlash katta xarajatlarni talab etadi. Xalqaro to‘lov tizimlari bosib o‘tgan yo‘lni takrorlash Uzcard tizimi tomonidan qo‘shimcha pul mablag‘lari va qo‘shimcha vaqt sarflanishini talab etadi. Tayyor xalqaro yechim turganda Uzcard tizimim nima uchun kerak? Bu nima, mustaqillikmi?

— Darhaqiqat, aksariyat odamlar dunyoda yetakchilik qilayotgan kompaniyalar faoliyat olib borayotgani sababli, Uzcard nima uchun kerakligi ustida bosh qotiradi. Lekin o‘z to‘lov tizimimizga ega bo‘lmaslik mahalliy soliq to‘lovchilarimizning pullarini xorijiy davlatlarga berish deganini anglatadi. Ushbu pul mablag‘lari mamlakatimizda qolishi va mahalliy iqtisodimizni rivojlantirishi darkor. Rossiya, Xitoy, Eron va yaqinda Turkiya (sanksiyalar, cheklovlar - tahririyat)kabi davlatlar bilan sodir bo‘lgan holatlarni bir eslang. Nima uchun biz ham ushbu yo‘lni bosib o‘tishimiz kerak?!

Agarda biz to‘lov tizimimiz mustaqil bo‘lishini o‘ylamasdan, barcha shartnomalarni asossiz imzolayversak, bu butunlay qaramlikka olib keladi. Mahalliy to‘lov tizimining mavjudligi, birinchi navbatda, milliy xavfsizlikdir va agarda xavfsizlik yostiqchasini yaratish imkoniyati mavjud bo‘lsa nega undan foydalanmaslik kerak? Hozirda bizning xalqaro hamkorlarimiz juda foydali sharoitlarni taklif etayotganliklari bois, vasvasaga tushib, to‘liq o‘tib olishimiz ham mumkin, biroq bu yechimi emas. Biz bunday holatga tushmaslik uchun kobeydjing kartalarini ma'qul ko‘rdik.

Kobeydjing kartalarining bir qator imkoniyatlari mavjud. Bir kartada ikki to‘lov tizimlarining logotiplari joylashtirilishi, ulardan biri bizning mahalliy Uzcard va biri dunyo to‘lov tizimiga xizmat ko‘rsatishi uning afzalligidir. Bugungi kunda bunday kartalar xalqaro ChinaUnionPau to‘lov tizimi bilan hamkorlikda chiqarilmoqda. Ta'kidlash joizki, ChinaUnionPau ishlab chiqarilgan kartalar va muomaladagi kartalar soni bo‘yicha dunyoda yetakchi hisoblanadi.

Markaziy bank mutaxassislari bunday cheklovlar O‘zbekistonga hech qachon ta'sir etmasligini ta'kidlashgan bo‘lsa-da, o‘zimizni himoyalab mahalliy to‘lov tizimimizni rivojlantirish ortiqchalik qilmaydi.  

Uzcard da CVC-kod, 3D secure, bir martalik xaridlar uchun virtual kartalar mavjud emas. Axir bular qo‘shimcha xavfsizlikni ta'minlashi mumkin-ku. Bu borada qanday ishlar amalga oshirilmoqda?

— Bularning barchasi allaqachon mavjud. CVC-kod kobeydjing kartalarida mavjud bo‘lib, u yerda NFC (ma'lumotlarni simsiz uzatish texnologiyasi, — tahr.) «magnitcha» bor. Yaqin kunlarda bu oddiy so‘m plastik kartalar bilan ham amalga oshiriladi, yangi yildan boshlab biz banklar bilan bunday kartalarning emissiyasi masalasi ustida ish olib boramiz. 

3D secure masalasi bo‘yicha – bu ham tayyor. Xizmat internet orqali xaridlar qilishga yordam beradi va ularni bir martalik kod bilan tasdiqlaydi, bu esa qo‘shimcha himoya sifatida xizmat qiladi.

Virtual kartalar haqida gapiradigan bo‘lsak, qulay tizim: har bir xarid uchun bir martalik karta ochiladi, hisobiga pul tushiriladi, xarid amalga oshiriladi va karta yopiladi. Agarda bu kartaning ma'lumotlari xakerlar qo‘liga tushib qolsa ham, ular xaridga ajratilgan mablag‘dan ortiq pulni o‘g‘irlay olmaydilar.

Aytib o‘tilganlarning barchasi, biz tomonimizdan texnik imkoniyatlar yaratilganini anglatadi. Biz bu imkoniyatlarni joriy etishga tegishli qonunning tasdiqlanishini kutmoqdamiz. Noqonuniy biror nimani ishga tushirishga haqli emasmiz. Bu texnologiyalarni ishga tushirish uchun qonuniy tomondan mustahkamlik kerak. Misol uchun, biz allaqachon WebMoney, QIWI elektron hamyonlar bilan tizimni integrallashtirganmiz va hozirda hukumatning tegishli qarori qabul qilinishini kutmoqdamiz. 

Biz o‘zimizni innovatsion kompaniya deb hisoblaganimiz bois, topshiriqlarni kutib o‘tirmaymiz, qadamimiz oldindan o‘ylangan. Oddiy misol, hozirda Soliq kodeksi, aniqrog‘i, kelgusi yildan QQS ni kiritish muhokama qilinmoqda. Ajablanarlisi, Markaziy bank, Moliya vazirligi muhokama jarayonida terminallar bunga tayyormi, deb qiziqishmadi. Biroq, bu masala mutaxassislarimiz tomonidan allaqachon ko‘rib chiqilgan va tayyorlangan. Aks holda, ish katta kechikishlar bilan «qanday qilib bo‘lsa ham qildik» qabilida amalga oshirilar edi. Shu sabab ham biz ochiq muloqotga tayyormiz, bahslashishga, qayerdadir nimadir taklif kiritishga tayyormiz. Biz tartibga solish organi tomonidan doimiy maslahatlarga muhtojmiz. 

Yil yakunida tizimga yangi texnologiyalarni joriy etish bo‘yicha yirik loyihani tayyorlamoqdamiz va albatta, barchani taqdimotga taklif etamiz. Bizning istagimiz, odamlar orasida tushunmovchilik kelib chiqmasligi uchun ma'lumotni to‘g‘ri yetkazish, asosiysi esa yolg‘on xabarlar tarqatilmasligini ta'minlashdir.

Uzcard qo‘shimcha uskunalar xarid qilib olish yordamida tizimning imkoniyatlarini oshirishni rejalashtiryaptimi?

— Tizimimiz kecha-yu kunduz faol holatda ishlashi darkor. Serverlarni yangisiga qaysi payt o‘tkazamiz? Bu ishni aksariyat aholi vakillari uyqudaligida, erta tongda soat 3-4lar atrofida amalga oshirish mumkin. Shuningdek, hattoki, arzimas qo‘shimcha kiritish uzilishlarga sabab bo‘lishi mumkin, shu sabab ham men har doim jamoamizga ta'kidlayman, bizni xato qilishga haqqimiz yo‘q. 15 sentabrdagi kabi holat takrorlansa, bizni hech kim kechirmaydi, deyman. Yetti o‘lchab bir kes, degan maqolni bizning holatda 100 marta o‘lchab bir kes, deb o‘zgartirgan bo‘lardim.   

Biz allaqachon zaruriy qo‘shimcha uskunalarni xarid qilganmiz, biroq tizimda salbiy holatlar kuzatilmasligi uchun ularni yangi yil arafasida ishga tushirmaslikka qaror qildik. O‘tgan yildan buyon, bayram kunlarida bizning yangi jamoamiz uzilishlarga yo‘l qo‘ymagan. Ko‘rsatkichlarga nazar tashlasak, o‘tgan yili, bir soniyada 800 ta tranzaksiyalar amalga oshirilgan, oddiy kunlarda esa bu ko‘rsatkich 180 tadan 200 tagachani tashkil etadi. Joriy yilda bundan ham yuqori raqamlar bo‘lishi kutilmoqda. Yangi uskunani sinovdan o‘tkazish, qo‘shimcha himoyalarni o‘rnatish ishlari bayram kunlaridan keyinga rejalashtirilmoqda. Odamlarning to‘lov tizimida uzilishlar bo‘lmasligiga va bayramni a'lo darajada o‘tkazishga ishonchlari yuqori bo‘lsin. Meni Uzcard jamoasidan ko‘nglim to‘q, ular o‘z ishining ustalari. Hazil tariqasida men jamoamizni “vatanparvar robotlar” deb atayman

Mavzuga oid