Ma'lumotlar xavfsizligi server qayerda joylashganiga qanchalik bog‘liq? Internetdagi shaxsiy ma'lumotlar saqlanishi bo‘yicha jahon tajribasi qanday? Kiberxavfsizlik bo‘yicha mutaxassis Anvar Narzullayev Kun.uz'ga bergan intervyusida shu va boshqa savollarga oydinlik kiritdi.
Shu yil aprelda «Shaxsga doir ma'lumotlar to‘g‘risida»gi qonunga qo‘shilgan yangi 27-1 modda kuchga kirgan edi. Shu asosda yirik internet kompaniyalar va ijtimoiy tarmoqlardan O‘zbekiston fuqarolarining shaxsiga doir ma'lumotlarni jismonan O‘zbekiston hududida joylashgan serverlarda saqlash talab etilmoqda.
Kun.uz bu qonunning ehtimoliy oqibatlari haqida Universiti Sains Islam Malaysia oliygohining Axborot xavfsizligi kafedrasi yetakchi mutaxassisi, fan doktori Anvar Narzullayev bilan suhbatlashdi.
Quyida suhbatning ikkinchi qismi matn holida taqdim etilmoqda.
– Serverlarning kiberxavfsizligi qaysidir davlatda joylashganiga bog‘liqmi yoki buning ahamiyati yo‘qmi?
– Bu yerda ikkita narsani hisobga olish kerak: birinchidan, kiberxavfsizlik deganda onlayn hujumlar ham tushuniladi, serverlarga onlayn hujum qilinishi – kiberxavfsizlikning bir qismi. Hakerlar hujum qilayotganda serverning qaysi davlatda joylashganiga uncha e'tibor bermaydi. Shu jihatdan qaralganda, serverlarning qayerda joylashgani katta ahamiyatga ega emas.
Ikkinchidan, serverlarning jismoniy xavfsizligini ham tushunish kerak, masalan, istalgan bir serverga biror bir xodim ulanadigan bo‘lsa, uning uzoq masofadan ulangan odamdan farqi – u ko‘proq ma'lumotlarni o‘g‘irlashi mumkin.
Qolaversa, xavfsizlik deganda faqat ma'lumotlarni o‘g‘irlash tushunilmaydi, balki ularning yaxlitligini saqlash ham tushuniladi. Misol uchun, serverdagi ma'lumotlar elektr toki o‘chishi, yong‘inlar yoki boshqa tabiiy va boshqa ofatlardan ham himoyalangan bo‘lishi talab etiladi.
O‘zbekistonda mana shunday data-markazlar qilinadigan bo‘lsa, yuqoridagi kabi xavfsizliklar qanchalik ta'minlanishini ham o‘ylab ko‘rish kerak. Katta kompaniyalar buni to‘liq o‘rganib chiqib, undan keyin bunday markazlarga yoki serverlarga pul tikishadi.
– Hozirgi kunda siz aytgan xavfsizlikning qay biri aktualroq?
– Xavfsizlik deganda birinchi navbatda texnik ta'minot, ikkinchidan jismoniy xavfsizlik, uchinchi navbatda mana shu serverlar bilan ishlaydigan odamlarni tarbiyalash – mana shu uchalasi birgalikda tushuniladi.
Serverlar bilan ishlaydigan odamlarni ham tarbiyalash, ularga ham xavfsizlik choralarini o‘rgatish kerak.
– Bu boradagi xalqaro tajriba qanday? Rivojlangan davlatlar ham fuqarolarining shaxsiy ma'lumotlari joylashgan serverlarni o‘zlariga olib kelishni talab qiladimi?
– Bu muammo o‘zi 2013 yilda Edvard Snouden Amerikaning turli sirlarini fosh etib tashlaganidan so‘ng kelib chiqdi. Ko‘p davlatlar ma'lumotlarni o‘z davlatida serverlarda saqlash bo‘yicha turli chora-tadbirlar ko‘rishni boshlashdi. Lekin bu boradagi eng qattiq qonunlar faqatgina Rossiya va Xitoyda.
Xitoy tutgan yo‘lga ko‘ra, har qanday ma'lumotlar, shaxsiymi yoki boshqa, Xitoyda saqlanishi lozim. Rossiyada esa shaxsiy ma'lumotlar va undan tashqari, ijtimoiy tarmoqda qo‘ygan rasmlari, yozishmalar, qo‘ng‘iroqlar – barchasi Rossiyada saqlanishi kerak.
Bu – Rossiyadagi operatorlarga milliardlab dollar ziyon keltirdi. Chunki data-markazlarni saqlash kompaniyalarga emas, aloqa operatorlari bo‘yniga qo‘yildi. Biz qo‘llamoqchi bo‘layotgan variant Rossiyanikining yengilroq ko‘rinishi, ya'ni davlat faqat shaxsiy ma'lumotlarni talab qilyapti.
Yevropadan Germaniya va Fransiya ma'lumotlarni o‘zlariga ko‘chirishga harakat qildi. Lekin Yevropa Ittifoqi bunga qarshi bo‘ldi va butunlay rad etildi. Hozirgi kunda aksar Yevropa davlatlarida faqatgina ma'lum bir turdagi ma'lumotlar: davlat ishchilari ma'lumotlari, tibbiy ma'lumotlar kabilargina saqlanadi.
Janubiy Koreya misolida gapiradigan bo‘lsak, geodatalar, xaritalar, kadastr ma'lumotlarigina davlatning o‘zida saqlanadi.
Bizga eng yaqini Qozog‘iston tajribasiga qaralsa, ular faqat “.kz” domeni bilan tugagan saytlarnigina o‘zlarida saqlanishini talab qilgan. Buning xalqaro kompaniyalarga aloqasi yo‘q.
– Facebook, Instagram yoki Google kabi kompaniyalar serverlarini o‘zlari ro‘yxatdan o‘tgan davlatda saqlaydimi yoki boshqa joylarda ham saqlashlari mumkinmi?
– Dunyo bo‘ylab data-markazlar juda ko‘p. Har bir katta kompaniyaning o‘z data-markazlari bor. Ular har bir qit'ada bittadan data-markaz bo‘lishi uchun harakat qiladi. Chunki bu onlayn xizmatning tezligiga ta'sir qiladi.
Umuman olganda, dunyodagi barcha onlayn serverlar asosan uchta kompaniya tomonidan boshqariladi. Bular – Microsoft, Amazon, Google. Har qanday ijtimoiy tarmoq, deylik O‘zbekistondagi katta-kichik dasturlar mana shu katta kompaniyalarning serverlaridan foydalanadi.
Bu serverlar, aytganimdek, dunyoning istalgan burchagida bo‘lishi mumkin. Dasturchiga o‘z davlatiga yaqin hududdagi serverni taklif qiladi. Bundan kelib chiqadiki, ular serverlarini ayni bir mamlakatga emas, dunyo bo‘ylab joylashtiradi.
– Fuqarolar shaxsiy ma'lumotlari olib kelinmagach, ijtimoiy tarmoqlar bloklab qo‘yilsa, VPN'dan foydalanish boshlanadi. VPN'lar olib keladigan zarar haqida to‘xtalib o‘tsangiz.
– VPN serverlarni ishlatishning katta xavfi – shaxsiy ma'lumotlar emas, balki taqiqlangan veb-saytlarga kirishi oson bo‘lib qoladi. Aslida internetda davlat rostan ham bloklashi kerak bo‘lgan narsalar bor. Masalan, pornografik, terroristik ma'lumotlar va qora bozor kabilar. Odamlar VPN'dan foydalanishni boshlagandan keyin bularning hammasi ochilib ketadi. Davlat mana shu tarafdan keladigan xavfni hisobga olishi kerak.
VPN ishlatish davlatning ziyoniga ishlaydi. Qolaversa, VPN ishlatgandan keyin sizning aloqangiz shifrlangan bo‘ladi, siz qaysi saytga kiryapsiz, umuman bilib bo‘lmaydi, natijada davlat buni nazorat qila olmay qoladi.
Ikkinchidan, bizda ko‘pincha bepul VPN serverdan foydalanishadi. Bilib olish kerakki, internetda bepul xizmat taklif qilinyaptimi, demak siz mahsulot bo‘lib xizmat qilyapsiz. Sizning ma'lumotlaringizdan istalgan yo‘lda foydalanishi, hatto, sizning o‘zingizga “shantaj” qilishi ham mumkin.
Suhbatdoshimizning mavzu yuzasidan yakuniy xulosalari quyidagicha bo‘ldi.
— Aslida ijtimoiy tarmoqlar serverlarini ko‘chirishni talab qilish shart emas. Fuqarolarning shaxsiy ma'lumotlarini himoya qilish qonuni har bir davlatda bor. Buning uchun serverlarni ko‘chirish talab qilinmaydi. Qonunda ham aytilyaptiki, O‘zkomnazorat shaxsiy ma'lumotlar qanday saqlanayotgani, ularga tajovuz bo‘lgan yoki yo‘qligini nazorat qilishi kerak. Bu nazorat mexanizmlari qanday qilib yo‘lga qo‘yiladi? Deylik, Facebook serverlarini olib keldi degani, ular ma'lumotlarni ochib beradi degani emas – buni ham jiddiy o‘ylab ko‘rish zarur.
Shuning uchun avvalo nazorat deganda buni qanday amalga oshirish ustida bosh qotirish kerak. Balki, ularga serverini olib kelishni emas, Toshkentda mintaqaviy ofisini ochishni taklif qilish kerakdir, biror muammo tug‘ilganda, shu ofis orqali hal qila olsin.
Boshqa tomondan, bu qonun orqali o‘zimiz ko‘proq ziyon ko‘ramiz, o‘zimizdagi kichik startaplar oyog‘iga bolta urib qo‘yishimiz mumkin.
Farrux Absattarov suhbatlashdi.
Tasvirchi – Muhiddin Qurbonov.
