ИНТЕРНЕТ-ГИГИЕНА – АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ КЕПІЛІ
Қай заманда болмасын мемлекеттік құпия таңбасы бар құжаттардың маңыздылығы түскен емес. Оларды сақтауға арнайы ережелер жасалса, оларды білу, ұрлауға да қызығушылық жоғары. Әрбір ақпараттың өзінің қолжетімділік деңгейі болады. Қағаз күйінде сақталған құжаттарда сақтау мәселесі шешілген болса, сандық әлемге өткенде кейбір ережелерге қайшы келетін іс әрекеттер жетерлік.
Қазақстан Республикасы Президентiнiң 2006 жылғы 10 қазандағы N199 Жарлығымен мақұлданған Қазақстан Республикасының ақпараттық қауiпсiздiк тұжырымдамасында еліміздің ақпараттық қауіпсіздік саласы туралы толықтай жазылған.
Ақпараттық сандық әлемге аяқ басқалы барлық құжаттардың электронды нұсқаға көшкенін бақылап отырмыз. Бұл жерде бізге желіге шығудан қауіп төндіретін бірнеше мәліметтің түрлері бар. Олар жекелеген адамдар туралы, құпия құжаттар және қаржылық құжаттар. Бұл құжаттардың барлығын интернетте құпиялығын сақтауға болады, оған техникалық мүмкіншілік жетеді. Алайда, психологиялық мүмкіншілігіміз жетпеуі мүмкін. Ол не деген сөз? Ақпараттық қауіпсіздік сақтаудың екі түрі бар:
ақпараттық техникалық;
ақпараттық психологиялық.
Елімізде ақпараттық қауіпсіздікті сақтаудың ақпараттық техникалық мүмкіншілігі жетерлік. Отандық компанияларда соңғы техникалық мүмкіншілікті пайдаланған техникалармен жабдықталған. Алайда, халықтың ақпараттық психологиялық қауіпсіздігі өте төмен деңгейде. Бұл неден көрінеді?
Пайдаланушылардың құпия сөздері өте қарапайым болуында;
Компьютерлік вирустармен жұмыс жасау төменгі деңгейде;
Интернетте қауіпті сайттар мен зақымданған файлдарды жүктеуде.
Бірінші мәселе бойынша: пайдаланушылардың құпия сөздері өкінішке орай көп жағдайда қарапайым болып келеді. Ол не өз телефоны, немесе туған жылы немесе өзінің не балдарының аты жөні болып келеді. Жеке поштасына не әлеуметтік желісіне қолжетімдік алған хакерлер, пайдаланушының құпия ақпараттарына (жеке ақпарат, қаржы туралы ақпарат, жұмыс орнында пайданалатын құпия ақпарат) ортадан қолсұғып мақсаттарына жету мүмкін. Пайдаланушыларымыз көп жағдайда құпия сөздерді есте сақтауға ерінгендіктен барлық аккаунтарына бір құпия сөз қою мүмкін, емесе барлығыны бір бірімен байланыстырып қояды. Яғни бір аккаунты бұзса, қалған аккаунтарына да қолжетімділік алады.
Екінші мәселе бойынша: пайдаланушылар өздерінің компьютерлерін вирустық шабуылға қарсы қоя алмайды. Вирустың негізгі зардаптарын атап айтатын болсақ, ол бірінші, пайдаланушы файлдарын жойып жібереді. Екінші, файлдарды шифрлеп тастауы мүмкін, яғни, шифрленген файлдарды ашу үшін вирус егесі пайдаланушыдан ақша сұрайды. Жұққан вирус, тек сол компьютерге ғана зардабын жасап қоймай желімен тарап, жұмыс орнындағы басқа компьютерлерге де жұғу мүмкін. Тағы бір вирустың түрі бар, сіздің компьютеріңіздегі бүкіл құпия ақпараттарды зиянкес адамға интернет арқылы жіберіп отырады. Бір вирустар, сіздік пернетақтада не жазасыз, соларды өзінің жадына сақтап, қожайынына жіберіп отырады. Пернетақта жазбасын оқу арқылы зиянкес адам, сіздің онлайн банкке кірген шотыңыз бен парольді иемденіп алады. Бұл арқылы қашықтықтан отырып, сіздің есепшотыңызды тонап кетеді.
Үшінші мәселе бойынша, бұлда екінші мәселеге ұштасады. Яғни, зиянкес сайттарға кіре отырып, ол жақтан бүлінген файлдарды көшіріп, компьютер жүйесіне зақым келтіреді.
Бұл айтылған мәселердің барлығы бұрыннан белгілі жайттар. Хакерлер сіздің поштаңыздың не аккауыңызды бұзудың 3 түрін қолданады. Бірінші түрі «брутус» әдісі. Бұл поштаңыздың құпия сөзін біртіндеп сөздік арқылы бұзу болып саналады. Бұдан шығатын нәтиже: түсінікті сөздерді құпия сөз ретінде қолдануға болмайды. Екінші әдіс бұл «снифер» әдісі. Бұл әдіс әсіресе сіз жалпыға бірдей рұқсат берілген сымсыз желілерде, корпоративтік желілерде жеке поштаңызды немесе аккаунтыңызды ашып отырғанда қолданады. Интернет — ол ағып жатырған су сияқты. Сіз ішінен керек ақпаратыңызды аласыз, саласыз. Енді осы судың басында бір адам отыр деп ойлаңыз, сіздің ағынға салған «ақпаратыңызды» ортадан қағып алады да өз керегінше пайдаланады. Оның ішінде сіздің жеке хабарлама арқылы сөйлескен сөздеріңіз де болу мүмкін, қаржылық операциялар болу мүмкін. Яғни, сіз қандай жұмыс атқарасыз, сол ақпаратты зиянкесте көріп отырады. Бұдан шығатын нәтиже: барлық адамға рұқсаты бар сымсыз желілерде, не корпоративтік желілерде құпия ақпараттармен жұмыс жасамаған жөн. Үшінші түрі, бұл қазіргі таңда белең алып, қатты тарап жатырған түрі. Бұл жерде хакердің тек кодерлік, хакерлік қасиетінен басқа, психологтық қасиеті болу керек. Бүл түрін әлеуметтік инжиниринг (ӘИ) деп атаймыз.
Әлеуметтік инжиниринг (ӘИ) — психологиялық әр түрлі жайттарды қолдана отырып зиянкестің құпия ақпаратқа қолжетімділік жасау мақсатында жәбірленушіге іс әрекеттер жасату. Жоғарыда айтып өткендей, ақпаратты сақтауда қазіргі таңда ақпараттық техникалық жағдай бізде жеткілікті. Мысалы банктарды алатын болсақ, техникалық тұрғыдан жақсы қорғалған. Алайда, хакелер ӘИ пайдалана отырып, банк қызметкерлерін алдап, пошталарына әр түрлі мағынада хаттар жіберіп, ол хатты оларға ашқызатындай сөздер жазады. Хатты ашып жүктеген уақытта, компьютерлеріне вирус кіреді. Ол вирус әрі қарай банктің негізгі серверіне түсіп қаржылық операциялар орындай бастайды. Хакерлер, банкты немесе құпия ақпараты бар мекемеге шабуыл жасайтын кезде, алдын ала зерттеп барлап алады. Ол мекемеде жұмыс жасайтын қызметкерлердің өмірі жайлы мағлұмат деректер жинап оларға ӘИ қолдана бастайды. Айталық, бір қызметкердің туған туысы шет елде екенін біліп, солардың атынан хат жазу мүмкін. Хатта шет елде жақсы демалып жүргенін айтып, суреттерімен бөліседі. Суретті жүктеп ашқанда вирус кіріп кетеді. Немесе кредиті бар қызметкердік поштасы келесі тұрғыда хат келу мүмкін: «Сіздің соңғы төлеген төлемақыңыз банк есепшотына түспеді. Банктан келген есепшотты жүктеп көріңіз». Мұндай мәтінмен келген хатты әрине ашып көргісі келеді, ашқан кезде вирус кіріп кетеді. Тағы бір жағдай, жас қызметкер қызбен шынайы өмірде бір жігіт танысады. Ол да осы банкке жұмысқа тұрғысы келетінін айтып, резюмесін кадр бөліміне тапсыруын өтінеді. Ал құжатын бойжеткеннің жеке поштасына жіберіп, сол жақтан баспадан шығарып алуын өтінеді. Ешнәрсе сезіктенбеген бойжеткен хатты ашып резюме жүктеген уақытта вирус кіреді. Қарап тұрсақ ӘИ қолданатын аясы өте көп, және бұл технологияны хакерлер өте шебер қолданады.
Бұл жайттарды айта келе келесі тұжырымға келеміз: егер сіз құпия құжаттармен жұмыс жасайтын мекемеде жұмыс жасасаңыз, ешқашан жеке поштаңызды жұмыс орныңызда ашпаңыз. Таныс емес сілтемеге кірмеңіз. Таныс емес адамның флэшкасын компьютеріңізге салмаңыз. Поштаңызға таныс емес адамнан хат келсе, ешқашан жүктемеңіз. Вирус жұққаның байқасаңыз тез арада корпоративтік желіден ажыратып, жүйелік блокты тоқтан ажыратып арнайы мамандарды шақыртып жүйені тексерткен жөн. Мәліметтеріңізді құнды деп есептесеңіз, осы жайттарды, ескертпелерді естен шығармаған жөн.
Компьютерлеріңізді вирустан қорғайтын антивирустар бар, алайда сіз қолмен күштеп файлдарды көшіріп, не сілтемемен таныс емес сайттарға өтіп кететін болсаңыз антивирустық бағдарламаның қорғауға шамасы жетпей қалады.
Ақпараттық қауіпсіздік бұл бірінші бүкіл әлемдік тордағы біздің гигиенамыз. Алғышарттары толық орындап, жүйемізді қадағалап отыратын болсақ, мәліметтерімізде түгел болады.
Нұрлан ҚҰЛМЫРЗАЕВ,
экономика ғылымдарының кандидаты,
Қорқыт ата атындағы ҚМУ
