26.08.2024
Hər vaxtınız xeyir!
Müsahibimiz hazırda “Huawei” şirkətinin Dubay ofisində “Mərkəzi Asiya regionunda Kiber Təhlükəsizlik və Məxfilik üzrə ekspert” kimi fəaliyyət göstərən Cavid Şahmuradovdur. O, 20 ilə yaxındır ki, informasiya texnologiyaları sahəsində fəaliyyət göstərir və karyera dövrünün son səkkiz ilini məhz kibertəhlükəsizlik sahəsinin təmsilçisi kimi istiqamətlənib. Peşəkar fəaliyyətinə İT sahəsinin ilk pilləsi hesab olunan “helpdesk” kimi başlayıb və daha sonralar isə sistem inzibatçılığı, İT qrup rəhbəri, OSS mühəndisliyi və s. kimi müxtəlif vəzifələrdə çalışaraq, nəticədə, özünü kibertəhlükəsizlik sferasında tapıb. Azərbaycanda fəaliyyəti dövründə son olaraq “Azerconnect” şirkətində İnformasiya Təhlükəsizliyi departamentinin rəhbəri kimi çalışıb.
1. Çalışdığınız sahədə qət etdiyiniz karyera yolunu və bu yolda sizə ilham verən məqamları bölüşə bilərsinizmi?
Sahəni dərindən yiyələndikcə, müxtəlif biznes proseslərinə cəlb olunduqca, bu sahənin necə maraqlı və məsuliyyətli olduğunun bir daha fərqinə varırsan. İnformasiya təhlükəsizliyi, kifayət qədər çiyinlərində məsuliyyət daşımağı tələb edən bir sahədir və yaxşı bilirsiniz ki, bu məsuliyyət bəzən yalnız biznes öhdəlikləri ilə bitmir. Məsuliyyət, bilik rəngarəngliyi tələbi, yeniliklərə və çətinliklərə mütəmadi olaraq hazır olmaq zərurəti və bu kimi amillər məni ilhamlandıran faktorlardır. İnformasiya təhlükəsizliyi sahəsinə dərindən yiyələnməyim məhz Telekom operatorunda çalışdığım dövrlərə təsadüf etdiyinə görə özümü daha şanslı hesab edirəm. Kifayət qədər müxtəlif texniki parkı olan bir mühitdə kiber təhdidlərin diversifikasiyası son dərəcə genişdir və bu, bir peşəkar kimi müxtəlif sahələrə inteqrasiya olmağa, həmin sahələri araşdırmağa və uyğun təhlükəsizlik kontrolları müəyyən etməyə təşviq edir. Ümumiləşdirərək isə deyərdim ki, nə qədər qəribə səslənsə də, sahənin enişli-yoxuşlu olması, məsuliyyəti və təbii ki, vətənimə olan sevgi məni bu sahədə daha irəliləməyə və yeni zirvələrə çatmağa motivasiya edir.
2. Qlobal informasiya təhlükəsizliyi və kibertəhlükəsizlik ekosisteminin cari vəziyyətini necə qiymətləndirir və gələcəkdə hansı tendensiyaların formalaşacağını proqnozlaşdırırsınız?
Bilirsiniz, qlobal informasiya təhlükəsizliyinə şərh vermək üçün hesab edirəm ki, beynəlxalq səviyyəyə çıxmaq, orada baş verənləri canlı görmək insana sanki daha fərqli üstünlük qazandırmış olur. Belə ki, qlobal kiber ekosistem lokal mühitlə müqayisədə çox daha fərqlidir. Hər bir regionun, ölkənin, biznes sahəsinin və hətta ayrıca müəssisənin özünəməxsus tənzimləmələri, texnologiyaları, təhdid vektorları, riskləri və s. vardır. Hər hansı bir mühitdə fəaliyyət göstərdiyin zaman hər kəs özünəxas məqamlara daha çox önəm verir və sanki öz balaca dünyasını qorumaqla öhdələnmiş olur. Qlobal səviyyədə isə vəziyyət bəzən çox fərqli ola bilər. İlk olaraq onu vurğulamaq istərdim ki, qlobal kiber ekosistemində hiss olunan əsas məqam budur ki, rəqəmsal transformasiya özü ilə birgə kiber təhdidlərin vertikal və horizontal istiqamətlərdə şaxələnməsinə səbəb olub. Bir tərəfdən klassik yanaşmada həyata keçirilən çoxsaylı kiber hücumlar (Məsələn, Owasp top 10), digər tərəfdən isə daha da dərinləşmiş və sürətli olan süni intellektin imkanları ilə həyata keçirilən, yaxud süni intellektə yönəlik hücumlar, Telekom şəbəkəsinə, xüsusilə də, 4G və 5G şəbəkəsinə, o cümlədən blockchain texnologiyalarına yönəlik hücumlar və s. müşahidə etmək olur. Təbii ki, heç vaxt dəbdən düşməyən Vishing, Phishing və s. sosial mühəndislik hücumları isə hələ də aktuallığını saxlamaqdadır.
Fərdi məlumatları günümüzün ən həssas məlumatı hesab etmək olar. GDPR-ın qüvvəyə minməsi, tələblərin kəskinliyi və fərdi məlumatların işlənməsi qaydalarını müəyyən olunmuş sərt çərçivələr daxilində həyata keçirmə tələbi sanki bütün dünyada zəncirvari əks-sədaya gətirib çıxarmış oldu. Bundan əvvəl də fərdi məlumatların təhlükəsizliyini müəyyən edən qanunvericiliklər mövcud idi, lakin bu qanun öz sərtliyi ilə kibertəhlükəsizlik sferasında ciddi bir təkan kimi hiss olundu. Boşuna deyil ki, hazırda bütün ölkələr fərdi məlumatların emalına xüsusi önəm verir, müvafiq normativ sənədlər hazırlayır, texniki tənzimləyici standartlar müəyyən edir və s. Demək olar ki, bütün ölkələrdə fərdi məlumatlara yönəlik müxtəlif tənzimləyici qanunverici baza mövcuddur. Bir sıra inkişaf etməkdə olan ölkələrdə isə yenicə fərdi məlumatlara həssaslıqla yanaşmağa başlayıblar. Nəticədə, son istifadəçiyə yönəlik bütün biznes və dövlət qurumları bu qanunlara riayət etməyə məcburdur ki, bu da öz növbəsində informasiya təhlükəsizliyi önləyici tədbirlərin dərəcəsini yüksəldir, qoruma səviyyəsini isə artırmış olur. Qısaca desək, “komplayant” olmağa məcbur edir.
Başqa bir qeyd olunası məqam isə ondan ibarətdir ki, qlobal şirkətlərin, dövlət müəssisələrinin bulud həllərinə üstünlük verməsi sonuncuları dünya iqtisadiyyatının və siyasətinin vacib elementinə çevirir. ABŞ hökumətinin demək olar ki, bütün dövlət qurumlarına məxsus informasiya sistemləri Microsoft şirkətinin təqdim etdiyi Azure buludundadır (“Azure Government”). Bulud həllərinin təklif etdiyi kibertəhlükəsizlik səviyyəsinin yüksək dərəcədə təşkil olunması təbii ki, danılmazdır. Bu texnologiyaları təqdim edən provayderlər, demək olar ki, bütün beynəlxalq standartlara uyğun şəkildə qurulmuşdur və onların çevikliyi istənilən yeni tələbi ən qısa zamanda, təhlükəsiz şəkildə təmin etməyə imkan verir. Amma digər tərəfdən bu mühit qlobal şəbəkəyə açıqdır və nəticədə kritik bir boşluğun (“Log4j” kimi yeni bir təhdidin) qəfil elanı ciddi narahatlıqlara səbəb ola bilir. Yenicə elan olunmuş, İPv6 TCP\İP protokolu üzrə kritik (“Zero-Click”) boşluq, Azure buludunda korporativ biznes mühiti olan təhlükəsizlik cavabdehi üçün narahatlıq yaratmaya bilməz. Bu zaman bulud həllərinin təqdim etdiyi müştərək öhdəliklər üzrə razılaşmalar, ölkə və beynəlxalq standartlar nə qədər ciddi tələblər müəyyən etsə də, təhdidləri azaltmış olmur.
Süni intellektin imkanlarından yararlanaraq “deepfake” kimi kiberhücumlar da qlobalda geniş yayılmaqdadır. Hong-Kong şirkətlərinin birində “deepfake” vasitəsilə özünü CFO kimi təqdim etmiş kibercinayətkarın hesabına 25 milyon dollar köçürülüb. Bu, dünyada ciddi əks-səda yaratmış bir hadisə olmuşdur. Həmçinin, Süni intellektin normal fəaliyyətinə yönəlmiş kiberhücumlar (adversarial ML) da günün aktuallığıdır.
Ümumiləşdirsək, dünya iqtisadiyyatı, dövlət idarəçiliyi, təhsil, sosial xidmətlər və digər sahələr rəqəmsallaşdıqca kibertəhdidlərin və kiberhücumların miqyasında, həcmində, dərinlik dərəcəsində yalnız artım müşahidə edilməkdədir.
3. Azərbaycan Respublikasının kibertəhlükəsizlik ekosisteminin cari vəziyyəti barədə nə düşünür və ekosisteminin gücləndirməsi üçün nə təklif edirsiniz?
Azərbaycan, kibertəhlükəsizliyin təşkilinə görə regionun ən güclü, inkişaf etmiş ölkəsidir. Deyərdim ki, nəinki regionu, hətta bir çox Avropa ölkələrini geridə qoymaqdadır. Milli kibertəhlükəsizlik indeksinin (NCSİ) son göstəricilərinə görə, Azərbaycan hazırda 18-ci yerdə qərarlaşmışdır. İTU-nun qlobal kibertəhlükəsizlik indeksinə görə isə daha da irəliləyərək artıq 40-cı yerdədir. Son illərdə, qeyd olunan göstəricilər üzrə artan templə davam edən tendensiyanı müşahidə edirik. Bu, Azərbaycan hökumətinin diqqətinin və əlaqədar qurumlarımızın peşəkar fəaliyyətinin nəticəsidir. Bilirsiniz ki, Azərbaycan Respublikasının Prezidenti cənab İlham Əliyev öz yerli və beynəlxalq tədbirlərdəki çıxışlarında kibertəhlükəsizliyə xüsusi önəm verdiyini dəfələrlə vurğulamışdır. Hesab edirəm ki, məhz bu amil – ümumi dildə desək, “Security Governance” son zamanlar öz töhfəsini verməkdədir. Yəni dövlət dəstəyi, gərəkli və lazımi vəsait, büdcə, resurslar yetərli olmadıqda kibertəhlükəsizliyin təşkilindən danışmaq mənasız olar. Ölkəmizin də son dövrlərdə rəqəmsallaşma istiqamətindəki strategiyası kibertəhlükəsizliyi ön plana çıxarmağı bacarmışdır.
Bu dəstəyi və ümumiyyətlə, kibertəhlükəsizlik istiqamətindəki canlanmanı görməmək mümkün deyil. İlk əvvəl, vergi güzəştlərini vurğulamaq istərdim ki, bu da öz növbəsində İT sahəsinin Azərbaycanda canlanması üçün katalizator rolunu oynamalıdır. Əlavə olaraq, “Azərbaycan Respublikasının informasiya təhlükəsizliyi və kibertəhlükəsizliyə dair 2023 – 2027-ci illər üçün Strategiyası” və həmin strategiyadan qaynaqlanan addımlar, qanunvericilik bazasında olunan dəyişikliklər, yeni normativ sənədlər, dövlətin maliyyələşdirdiyi beynəlxalq səviyyəli təlimlər, beynəlxalq və yerli yarışlar və s. bu cür gözəçarpan təşəbbüslər mən və eləcə də bu sahədə çalışan peşəkarlar üçün böyük stimul və sevindirici haldır.
Ekosistemin gücləndirilməsi üçün təkliflərə qaldıqda isə, hesab edirəm ki, bu sahədə ölkəmizin cavabdeh qurumlarında kifayət qədər təcrübəli əməkdaşlar var və onlar artıq nə etməli olduqlarını çox daha yaxşı bilirlər. Bizə düşən, bu istiqamətdə lazım olan dəstəyi təmin etməkdir.
Eyni zamanda, ölkəmizdə vahid çərçivə sənədlərinin və texniki standartların tətbiqi daha da faydalı olardı. Məsələn, uyğunluq testini keçmək üçün şəbəkə ekranının olması və şəbəkə trafikinə nəzarətin edilməsi tələb olunur. Bununla yanaşı, sazlanmanın forması, susmaya görə tənzimləmələrin tətbiq olunması məsələlərində yerli normativ sənədlərin mövcudluğu işin effektivliyinə müsbət təsir göstərə bilər. Habelə, mobil tətbiqlərin müəyyən standartlar çərçivəsində hazırlanması gələcəkdə gözlənilməz risklərin qarşısının alınmasına və ya risklərin dərəcəsinin minimuma endirilməsinə kömək edəcəkdir. Bu məqsədlə, əslində, çox geniş araşdırmalara ehtiyac yoxdur, beynəlxalq standartların milli səviyyəyə uyğunlaşdırılaraq tətbiq edilməsinə başlanılması kifayətdir.
4. Kiber diasporamızı gücləndirmək üçün hansı addımların atılmasını tövsiyə edərdiniz?
AKTA-nın bu sahədə fəaliyyətini şəxsən öz adıma çox bəyənir və dəstəkləyirəm. Siz, müstəsna nəticələr əldə etmiş və sahədə ilk addımları atmışsınız. Kiber diasporanı bu baxımdan ölkəmiz üçün bir yenilik hesab edirəm. Mən də yenicə bu diasporanın üzvü olmuşam. Effektivliyini gücləndirmək üçün məsələn, dövlətimizi, vətənimizi layiqli təmsil etməkdən başlamaq olar. Daha sonra isə mütəmadi görüşlər keçirmək və bu görüşlərdə tətbiq oluna biləcək sənədlərin hazırlanması, standartların milliləşdirilməsinə dəstək verilməsi, müvafiq araşdırmaların həyata keçirilməsi və nəticələrinin müzakirəsi kimi fəaliyyətlərin təşkil olunması tövsiyə olunan addımlardan olardı.
5. Uğurlu karyera qurmaq, kibertəhlükəsizlik sahəsində ixtisaslaşmaq istəyənlərə nə məsləhət görərdiniz?
Uğurlu karyera nisbi bir anlayışdır. Bu, kiməsə görə hər hansı bir vəzifə, kiməsə görə hər hansı şirkət və kiməsə görə isə elmi araşdırma sahəsindəki töhfə ola bilər. Amma mən düşünürəm ki, bizdə çatışmayan ambisiyadır. Yaxşı mənada. Məsələn, beynəlxalq səviyyəli kibertəhlükəsizlik həlli qurmaq və onu inkişaf etdirmək və yaxud yeni texnoloji bir şirkətin təməlini qoymaq, onu beynəlxalq səviyyəyə çatdırmaq və daha sonra onun kibertəhlükəsizliyini təmin edəcək yerli kadrları cəlb etmək və s. Məncə, bizim gənc nəsil buna qadirdir və özünə inanmalıdır. Uğurun istənilən sahədəki sirrini soruşsanız, mən, əzmkarlıq və nizam-intizam deyərdim.