Moliyaviy ma'lumotlarni xavfsiz saqlashda shifrlash eng muhim vositalardan biri hisoblanadi. Moliyaviy tashkilotlar o'tkazmalar davomida maxfiy ma'lumotlarni himoya qilish uchun AES-256 kabi sanoat standart shifrlash protokollari juda katta darajada tayanadi. Raqamlar ham o'z navbatida qaytg'isi bor. Verizonning so'nggi ma'lumotlarni buzish to'g'risidagi hisoboti esa deyarli barcha buzilishlarning 60% ga yaqini to'g'ri shifrlash amalga oshirilsa to'xtatilgan bo'lardi. Moliyaviy tizimlar bilan ishlayotgan har qanday kishining turli shifrlash usullari qanday ishlashini bilish ma'quldir. Simmetrik shifrlash katta hajmdagi ma'lumotlarni tez shifrlaydi, shu sababli ham banklar kundalik operatsiyalar uchun aynan shuni qo'llaydi. Bosh farq esa asimmetrik shifrlash kuchliroq himoya qilishini, lekin ma'lum bir narxga tushishidir. Bunday usulda tranzaksiyalar uzoqroq ketadi, shu bilan birga xavfsizlikni maksimal darajada ta'minlash va mijozlar noqulaylikka duch kelmasliklari uchun tezlik o'rtasida klassik duch kelish paytida qoladi.
Ko'p qavatli kirishni boshqarishni joriy etish, ruxsat etilmagan shaxslarni kirishidan hamda moliyaviy ma'lumotlarni himoya qilishdan maqsadga muvofiqdir. Bu yerda asosiy g'oya - turli tekshiruvlar va tasdiqlash vositalarini birlashtirish orqali kimligini aniqlash va muhim ma'lumotlarga kirish huquqini berishdan iborat. Masalan, vazifaga asoslangan kirishni boshqarish (RBAC) ni keltirish mumkin. RBAC yordamida xodimlarga faqat ularning kompaniyadagi lavozimiga mos keluvchi narsalar beriladi. Bu esa ularning keraksiz ma'lumotlarga kirish imkoniyatini cheklaydi, shu bilan birga xatolik yoki maqsadli noto'g'ri foydalanish ehtimolini kamaytiradi. Shu bilan birga, kompaniyalar muntazam ravishda kimda qanday kirish huquqlari borligini tekshirib borishlari kerak. Bunday tekshiruvlar, masalan, kimdir hech kimga ma'lum bo'lmagan sabablarga ko'ra juda katta huquqlarga ega bo'lib qolgan holda, privilegiyalarni oshirish kabi muammolarni aniqlashga yordam beradi. Bunday holda, yangi xodimlarning ham admin huquqlariga ega bo'lib qolishlari mumkin, chunki hech kim kirish huquqlarini muntazam tekshirmaydi. Muntazam audit qilish faqatgina qog'oz ish emas, balki tizimlarni xavfsiz saqlashning eng yaxshi usullaridan biri bo'lib, xodimlarning faqat o'z ishlarini bajarish uchun zarur bo'lgan narsalarni ko'rishini ta'minlaydi.
Bugungi kunda onlayn xarid qiluvchilar soni ko'payib borayotgani sababli, moliyaviy o'tovlarni amalga oshirish jarayonida mablag'larni xavfsiz saqlash uchun voqtea voqte fraud aniqlash juda muhim ahamiyat kasb etdi. Fraud darhol aniqlansa, banklar va savdochilar yomon qo'llar natijasida katta zarar etkazishdan oldin ularni to'xtata olishadi. Tadqiqotlar aks ettirayotganki, mashin o'qish fraudga xos belgilarni aniqlashda yaxshi natijalar beradi, bu esa xato qilinib haqiqiy o'tovlar belgilanishini kamaytiradi va barcha asosiy fraud hollari aniqlanib turadi. Lekin yangi fraud aniqlash texnologiyalarini yigirma yildan ortiq muddat avval yaratilgan eski to'lov tizimlariga ulashda muammo yuzaga keladi. Ko'plab kompaniyalar shu moslik muammosi bilan duch keladi. Xavfli yangiliklarga qaramay, tizimlarni bir-biriga ulash uchun API-dan foydalanish va dasturlarni kichikroq, almashtiriladigan qismlardan tashkil etish kabi yangi yondashuvlar ushbu muammoni hal etishga yordam bermoqda. Bunday usullar biznesga mavjud infrastrukturini to'liq o'zgartirmasdan xavfsizlikni yangilash imkonini beradi va natijada vaqt hamda mablag' tejaydi.
Bank ma'lumotlarini noqonuniy kirishdan himoya qilish uchun stol va serverlarni to'g'ri sozlab qo'yish muhim ahamiyatga ega. Moliyaviy tashkilotlar foydalanilmaydigan xizmatlarni o'chirib qo'yish, dasturlarni muntazam yangilab turish hamda bank muhitlari uchun maxsus ishlab chiqilgan xavfsizlik standartlarini joriy qilish kerak. Amaliyotda uchragan hodisalardan ko'rinib turibdiki, noqulay sozlamalar katta xavfsizlik teshiklarini yaratishi mumkin. Shunday bir hodisada bankning server sozlamalari ochiq qoldirilgani uchun hakkerlar millionlab qiymatli mijoz ma'lumotlarini o'g'irlab ketgan. Xuddi shu kabi xatolar tashkilotlar uchun qat'iy xavfsizlik choralari majburiy ekanligini ko'rsatadi. Tashkilotlar boshidan to'g'ri sozlamalarni amalga oshirganda ular faqatgina alohida mashinalarni emas, balki barcha operatsiyalarda ularning umumiy kiberxavfsizlik holatini mustahkamlaydi.
NISTning kiberxavfsizlik tizimi kompaniyalar uchun kiberxavf ostida bo'lgan xavflarni aniqlash, ularni boshqarish va kamaytirish bo'yicha asosiy yo'riqnoma hisoblanadi. Tashkilot ichida to'g'ri sozlanganda, u kuniga kun xavf bilan bog'liq masalalarni hal qiluvchi CFOlar uchun juda muhim bo'lgan hujumniy xavfni bartaraf etish darajasini oshiradi. Tuzilma shaklidagi xavfsizlik yondashuvi moliyaviy ma'lumotlarni doim o'sib borayotgan yangi xavflardan himoya qilishga yordam beradi. Albatta, ushbu tizimni joriy etish oson emas. Ko'plab tashkilotlar yetarli resurslar ajratishda hamda shu bilan bog'liq bo'lgan texnik tafsilotlarni tushunishda qiyinchiliklarga duch keladi. Shu turdagi qiyinchiliklarni har bir biznesning noyob ehtiyojlariga mos keluvchi xodimlarni qayta tayyorlash dasturlari hamda aqlli uzoq muddatli rejalashtirish strategiyalari yordamida engish mumkin.
GDPR va CCPA qoidalari bilan ishlash ma'lumotlarni boshqarish va ularni xavfsiz saqlashda muhim ahamiyatga ega. Ushbu qonunlar shaxsiy ma'lumotlarga qat'iy himoya berishni talab qiladi va ularni bajarishdan bosh tortish jiddiy moliyaviy jarimalarga olib kelishi mumkin. Mazkur tartibga solish faqat mahalliy do'konlarni emas, balki xalqaro chegaralarni kesib o'tuvchi bizneslarni ham qamrab oladi, bu esa mamlakatlararo ma'lumotlarni uzatishni boshqarishda qiyinchiliklarga sabab bo'ladi. Buxgalteriya rahbarlari uchun ushbu qoidalarga rioya qilish ustuvor vazifalar ro'yxatida yuqori o'ringa ega bo'lishi kerak, chunki jarimalar kompaniyaning foydasiga jiddiy ta'sir qiladi. Shuningdek, xalqaro bozorlarda o'z nomini saqlab qolish ham mijozlar va hamkorlarga ma'lumotlar xavfsizligi kompaniya tomonidan jiddiy qaralayotganini ko'rsatishga bog'liq.
Kompaniyalarning kiberxavfsizlik shikastlanishlarini investorga qachon ma'lum qilish kerakligi to'g'risida AQSH Qimmatli qog'ozlar va birjalar komissiyasi (SEC) qat'iy qoidalarga ega, bu biznes uchun o'z moliyaviy ahvoli to'g'risida ochiq va shaffof bo'lishning qanchalik muhim ekanligini ko'rsatadi. Moliyaviy direktorlar uchun ushbu me'yoslarni bilish shunchaki hujjatlarni rasmiylashtirish emas, balki kompaniyaning barqarorligiga ishonch hosil qilish vazifasining o'ziga xos qismidir. Oxirgi yillarda SEC tomonidan xavfsizlik muammolarini to'g'ri ochib berolmagan kompaniyalarga nisbatan jazolarning aniq naqshasi kuzatildi. Faqat o'tgan chorakda uchta katta korporatsiya ma'lumotlarni oshkor qilishni kechiktirgani uchun jarimaga tortildi. Aqlli kompaniyalar oldindan tayyorgarlik ko'rishadi, ya'ni voqea sodir bo'lishini tez aniqlash, tegishli tomonlarga kunlar o'tmasdan soatlar ichida xabar berish hamda jarayon davomida ochiqlik bilan muloqot qilish bo'yicha aniq protseduralarga ega bo'lishni o'z ichiga olgan mustahkam reaktsiya strategiyalarini yaratishni anglatadi. Bunday vaziyatlarni to'g'ri boshqarish kompaniyaning tashabbusi yoki foydasi uchun vayron qiluvchi bo'lishi shart emas.
Yetkazib beruvchilar bilan bog'liq xavflarni boshqarish murakkab etkazib berish zanjirlari bo'ylab korporativ ma'lumotlarni xavfsiz saqlash uchun muhimdir. Biz uchinchi tomonning xavfsizlik buzilishlari tufayli biznesda katta muammolarga duch kelgan holatlarni ko'rdik, bu esa nima uchun to'g'ri tekshirish qanchalik muhim ekanligini ko'rsatadi. Korxonalar o'z hamkorlarining haqiqatan ham xavfsiz ekanligini baholash uchun xavfsizlik tahlili tizimlari hamda muntazam uchinchi tomon tekshiruvlarini o'tkazishda. Bu baholash tashabbuslar tashabbuskorlar tufayli maxfiy ma'lumotlar ochib qolishini oldini oladi. Moliya rahbarlari uchun esa chuqur hamkorlik tekshiruviga vaqt sarflash faqatgina yaxshi amaliyot emas, balki etkazib beruvchilar bilan munosabatlarda yashiringan xavflarga qarshi himoya vositasi hamdir. Chunki hech kim kompaniya nomi shubhali tashkilot bilan hamkorlik tufayli yomonlashishini xohlamaydi.
AI texnologiyasining rivojlanishi tarmoqlar ichidagi xavfli holatlarni aniqlashni to'liq o'zgartirib yubordi va kiberxavfsizlik sohasida yangi imkoniyatlarni ochdi. Korxonalar endi muammolarni katta muammo bo'lib qolishidan oldin aniqlash uchun mashinaviy o'qish va turli AI tizimlaridan foydalanmoqda. Ayrim tadqiqotlar AI asosli usullarning an'anaviy usullarga qaraganda taxminan 80% samaraliroq ekanligini ko'rsatmoqda, bu esa tizimlarni himoya qilishda xavfsizlik brigadalariga haqiqiy afzallik beradi. Mavjud xavfsizlik tizimlariga AI joriy etishda yaxshi natijalarga erishish uchun barcha tizimlarning silliq ishlashini ta'minlashga bog'liq. Buning uchun joriy tizimlarga mos keluvchi AI vositalarining moslanuvchanligini tekshirish hamda ularni biznesning alohida ehtiyojlariga moslashtirishni o'z ichiga oladi. Ko'plab tashkilotlar o'zlarining noyob ehtiyojlarini tushunishga sarflangan vaqt keyingi bosqichlarda ancha yaxshi natijalarga olib kelishini aniqlashmoqda.
Zanjirli blok texnologiyasi o'ttizliklarni ochiq va shaffof saqlashda noyob imkoniyatlarni taqdim etadi. Uning ajralib turuvchi xususiyati shundaki, ma'lumotlar yozilgandan keyin hech kim ularni o'zgartira olmaydi, bu esa avtomatik ravishda ishlaydigan audit yo'li hosil qiladi. Hisob-kitoblarni o'tkazish jarayonida xavfsizlik talablari yuqori bo'lgan bizneslarga bu juda foydali. Masalan, IBM blockchainni o'z hisob to'lov jarayonlarida qo'llagan holda xavfsizlikni oshirishga va ma'lumotlardagi xatolarni kamaytirishga erishgan. Biroq, oldinda hali ham ko'plab qiyinchiliklar bor. Ko'plab odamlar hali ham blockchainni masshtabga mos kelmasdan yoki tushunish uchun juda murakkab deb hisoblaydi. Shu noto'g'ri tushunchalarni yengib o'tish, audit sohasida blockchain qanday foyda berishini ko'rsatishga yordam beradi. Buning uchun uning qanday ishlashini tushuntiruvchi ko'proq ta'lim dasturlari hamda texnologiyani yanada takomillashtirish kerak bo'ladi.
Gibrid ish joylarini xavfsiz saqlash uchun nolga ishonch arxitekturasi pandemiya karantini tugaganidan keyin kompaniyalar ishlashini boshlaganidan beri zarur ekanligini isbotladi. Bu yerda asosiy g'oya oddiy, lekin kuchli: ichki tarmoqlar xavfsiz zonalar deb hisoblanmasdan, har bir kirish nuqtasida hamma narsani tekshirish kerak. So'nggi tadqiqotlarga ko'ra, ushbu yondashuvni qabul qilgan kompaniyalar an'anaviy usullardan foydalanayotganlarga qaraganda xavfsizlik voqelarining soni taxminan 2 barobar kamayganligini ko'rsatdi. Nolga ishonchni amalga oshirish uchun kerakli texnik vositalarni tanlash kerak. Aksariyat amalga oshirishlar uchun identifikatsiya boshqaruv tizimlari va ko'p omilli autentifikatsiya kerak. Eng yaxshi natija qanday bo'lishi biz qaysi turdagi biznes haqida so'z bormoqda ekanligiga bog'liq. Ishlab chiqarish zavodi onlayn xizmat ko'rsatuvchi kompaniyaga qaraganda boshqacha himoya talab qiladi. Buni to'g'ri bajarish va tashkilot ichida ma'lumotlarning oqimini aniqlab olish vaqt talab qiladi, so'ngra kiberhujumlarga qarshi himoya quriladi.
Kvant hisoblash tezlik bilan rivojlanib bormoqda va bu esa shuni anglatadiki, mavjud shifrlash usullarimiz endi xavf ostida. Shunday qilib, kvant hujumlarga chidamli bo'lgan yechimlar ishlab chiqarishni boshlashimiz kerak. Kiberxavfsizlik mutaxassislari yillardan beri kvant xavflari o'n yildan kam muddat ichida muammo bo'lishi mumkinligini ogohlantirib kelmoqdalar. Kelajakka tayyorgarlik ko'rish uchun hozirda butun dunyo bo'ylab amalga oshirilayotgan turli tadqiqot loyihalarini o'rganish kerak. Masalan, AQSH Milliy standartlar instituti kvant kompyuterlari ishga tushganda ham muhim axborotni himoya qiluvchi yangi shifrlash standartlarini ishlab chiqishda yetakchi o'rin tutmoqda. Kelajakda o'zlarining shifrlash tizimlarini qanday boshqarish kerakligini oldindan o'ylab ko'rishni xohlaydigan kompaniyalar albatta buni hisobga olishlari kerak. Chunki hech kim ma'lumotlari xavfsiz emasligini tushganda topishni xohlamaydi, chunki kimdir yangiroq kompyuter yasab qo'ydi.
Zamonaviy biznes operatsiyalarning murakkabligi bilan shug'ullanayotgan CFO lar uchun kiber sug'urta — bu risklarni boshqarish strategiyasining kerakli qismi bo'lib, boshqa qator element emas. Ma'lumotlarning tarqalishi bugungi kunda qimmatga tushadi, hammasi aytgach, kompaniyalarga o'rtacha bir necha million dollar turadi. 2021-yilda IBM tadqiqotlarida o'rtacha brendning taxminan 4,24 million AQSH dolloriga tushganligi ko'rsatilgan. Kiber sug'urta hujum sodir bo'lgandan keyin vujudga keladigan yuristlarga to'lov, shikastlangan tizimlarni tuzatish va me'yoriy jarimalarni qoplash kabi kutilmagan xarajatlarni qoplashga yordam beradi. Mazkur qoplamaga qancha sarf qilish kerakligini hisoblashda moliya rahbarlari boshqa xavfsizlik sohasidagi sarflar bilan nima olinayotganini taqqoslash kerak. Sug'urtalash eng yomon senariylardan himoya qiladi, lekin aqlli bizneslar shuningdek oldini olish choralari uchun ham mablag' ajratadilar, shunda ularga da'vo qo'llab-quvvatlash kerak bo'lmasligi kerak. Albatta, muammolarni oldini olish ular vujudga kelgandan keyin tozalashdan ancha yaxshiroq.
Xavfsizlik bo'yicha tushuncha hosil qilish dasturlari xodimlarning xatti-harakatlarini o'zgartirishda va xavfsizlik bilan bog'liq muammolarni kamaytirishda katta farq yaratadi. Mazkur dasturlarni joriy qilgan kompaniyalar tez-tez hodisalar sonining keskin kamayishini kuzatishadi, bu esa ularga kiritilgan mablag'ning qanchalik oqlanishini ko'rsatadi. Masalan, KnowBe4 tadqiqotlariga tayanuvchi ma'lumotlar o'z ta'lim dasturidan o'tgandan keyin fishing hujumlari 90% ga kamayganini ko'rsatdi. Moliyaviy maslahatchilar bunday chora-tadbirlarning samaradorligini baholash uchun vaqt o'tishi bilan hodisalar soni, muammo yuzaga kelganda tashabbuskorlik qilish tezligi hamda ta'lim dasturlarida xodimlarning guruh bo'yicha qatnashish darajasini nazorat qilish kerak. Yana bir yaxshi samarali o'lchov usuli korxona bo'ylab sodir bo'layotgan haqiqiy xavfsizlik buzilishlarining kamayishi tufayli tejalgan mablag'ni hisoblashdan iborat.
Boshqaruv kengashlari uchun kiberxavfni hisobotga olish sohasida ochiq bo'lish kompaniyalar uchun uzoq muddatli ma'qul qarorlar qabul qilish muhim bo'lganda, shu muammolarga nisbatan ochiq bo'lish muhim ahamiyat kasb etadi. Yaxshi hisobotlar barcha shaxsiy texnik muammolarni boshqaruvchilar tomonidan bevosita qo'llaniladigan narsaga aylantiradi. Oddiygina maslahatlar? Tilni oddiy saqlang, dastlab eng muhim xavflarga e'tibor qarating va keyingi qadamlar haqida taklifni unutmang. Microsoftga misol qilib oling. Ular o'z kengash hisobotlarida oldinda borib, xavfsizlik xavflari haqida joriy ma'lumotlarni va ularning qanday javob berayotganini aks ettiruvchi interfeyslar yaratish orqali o'tib ketishgan. Aynan shu turdagi ochiqlik rahbarlarga narsalar yomonlashishidan oldin harakat qilishga yordam beradi, shuningdek, investitsiyalovchilar va mijozlar ham kompaniya o'z mulkini himoya qilishni jiddiy qabul qilishini ko'rsatadi. Oqibatda, hech kim zaifliklarini yashirayotgan biznesga investitsiya qilmoqchi emas.
Korxona boshqaruv tizimlari xavfsizlik rejalari ichiga kompyuter monitori analitikasini kiritganda, ular haqiqatan ham xavflarni duch kelishdan oldin aniqlashni yaxshiroq bajara oladi. Foydalanuvchilarning tizimlar bilan o'zaro ta'siri va ekranlarda g'alati namunalarini aniqlash muammolarni kengayib ketishidan oldin ularga javob berish imkonini beradi. Xavfsizlik brigadasi ekranning faoliyat ma'lumotlarini to'plash va shubxali narsalarni belgilash uchun SIEM tizimlari kabi vositalarga tayanadi. Masalan, ba'zi kompaniyalar monitor analitikasini joriy qilgandan keyin ehtimoliy tashabbuslarga 40% tezroq javob berishlari mumkinligini sezgan. Hech qanday tizim xatosiz emas, lekin ko'plab IT menejerlari o'z tarmoqlarida real vaqtda nima sodir bo'layotganini ko'rishlari bilan himoyaviy xavfsizliklari yaxshiroq ekanligini his qilishadi.
Keyingi bo'limga o'tish gaplari: Bosh moliya rahbari (CFO) rahbarligi ostida xavfsizlikni amaliyotga solishning ko'p qirrali yondashuvini o'rgangan holda, sun'iy intellekt, blokcheyn va boshqa yangiliklar bilan qayta shakllantirilayotgan kompyuter xavfsizligi xususiyatlarini belgilovchi yangi paydo bo'layotgan texnologiyalarga chuqurroq kirib boraylik.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
