Bank sektorunda kibertəhlükəsizlik hansı səviyyədədir?-MÜSAHİBƏ

CISA, CISM, CGEIT, CRISC, auditor-konsaltinq ekspert İlqar Əliyevin banklarda kibertəhlükəsizlik haqqında BBN.az saytına verdiyi müsahibəni sizə təqdim edirik.

  • Bu gün bank sektorunda kibertəhlükəsizliyi hansı səviyyədə qiymətləndirirsiniz?

Bu gün Bank sektoru kibertəhlükələrə qarşı həssas vəziyyətdədir. Bu bir tərəfdən Bankların informasiya infrastrukturlarında mövcud boşluqlara hədəflənən təhlükələrin aktivləşməsi, digər tərəfdən maliyyə sektorunda yeni texnoloji innovasiyaların tətbiqi ilə meydana çıxan kiberisklərlə səciyyələnir. Texnoloji infrastrukturda virtuallaşma, bulud texnologiyaları, suni intellekt və avtomatlaıdırılmış qərar qəbuletmə sistemləri, blokçeyn və digər innovativ həllərin tətbiqi və inteqrasiya olunması kibertəhlükə problemlərini həll etmir, əksinə biznesi maliyyə və reputasiya itgiləri ilə təhdid edən yeni özünə-xas riskləri ortaya qoyur. Bu risklər Bank və bzines informasiyasının konfidensiallığı, tamlığı və əlçatalığı kimi əsas üç meyarlarına təsir göstərir. Xidmətin keyifyyətinin təkmillədirilməsi, potensial müştəri bazasının genişləndirilməsi, yeni çeşidli məhsulların ortaya qoyulması, maliyyə gəlirlərinin artırılması, təhlükəsizliyin idarə olunması kimi biznes hədəfləri artıq informasiya texnologiyalarının tətbiqi və təhlükəsizliyinin təmin olunması ilə birbaşa əlaqədardır. Bank sektrounun Kibertəhlükəsizlik üzrə başlıca zəiflikləri informasiya təhlükəsizliyi üzrə İdarəçiliyin, bzines məqsədləri ilə uzlaşan strategiyanın, proseslərinin, nəzarət çərçivəsinin, qayda və prosedurların, səlahiyyət bölgüsünün olmaması, informasiya təhlükəsizliyi üzrə peşəkar kadlar qıtlığıdır. Sonun illərin təcrübələri və hadisələri bir daha sübut etdi ki, informasiya təhlükəsizliyinin təmin edilməsi zəncirinin ən zəif həlqəsi insanlar və davranışlardır. Kibertəhlükəsizliyin idarəedilməsi birdəfəyə tətbiq edilən proses deyil, davamlı idarə olunan proses olmalıdır. Kibertəhlükəsizliyin idarə olunması rəhbərliyin idarəetmə stilində və davaranışlarında əks olunmalıdır ki, daxili nəzarət sistemi informasiyanın qorunmasına hədəflənsin. Aparıcı ölkələrin idarəetmə leksikonunda bu münasibəti “Tone at the top” adlandırırlar. Bank rəhbərliyinin davaranışlarında bu yanşmanın hiss edilməməsi işçi kollektivin informasiya təhlükəsizliyinə hörmət və təmin etməsini sual altına qoyur.

  • Banklar özü təhlükəsizliyi daha da gücləndirməyə nə dərəcə maraqlıdırlar? Yəni bunun üçün hansısa gözəçarpan tədbirlər həyata keçirilirmi?

Banklar təhlükəsizliyin idarə edilməsini ən yükəsk risk kateqoriyasına aid edirlər və bu sahəni daima nəzarət altında saxlamaqda maraqlıdırlar. Lakin təəssüflər olsun ki, heç də bütün Banklarda bu nəzarətlər preventiv deyil, aşkaredici və daha çox təshihedici (postfaktum) yanaşmalarda qurular. Bir sıra Banklar kibertəhlükələri önləmək üçün güclü texniki-proqram vasitələri əldə etmişlər ki, bu alətlər daxildən və kənardan qaynaqlanan kiber riskləri minimallaşdırmağa imkan verir. Ötən dövrdə baş vermiş kiber insidentlərdən sonra maliyyə sektorunda informasiya nəzarət sistemlərinin təkmillədirilməsi, müvafiq qayda və prosedurların hazırlanması, tətbiqi, informasiya təhlükəsizliyi üzrə strukturların, rolların yaranması, monitorinq alətlərinin əldə olunması işləri genişlənməkdədir. Texnoloji yenilikləri daimi tətbiq edən təşkilat kimi Azərbaycan Respublikası Mərkəzi Bankı qeyd edilə bilər. İT idarəçiliyi və kibertəhlükəsizliyin idarə edilməsi məsələləri Mərkəzi Bankın əməliyyat proseslərinə 10 ildən artıqdır ki, inteqrasiya edilmidir. Bu sahədə COBIT5, ISO27001 standartları, SWIFT və aparıcı İnsitituların tövsiyələri əldə rəhbər tutulur. Dünyada qabaqcıl informasiya idarəetmə modeli hesab olunan 3 səviyyəli idarəetmə sistemini (İT idarəçiliyi, İnformasiya təhlükəsizliyi və Daxili Audit üzrə qarşılıqlı nəzarət fəaliyyətləri) istifadə edilir, nəzarət-monitoqinq alətləri periodik təkmilləşdirilir..

  • Yaxınlarda keçirilən “İT və İT təhlükəsizlik üzrə” üzrə Ekspert Qrupunun iclasında müzakirə mövzularından biri də “İT və İT Təhlükəsizlik üzrə Konfrans”ın keçirilməsi olub. Bu konfransın sektrora hansı müsbət nəticələr verəcəyini düşünürsünüz?

Hesab edirəm ki, konfransda əhatə olunacaq məsələlər günün tələbləri ilə səslənən problemlərə həsr edilmişdir. Konfransın məruzəçiləri və iştirakçıları bu sahədə idarəetmə, nəzarət və məsləhət xidmətləri üzrə təcrübələrə malik mütəxəssislərdir. Təqdimatlar, müzakirələr kibertəhlükəsizlik üzrə bir sıra aktual sualları cavablandırmağa imkan verəcəkdir. Azərbaycan Banklar Assosiasiyasının müzakirə mövzularının seçilməsi ilə əlaqədar Banklara olan sorğusu çox müsbət qiymətləndirilmişdir.

  • Konfransın gündəliyindəki məsələlər əsasən hansılar olacaq? Bu konfrans bundan əvvəlkindən nə ilə fərqlənəcək?

Konfransın gündəliyində biri digərindən maraqlı mövzular yer almışdır. Mövzular Banklarda olan kiber-nəzarətlərin təkmilləşdirilməsini, sahə üzrə ən yaxşı təcrübələrin tətbiqi metodlarını əhatə edir. Konkret olaraq kibertəhlükəsizliyin təmin edilməsinə rəhbərliyin rolu, konfidensial Bank məlumatlarının klassifikasiyası, Bankomatların təhlükəsizliyi, Bank əməliyyatlarına mənfi təsirlərin mənbləri, Beynəlxalq SWIFT institutunun kibertəhlükəsizlik tövsiyələri, Avropa Birliyinin informasiya təhlükəsizliyi üzrə yeni qanunvericilik aktları müzakirə mövzularıdır.  Digər öncəki konfranslardan əsas üstünlüyü  Bankların informasiya təhlükəsizliyi üzrə qaldırdıqları məsələlərə və problemlərə həsr olunmasıdır. Hesab edirəm ki, ABA-təşkilatçılığı ilə keçirilən Konfrans kibertəhlükəsizlik sahəsinə yeniliklərin paylanması, təcrübə mübadiləsi və Bankdaxili informasiya nəzarət sistemlərinin təmini üzrə faydalı olacaqdır.

İlqar Əliyev haqqında:

İlqar Əliyev 1991 -1996-cı illərdə Azərbaycan Dövlət İqtisad Universitetində “İqtisadi informasiya və Avtomatlaşdırılmış İdarəetmə Sistemləri” ixtisasına yiyələnmişdir. 1995 – 2004 –cü illərdə Taxıl Məhsulları Dövlət şirkəti, Stonepay şirkəti, Virtual Service İT həlləri mərkəzi, Congenio kimi təşkilatlarda İnformasiya Texnologiyaları peşəsi üzrə müxtəlif vəzifələrdə çalışmışdır. 2004-cü ildə Almaniyanın “Deutsche Management Akademie Niedersachsen” İnstitutunun “Avropa Birliyinin iqtisadi və biznes qaydaları” idarəetmə, 2013-cü ildə ADA Universitetində “Peşəkar İnkişafı Proqram” treyninq proqramlarını bitirmişdir. 2004 -2006-cı illərdə Bakı–Tibilisi-Ceyhan və Cənubi Qafqaz boru kəməri layihələrində informasiya sistemlərinin qurulması və təhlükəsizliyinin təmin olunmas işini həyata keçirmişdir. 2006 – 2013-cü illərdə Azərbaycan Respublikasının Mərkəzi Bankının Daxili Audit departamentində İnformasiya texnologiyaları üzrə böyük auditor və şöbə rəisi vəzifələrində çalışmışdır. 2013-cü ildən GRC Assurance & Advisory şirkətində İdarəetmə Auditi üzrə menecer vəzifəsində işləmişdir. 2017-ci ildən Prima Menecment Konsaltinq şirkətinin İT İdarəçilyi və İnformasiya təhlükəsizliyi üzrə rəhbəridir.
Hazırda İnformasiya Sistemlərinin Təhlükəsizliyi və İdarəedilməsi üzrə Audit və Konsultasiya xidmətləri təqdim edir.
2006-cı ildən Beynəlxalq İSACA (ABŞ) assosasiyasının üzvüdür. İlqar Əliyev CISA (İnformasiya Sistemləri üzrə Sertifikatlaşmış Auditor), CISM (İnformasiya Təhlükəsizliyi üzrə Sertifikatlaşmış Menecer), CGEIT (İnformasiya Texnologiyalarının İdarəçiliyi üzrə peşəkar sertifikat), CRISC (İnformasiya sistemlərində risklərə nəzarət üzrə peşəkar sertifikat), COBIT 5 Security Assessor peşəkar sertifikatlara malikdir.
Banklarda, İstehsal və Telekommunikasiya şirkətlərində informasiya sistemləri üzrə beynəlxalq standartların tətbiqi, informasiya təhlükəsizliyinin kompleks auditi və təkmilləşdirilməsi üzrə kamillik modellərinin qurulması, konsaltinq xidmətlərinin verilməsi kimi layihələri həyata keçirmişdir.

 

 

© Materiallardan istifadə edərkən hiperlinklə istinad olunmalıdır