Rəqəmsal şəxsiyyət sistemlərinə keçid dövlət xidmətlərinin sürətlənməsi və əlçatanlığının artması baxımından mühüm addımdır. Lakin bu keçid prosesi təhlükəsizlik və məxfilik baxımından bir sıra ciddi riskləri də özü ilə gətirir. Risklərin düzgün qiymətləndirilməsi və qabaqlayıcı tədbirlərin görülməsi sistemin etibarlılığı üçün həlledici rol oynayır.
Bu barədə İKT eksperti Natiq Məmişov Missiya.Az-a açıqlamasında deyib.
"Rəqəmsal şəxsiyyət sistemlərinin mərkəzləşdirilmiş formada qurulması “single point of failure” riskini yaradır. Yəni sistemin mərkəzində baş verən hər hansı sızma, texniki nasazlıq və ya xidmətin dayanması genişmiqyaslı təsirə səbəb ola bilər. Digər ciddi təhlükə hesabların ələ keçirilməsidir. Phishing hücumları, sosial mühəndislik üsulları, SIM-swap halları, zəif parollar və ya oğurlanmış cihazlar istifadəçi hesablarının təhlükəsizliyini risk altına salır",-ekspert bildirib.
Natiq Məmişovun sözlərinə görə, açarların və sertifikatların qorunmaması da mühüm problemdir. E-imza tokenlərinin, sertifikat fayllarının və ya “private key”lərin təhlükəsiz saxlanmaması ciddi hüquqi və maliyyə nəticələrə gətirib çıxara bilər. Bununla yanaşı, məlumatların həddən artıq toplanması prinsipi həm məxfilik, həm də reputasiya baxımından risk yaradır. “Lazım olduğundan çox məlumat”ın toplanması istifadəçilərin etimadını zəiflədir. Rəqəmsal şəxsiyyət müxtəlif xidmətlərdə istifadə edildikcə, istifadəçi davranışlarının izlənməsi və profil yaradılması ehtimalı artır. Bu isə şəxsi həyatın toxunulmazlığı ilə bağlı narahatlıqları gündəmə gətirir. Sistemlərin dövlət və özəl platformalarla inteqrasiyası zamanı API zəiflikləri, logların düzgün idarə olunmaması və konfiqurasiya səhvləri əlavə təhlükəsizlik boşluqları yarada bilər. Eyni zamanda daxili risklər — səlahiyyətli əməkdaşların sui-istifadəsi və icazə idarəetməsindəki boşluqlar — diqqətdən kənarda qalmamalıdır.
"Sosial aspektdən isə rəqəmsal bərabərsizlik riski mövcuddur. Texnologiyaya çıxışı məhdud olan qrupların bu sistemlərdən kənarda qalması sosial ədalətsizlik və etimad problemlərinə səbəb ola bilər. Risklərin azaldılması üçün çoxfaktorlu autentifikasiya (xüsusən phishing hücumlarına davamlı üsullar), cihaz bağlama və risk əsaslı autentifikasiya mexanizmləri tətbiq edilməlidir. “Privacy by design” yanaşması çərçivəsində minimal məlumat toplanmalı, məqsəd məhdudiyyəti qorunmalı və güclü şifrələmə istifadə olunmalıdır. Səlahiyyətlərin bölüşdürülməsi (“least privilege”), audit logların aparılması, mütəmadi penetrasiya testləri və təhlükəsizlik auditləri vacibdir. Bununla yanaşı, fövqəladə hallar üçün bərpa planları, sertifikatların ləğvi (revocation) mexanizmləri və ehtiyat giriş kanalları öncədən hazırlanmalıdır. Ən vacib məqamlardan biri isə vətəndaşların maarifləndirilməsidir: saxta linklərə diqqət, OTP məlumatlarının paylaşılmaması və e-imzanın təhlükəsiz qorunması barədə davamlı məlumatlandırma aparılmalıdır",-N.Məmişov əlavə edib.
İlahə QənbərliMissiya.Az
