O‘zbekistonda raqamli texnologiyalarning rivojlanishi bilan birga shaxsga doir ma’lumotlarni qayta ishlash hajmi ham ortib bormoqda. Shu bilan birga, ularni himoya qilishning nafaqat huquqiy, balki institusional, texnologik va madaniy jihatdan ham dolzarbligi ortib bormoqda. Maqola yozilayotgan paytda shaxsga doir ma’lumotlar bo‘yicha qonunchilik bazasi rasman shakllangan bo‘lsa-da, uning amaliy ijrosi ko‘plab savollarni keltirib chiqarmoqda edi.
2025-yil aprelda yangi muhim hujjat – O‘zbekiston Respublikasi Prezidentining «Axborot texnologiyalari yordamida sodir etiladigan jinoyatlarga qarshi kurashish faoliyatini yanada kuchaytirishga qaratilgan chora-tadbirlar to‘g‘risida» PQ-153-sonli qarori chiqishi shaxsni raqamli himoya qilish yondashuvini rivojlantirishda burilish nuqtasi bo‘ldi. Ushbu hujjat avval belgilangan tamoyillarni nafaqat to‘ldiradi, balki ularni tizimli ravishda amalga oshirishni amalda ishga tushiradi.
Ushbu maqolaning maqsadi – O‘zbekistonda shaxsga doir ma’lumotlarni himoya qilishni rasmiy me'yoriy tartibga solishdan, institusional mustahkamlash, texnologiyalar, antifrod mexanizmlarni joriy etish va kibergigiena madaniyatini shakllantirish orqali amalda ishlaydigan tizimni yaratishga o‘tib borayotganini ko‘rsatishdir.
Biz mavjud me'yoriy-huquqiy asoslarni, ijro etish muammolarini, hamda xalqaro yondashuvlarni ko‘rib chiqish bilan birga, 2025 yildagi yangi tashabbuslar to‘laqonli raqamli ishonch tizimini shakllantirishga qanday turtki bo‘lishi mumkinligini ko‘rsatib beramiz.
Ma’lumotlar sizib chiqish xavfi va raqamli xatarlarning o‘sishi
«Shaxsga doir ma’lumotlar to‘g‘risida»gi O‘RQ-547-son Qonunning 4-moddasiga muvofiq, shaxsga doir ma’lumotlar muayyan jismoniy shaxsga taalluqli bo‘lgan yoki uni identifikasiya imkonini beradigan, moddiy jismda qayd etilgan axborotdir. Bunday ma’lumotlarni qayta ishlash faqat qonuniy, adolatli va shaffof asoslarda amalga oshirilishi mumkin.
Foydalanuvchilar onlayn kredit rasmiylashtirish yoki saytga pasport ma’lumotlarini kiritish vaqtida ma’lumotlar xavfsizligi haqida kamdan-kam o‘ylaydilar. Agar ma’lumotlarni qayta ishlash talablari buzilsa, ma’lumotlar shifrlanmasa yoki xodimlar xavfsizlik masalalariga e'tiborsizlik qilsa, bu ma’lumotlar boshqa shaxslar qo‘liga o‘tib ketishi mumkin.
Shaxsga doir ma’lumotlar xavfsizligiga oid muammolar faqatgina rivojlanayotgan mamlakatlardagina emas, balki Germaniya, AQSh va Yaponiya kabi yuqori texnologik rivojlangan davlatlarda ham uchrab turadi. Misol uchun, 2024 yil iyunida AQShdagi Evolve Bank & Trust banki bir qator fintex-kompaniyalar bilan hamkorlik qilar ekan, kiberhujumga uchragani va mijozlarga oid ma’lumotlar o‘g‘irlangani haqida ma'lum qildi. Yaponiyada esa 2025 yil fevralida NTT Communications kompaniyasi o‘z tizimiga ruxsatsiz kirish holatini aniqladi, bu esa 17 000 dan ortiq korporativ mijozga oid ma’lumotlar sizib chiqishiga olib keldi.
Germaniyada 2023 yil oktyabrida esa Südwestfalen IT nomli IT-xizmatlar provayderiga tovlamachi-dastur orqali qilingan hujum 70 dan ortiq munisipalitet faoliyatini izdan chiqardi va muhim raqamli xizmatlarga uzoq muddatli to‘sqinlikka sabab bo‘ldi.
Bu shuni ko‘rsatadiki, tashkiliy va me'yoriy choralar bilan kuchaytirilmagan texnik jihozlanish to‘liq himoyani kafolatlay olmaydi.
O‘zbekistonda ham bu muammo jiddiy ahamiyatga ega. Ichki ishlar vazirligi va Kiberxavfsizlik markazi ma’lumotlariga ko‘ra, 2023 yilda 5,5 mingta kiberjinoyat sodir etilgan bo‘lsa, 2024 yilda kiberxavfsizlik sohasida 58,8 mingta jinoyat qayd etilgan. Ularning asosiy qismi fuqarolarning bank plastik kartalaridan mablag‘larni echib olish bilan bog‘liq holatlarga to‘g‘ri keladi.
Statistikadagi bunday o‘sish endilikda bank kartalari bilan bog‘liq har qanday firibgarlik rasman kiberjinoyatlar toifasiga kiritilgani sababi bilan tushuntiriladi. Shu bilan birga, aksariyat holatlar ijtimoiy muhandislik usullari bilan bog‘liq bo‘lib, bunda jinoyatchilar jabrlanuvchining shaxsga doir ma’lumotlaridan foydalangan holda, uning moliyaviy mablag‘larini ishlatish imkonini qo‘lga kiritadilar. Bunday holatlar tobora ko‘payib borishiga ba'zan bank yoki moliyaviy texnologiya (fintex) kompaniyalari xodimlari aybdor bo‘lsa, ba'zida haddan tashqari ishonuvchan foydalanuvchilarning o‘zlari sababchi bo‘ladi. Shuningdek, har kuni qimmatli ma’lumotlarni qo‘lga kiritishning yangi usullarini o‘ylab topadigan xakerlar va firibgarlar ham mavjud.
Shunday qilib, ko‘rinib turibdiki, shaxsga doir ma’lumotlarni samarali himoya qilish uchun faqatgina texnologiyaning o‘zi etarli emas — bu borada ham tashkiliy, ham huquqiy choralar zarur. Quyida, ushbu sohadagi xalqaro tajribani ko‘rib chiqaylik.
Shaxsga doir ma’lumotlarni himoya qilish bo‘yicha xalqaro qonunchilik yondashuvlari
Shaxsga doir ma’lumotlar (keyingi o‘rinlarda «ShdM») – bu insonning raqamli aksidir: unga insonning ismi va pasportidan boshlab moliyaviy ma’lumotlari, tibbiy tarixi va xulq-atvor odatlarigacha kirishi mumkin. Ularni himoya qilish – firibgarlik, tovlamachilik, kamsitish va nafaqat alohida fuqaroga, balki butun jamiyatga jiddiy zarar etkazishi mumkin bo‘lgan boshqa turdagi suiste'mol qilishning oldini olish uchun zarur.
Bundan tashqari, shaxsga doir ma’lumotlar yuqori iqtisodiy qiymatga ega bo‘lib, ular reklama, tahlil va hatto siyosiy ta'sir o‘tkazish maqsadlarida qo‘llaniladi. Bunday ma’lumotlarni samarali himoya qilmasdan turib, raqamli muhitga, shu jumladan zamonaviy raqamli xizmatlarga bo‘lgan ishonchni ta'minlash mumkin emas.
Xavf-xatarlarni anglab, ko‘plab mamlakatlar qonunlarda qat'iy talablarni mustahkamlaydi. Yevropa Ittifoqida fuqarolarning huquqlari va operatorlarning javobgarligini aniq belgilaydigan «ma’lumotlarni himoya qilish bo‘yicha umumiy reglament» (GDPR) amal qiladi. Bir qator Osiyo mamlakatlarida, masalan, Singapurda ma’lumotlarning sizib chiqishi uchun jinoiy javobgarlik ko‘zda tutilgan. O‘zbekistonda ham ShdMlar bilan ishlash qoidalarini buzganlik uchun jarimadan tortib erkinlikni cheklash va hatto uch yilgacha ozodlikdan mahrum qilishgacha bo‘lgan jazolar belgilangan.
Xalqaro amaliyotda shaxsga doir ma’lumotlarni himoya qilish bo‘yicha qonunchilik bazasining eng yaxshi namunasi Yevropa Ittifoqida bo‘lib, u erda yuqorida aytilgan «ma’lumotlarni himoya qilish bo‘yicha umumiy reglament» (GDPR) amal qiladi. Ushbu hujjat nafaqat Yevropa Ittifoqi davlatlarida, balki EI hududida joylashgan shaxslarning shaxsga doir ma’lumotlarini qayta ishlovchi, ularga tovar yoki xizmat taklif qiluvchi yoki ularning harakatlarini kuzatuvchi chet el kompaniyalariga ham tatbiq etiladi. GDPR foydalanuvchilarning aniq huquqlarini – ma’lumotlarni o‘qish, ularni tuzatish, o‘chirish, shuningdek, unutilish huquqini belgilaydi.
U ma'lum holatlarda operatorlardan ma’lumotlarni himoya qilish bo‘yicha mas'ul shaxs (DPO) tayinlashni, qoidabuzarliklar haqida 72 soat ichida xabar berishni talab qiladi hamda qoidalarga rioya qilmaganlik uchun 20 million evrogacha yoki kompaniya yillik aylanmasining 4% gacha miqdorida katta jarimalar belgilaydi. Ko‘pincha GDPR bu sohadagi tartibga solishning “oltin standarti” sifatida e'tirof etilishi bejiz emas.
Shunday bo‘lsa-da, Yevropa Ittifoqida reglament talablarining bajarilishi turlicha: ayrim davlatlarda nazorat organlari yuqori faollik ko‘rsatsa, boshqalarida (ayrim Sharqiy Yevropa davlatlarida) institusional salohiyat pastroq, jarimalar kamroq va nazorat organlarining ta'siri cheklanganligi kuzatiladi. Shuningdek, kichik biznes sub'ektlari talablarni to‘liq tushunish va bajarishda qiyinchiliklarga duch keladi. Shu bilan birga, Singapur nisbatan kamroq qamrovli PDPA (shaxsga doir ma’lumotlarni himoya qilish) qonuniga ega bo‘lishiga qaramasdan, e'tirof etilgan ilg‘or amaliyotlarni namoyish etmoqda. U erda mustaqil PDPC nazorat qiluvchi vakolatli organ faoliyat yuritadi, shikoyatlar yuzasidan qarorlar e'lon qilinadi, jarimalar belgilanadi va davlat xizmatlari maxfiylikning yuqori standartlariga amal qiladi. Bu holatda ma’lumotlar himoyasi nafaqat qog‘ozda, balki amalda ham ishlayotgani ko‘rinadi.
Qonunchilik yondashuvlaridagi tafovutlar mamlakatlarning shaxsga doir ma’lumotlarni mahalliylashtirish, bulutli xizmatlardan foydalanish va nazorat mexanizmlariga oid siyosatlarini taqqoslashda yaqqol ko‘zga tashlanadi. Quyida milliy tajribalarning ayrim muhim jihatlarini aks ettiruvchi umumlashtirilgan jadval keltirilgan.
Ushbu misollar ma’lumotlarni himoya qilish yondashuvlari qanchalik xilma-xil bo‘lishi mumkinligini ko‘rsatadi. Quyida O‘zbekistondagi vaziyatni ko‘rib chiqamiz.
O‘zbekistonda qonunchilik bazasi va uni amalga oshirishdagi chaqiriqlar
O‘zbekistonda shaxsga doir ma’lumotlarni himoya qilishni tartibga soluvchi me'yoriy hujjatlar to‘plami allaqachon tasdiqlangan bo‘lib, asosiy hujjatlar qatoriga quyidagilar kiradi:
- O‘zbekiston Respublikasining «Shaxsga doir ma’lumotlar to‘g‘risida» 2019 yil 2 iyuldagi O‘RQ-547-son Qonuni;
- O‘zbekiston Respublikasining «Kiberxavfsizlik to‘g‘risida» 2022 yil 15 apreldagi O‘RQ-764-son Qonuni;
- O‘zbekiston Respublikasining «Axborotlashtirish to‘g‘risida» 2003 yil 11 dekabrdagi 560-II-son Qonuni;
- O‘zbekiston Respublikasi Vazirlar Mahkamasining «Shaxsga doir ma’lumotlar bazalarining davlat reestri to‘g‘risidagi nizomni tasdiqlash haqida» 2020 yil 8 fevraldagi 71-son qarori ;
- O‘zbekiston Respublikasi Vazirlar Mahkamasining «Shaxsga doir ma’lumotlarga ishlov berish sohasidagi ayrim normativ-huquqiy hujjatlarni tasdiqlash to‘g‘risida» 2022 yil 5 oktyabrdagi 570-son qarori;
- O‘zbekiston Respublikasining Ma'muriy javobgarlik to‘g‘risidagi kodeksi (462-moddasi);
- O‘zbekiston Respublikasining Jinoyat kodeksi (1412-moddasi).
Qonunchilik talablaridan tashqari, ko‘plab mamlakatlarda ISO/IEC 27000 oilasiga o‘xshash xalqaro standartlar muhim ahamiyat kasb etadi. Ular kompaniyalarga axborot xavfsizligi bo‘yicha tizimli yondashuvni shakllantirish imkonini beradi. O‘zbekistonda ham bu standartlar milliy darajada e'tirof etilgan bo‘lib, O‘zMSt ISO/IEC 27001:2023, 27002:2024, 27005:2024 va boshqa shu kabi standartlar rasman tasdiqlangan.
Shuni ta'kidlash joizki, O‘zbekistonda shaxsga doir ma’lumotlarni himoya qilish bo‘yicha shakllanib bo‘lgan qonunchilik bazasi normativ hujjatlar majmui jihatidan ko‘plab boshqa mamlakatlardan aslo qolishmaydi.
O‘zaro bog‘liqlikda ko‘rib chiqilganda, barcha normativ-huquqiy hujjatlar shaxsga doir ma’lumotlarning maxfiy axborot toifasiga kirishini aniq ko‘rsatib o‘tgan. “Kiberxavfsizlik to‘g‘risida”gi qonun (O‘RQ-764) shaxsga doir ma’lumotlarni to‘g‘ridan-to‘g‘ri tilga olmasa-da, u muhim va davlat axborot tizimlari uchun majburiy kiberhimoya texnik choralarini belgilaydi – aynan shunday tizimlarda ko‘pincha shaxsga doir ma’lumotlar qayta ishlanadi. “Axborotlashtirish to‘g‘risida”gi Qonunning 13-moddasiga ko‘ra, shaxsga doir ma’lumotlar maxfiy axborot toifasiga kiritilgan, shu sababli ularni o‘z ichiga olgan tizimlar ob'ektiv ravishda kiberhimoyani talab etadi. Kiberxavfsizlik to‘g‘risidagi qonunning ustuvor yo‘nalishi – kibermakonda shaxs manfaatlarini himoya qilish (6-modda) bo‘lib, bu shaxsga doir ma’lumotlar to‘g‘risidagi qonun vazifalari bilan g‘oyaviy jihatdan mos keladi.
Shaxsga doir ma’lumotlar to‘g‘risidagi asosiy Qonun (O‘RQ-547) shaxsga doir ma’lumotlarni qayta ishlash tamoyillari, shaxsga doir ma’lumotlar sub'ektlarining huquqlari, operatorlarning majburiyatlari, ShdM ni mahalliylashtirish, ularning maxfiyligi va bu qonunchilikni buzganlik uchun javobgarlik kabi barcha muhim jihatlarni qamrab oladi. Bundan tashqari, ushbu Qonunga va Vazirlar Mahkamasining 2020 yil 8 fevraldagi 71-sonli qaroriga muvofiq, Davlat personallashtirish markazi shaxsga doir ma’lumotlar bazalari reestrini yuritishi va uning tanishish uchun ochiqligini ta'minlashi shart. Ko‘pchilik rivojlangan mamlakatlarda mazkur vazifa ustuvor deb hisoblanadi va institusional darajada amalga oshiriladi:
- Yevropa Ittifoqidagi ma’lumotlarni himoya qilish bo‘yicha nazorat organlari (masalan, Germaniyada BfDI yoki Fransiyada CNIL) har yili fuqarolarga ochiq hisobotlar chop etadi, tergov va tekshiruvlar olib boradi hamda qabul qilingan qarorlar va jazo choralari bo‘yicha oshkora reestrlar yuritadi.
- Singapurda ShdM himoyasi bo‘yicha vakolatli organ (PDPC) – jarimalar va shikoyatlar bo‘yicha qarorlarning ochiq ro‘yxatlarini e'lon qiladi, shuningdek, ma’lumotlarni himoya qilish sohasidagi holat haqida muntazam hisobotlar taqdim etadi.
- Rossiyada Roskomnadzor shaxsga doir ma’lumotlar operatorlarining ochiq reestrini yuritadi, shuningdek, qonunbuzarliklar va qo‘llanilgan choralar bo‘yicha statistik ma’lumotlarni e'lon qiladi. 2025 yil 7 may holatiga ko‘ra, reestrda 976.155 ta shaxsga doir ma’lumotlar operatori haqidagi axborot mavjud.
O‘zbekistonda ham bu yo‘nalishdagi xalqaro amaliyotlardan foydalangan holda, shaxsga doir ma’lumotlar bazalari reestrini ochiq qilish, fuqarolar uchun ommaviy hisobotlar va shaffof aloqa mexanizmlarini joriy etish maqsadga muvofiq. Hozirgi kunda mazkur reestrga ochiq kirish imkoni bo‘lmagani uchun, uning amalda qanday ishlayotgani va ta'sir darajasi noaniqligicha qolmoqda.
Me’yorlar ijrosi va tartibga solishdagi bo‘shliq
“Shaxsga doir ma’lumotlar to‘g‘risida”gi Qonunning 31-moddasi va Adliya vazirligining 2023 yil 15 noyabrdagi 3478-son buyrug‘ining 27-moddasiga muvofiq, har bir shaxsga doir ma’lumotlar bazasi operatori ushbu ma’lumotlarni qayta ishlash va himoya qilish tartibiga rioya etilishini ta'minlovchi mas'ul shaxs yoki bo‘linmani tayinlashi shart. Bundan tashqari qonunchilikda quyidagi talablar belgilangan:
- ShdM ni qayta ishlashning barcha bosqichlarida ularni himoya qilishni ta'minlash;
- O‘zbekiston fuqarolarining shaxsga doir ma’lumotlar bazalarini mamlakat hududida saqlash (mahalliylashtirish);
- ma’lumot sub'ektlariga o‘zlari haqidagi axborotni ko‘rish imkoniyatini berish hamda uni tuzatish va o‘chirish huquqini ta'minlash;
- Shaxsga doir ma’lumotlar bazasi mavjudligi haqida vakolatli organni xabardor qilish va uni davlat reestrida ro‘yxatdan o‘tkazish.
Shu bilan birga amaliyotda shaxsga doir ma’lumotlarni qayta ishlash va himoya qilishga mas'ul shaxslar, ayniqsa nodavlat sektorda, etarli vakolatlarga ega emas, nazorat mexanizmlari amalda samarasiz bo‘lib qolmoqda. Shaxsga doir ma’lumotlarni qayta ishlash tartibini buzish esa O‘zbekiston Respublikasi Ma'muriy javobgarlik to‘g‘risidagi kodeksining 462-moddasi hamda Jinoyat kodeksining 1412-moddasiga ko‘ra ma'muriy va jinoiy javobgarlikka tortilishga sabab bo‘ladi.
Natijada, me'yoriy-huquqiy baza mavjud bo‘lishiga qaramasdan, amalda samarali nazorat tizimi yo‘lga qo‘yilmagan va tartibga solishda bo‘shliq vujudga kelmoqda. Bu vaziyat quyidagi holatlarda yaqqol namoyon bo‘ladi:
- Ro‘yxatdan o‘tkazilgan shaxsga doir ma’lumotlar bazalari reestri ochiq foydalanishda mavjud emas
- Qonun ijrosini bo‘yicha amalga oshirilgan nazorat tadbirlari to‘g‘risidagi axborot etarli darajada tizimli emas
- Shaxsga doir ma’lumotlar sizib chiqishi holatida sub'ekt yoki nazorat organini majburiy ravishda xabardor qilish talabi nazarda tutilmagan
- Fuqarolar uchun shikoyat yuborish va shaxsga doir ma’lumotlariga tegishli huquqlarini amalga oshirishning qulay mexanizmlari etishmasligi.
Bulutli texnologiyalarga o‘tish jarayonida esa mavjud me'yoriy-huquqiy ijro muammolari yanada yaqqol namoyon bo‘ladi.
Bulutli texnologiyalar: xavf va istiqbollar
Shaxsga doir ma’lumotlarni saqlash uchun bulutli echimlarning maqbulligi haqida mulohaza yuritishdan avval, ma’lumotlar bazalarini ro‘yxatdan o‘tkazish, mas'ul shaxslarni tayinlash, ichki xavfsizlik va auditni yo‘lga qo‘yish kabi joriy me'yorlarning bajarilishini ta'minlash lozim. Bularni amalga oshirmasdan turib, «bulut» haqidagi suhbat hali «barvaqt» hisoblanadi.
Shunday bo‘lsa-da, bir necha amaliy modellar mavjud bo‘lib, ularning har biri o‘ziga xos afzalliklar va kamchiliklarga ega.
Shaxsga doir ma’lumotlarni saqlash modellarining qiyosiy tahlili va ularning O‘RQ-547 talablariga muvofiqlik darajasi
Albatta, ma’lumotlarni saqlashning har bir modeli o‘ziga xos texnik afzalliklarga ega. Ammo, raqamlashtirish jarayoni jadallashib borayotgan sharoitda, aniq huquqiy tartibga solish va majburiy sertifikatlashga ega bo‘lgan milliy bulut infratuzilmasini rivojlantirish ustuvor ahamiyat kasb etmoqda.
Shaxsga doir ma’lumotlar tabiatidagi farqni hisobga olganda, masala yanada dolzarb tus oladi. Agar tashkilot faqat asosiy identifikasiya ma’lumotlarini qayta ishlayotgan bo‘lsa – bu bir masala. Ammo, qayta ishlash jarayoniga insonning moliyaviy, tibbiy, biologik yoki hatto genetik ma’lumotlari ham kirsa – bu butunlay boshqacha yondashuvni talab qiladi. Bunday ma’lumotlar toifasi uchun turli darajadagi himoya va tegishli ravishda qayta ishlash hamda nazorat qilishning farqli mexanizmlari zarur. Bu masala “Shaxsga doir ma’lumotlar to‘g‘risida”gi Qonunning (O‘RQ-547) 25-moddasida va Vazirlar Mahkamasining 570-sonli qarorida aniq belgilab qo‘yilgan.
O‘zbekistonda bu yo‘nalishda allaqachon muhim qadamlar qo‘yilgan. Uzinfocom o‘zining ma’lumotlar markazi bazasida davlat idoralariga xosting va bulutli xizmatlar ko‘rsatmoqda. IT Park esa mahalliy va xalqaro provayderlar bilan hamkorlikda raqamli infratuzilmani rivojlantirish ustida ish olib bormoqda. Ushbu sa'y-harakatlar esa o‘z navbatida raqamli platformalarning xavfsiz, ishonchli va barqaror faoliyati uchun poydevor yaratmoqda.
Moliya sektorining kiberxavfsizligi bo‘yicha davlat tashabbuslari
Prezidentning 2025 yil 30 apreldagi PQ-153-sonli qarori kiberjinoyatchilikka qarshi kurashni deklarativ holatdan aniq majburiyatlar rejimiga o‘tkazdi. Ichki ishlar vazirligi ushbu faoliyatning muvofiqlashtiruvchisi etib tayinlandi, banklar va to‘lov tashkilotlari esa endi ma’lumotlarning sizib chiqishi hamda firibgarlik operasiyalari uchun bevosita javobgarlikni zimmasiga oldi.
Bu qaror aynan moliya sektorida shaxsga doir ma’lumotlar to‘g‘risidagi Qonun tamoyillarini amaliy qo‘llash mexanizmini ishga tushiradi. Bu esa shaxsga doir va tranzaksiya ma’lumotlarini himoya qilish standartlariga rioya qilmaslik tashkilot va muassasalar uchun ham obro‘, ham moliyaviy jihatdan salbiy oqibatlarga olib kelishi mumkin.
Markazlashgan antifrod tizimining yaratilishi aynan banklar, to‘lov tizimi operatorlari va to‘lov tashkilotlari uchun kiberxavfsizlikning yangi me'yorini belgilaydi. Mazkur qarorning 9 bandiga muvofiq, banklar, to‘lov tizimi operatorlari, to‘lov tashkilotlari hamda kredit byurolari o‘z tranzaksiyalari va boshqa zaruriy ma’lumotlarini Markaziy bankning Yagona platformasiga integrasiya qilishi; banklar, to‘lov tizimi operatorlari va to‘lov tashkilotlari antifrod tizimlarini (session, tranzaksion va telekommunikasiya) joriy etishi shart bo‘ladi.
Bu shuni anglatadiki, moliya bozori ishtirokchilari zimmalariga o‘z tizimlarida yuz berishi mumkin bo‘lgan firibgarlik sxemalarini o‘z vaqtida aniqlash va texnik himoyani amalga oshirish mas'uliyati yuklanadi. Nafaqat o‘z monitoring tizimlarini rivojlantirish, balki mijozlar ma’lumotlari bilan ishlashda, qaysi ma’lumotlar tahlil qilinishi, qanday shifrlanishi, kimlar kirish huquqiga ega bo‘lishi va shu kabi masalalarning aniq tartib-qoidalarini ishlab chiqish zarurati paydo bo‘ladi.
Qarorning 7(a) bandi esa, tizimlarida eng ko‘p kiber-hodisalar qayd etilgan tashkilotlar ro‘yxatini har oyda e'lon qilishni joriy etadi. Bunday ochiq statistika kiber-gigienani raqamli mas'uliyatning aniq ko‘rsatkichiga aylantiradi. Endi moliyaviy tashkilotlarning axborot xavfsizligiga yondashuvi qanchalik etuk ekanini ommaviy baholash, ularning ichki himoya vositalari va tashkiliy choralari samaradorligi hamda xodimlarining tayyorgarlik darajasiga bevosita bog‘liq bo‘ladi.
Hujjatda aholi orasida kibergigienani shakllantirish bo‘yicha har yillik chora-tadbirlar ham belgilab qo‘yilgan. Shu tariqa, davlat nafaqat moliyaviy tizimning texnik jihatdan himoyalanganligini kuchaytirmoqda, balki oshkoralik, raqamli etuklik va raqamli gigiena masalalarini ochiq jamoatchilik maydoniga olib chiqmoqda.
Xulosa o‘rnida: mas'uliyat va ishonch
Ko‘plab kompaniyalar, ayniqsa O‘zbekiston bozoriga kirayotgan tashkilotlar uchun chet el bulut xizmatlaridan foydalanish qulayroq bo‘lib, bu mavzuning ko‘tarilishi muqarrardir. Biroq, qonunning asosiy talablari va vakolatli organ fikrini hisobga olmasdan, shaxsga doir ma’lumotlarni chet el bulutlarida joylashtirish uchun har qanday «asoslash» urinishlari bahsli va huquqiy jihatdan zaif bo‘ladi. Balki, ma’lumotlarni segmentlash, shifrlash, apparat himoya modullari (HSM) va DLP tizimlarini qo‘llagan holda to‘g‘ri ishlab chiqilgan arxitektura orqali bir vaqtning o‘zida qonunchilikka rioya qilinishini ta'minlaydigan va zamonaviy texnologik echimlardan foydalanish imkonini beradigan gibrid modelni amalga oshirish mumkin.
Mamlakatimizda huquqiy asoslar yaratildi, standartlar joriy etib, mahalliylashtirish talablari qabul qilindi. Endilikda, institusional etuklik, shaffoflik va kibersavodxonlikni oshirish orqali shaxsga doir ma’lumotlar himoyasi yo‘lida tizimli qadam tashlanmoqda.
Kibergigiena nafaqat oddiy foydalanuvchilar uchun, balki tashkilotlar, davlat idoralari va hatto butun sohalar uchun ham muhim ahamiyatga ega. Kiberxavfsizlikning asosiy tamoyillariga e'tibor bermaydigan kompaniyalar ma’lumotlar sizib chiqishi, moliyaviy yo‘qotishlar va o‘z obro‘siga putur etishi xavfi bilan yuzlashishi mumkin. Korporativ kibergigiena IT infratuzilmasini muntazam tekshirish, xodimlarni o‘qitish, muhim tizimlarga kirishni nazorat qilish va zaifliklarni o‘z vaqtida bartaraf etishni taqozo etadi. Aks holda, oddiy fishing havolasiga o‘tgan xodimning bitta xatosi ham keng ko‘lamli kiberhujumga sabab bo‘lishi mumkin.
Shaxsga doir ma’lumotlarni himoya qilish choralari amalda o‘z natijalarini ko‘rsatishi uchun kibermakonning har bir ishtirokchisi o‘z mas'uliyatini aniq anglashi shart. Bunda kompaniyalar texnik va tashkiliy himoya choralarini joriy etish, nazorat organi samarali nazorat va ochiq ma’lumotlardan foydalanishni ta'minlash, foydalanuvchilar esa o‘z ma’lumotlariga ongli munosabatda bo‘lib, o‘z huquqlarini himoya qilish uchun javobgar bo‘ladilar. Faqatgina barcha ishtirokchilarning birgalikdagi mas'uliyatli harakatlari bilangina raqamli muhit xavfsiz va ishonchli bo‘la oladi.
Anvar Odilov
Uzinfocom UZSOC Kiberxavfsizlik Monitoringi xizmati, departament rahbari
Izoh (0)