Azərbaycanda Məlumat Təhlükəsizliyi: Şirkətlər Üçün Bələdçi
Keçən il Bakıda bir e-ticarət şirkəti ilə işləyirdim. Onların müştəri verilənlər bazası şifrələnməmişdi. Parollar düz mətn (plaintext) olaraq saxlanılırdı. Admin panelə giriş üçün tək bir ümumi parol istifadə olunurdu — və həmin parol "admin123" idi. Bütün bunları şirkətin texniki direktoru "bizdə haker hücumu olmayıb, deməli problemimiz yoxdur" məntiqi ilə əsaslandırırdı.
Üç ay sonra şirkətin müştəri bazası sızdırıldı. 45,000 müştərinin adı, telefon nömrəsi, email ünvanı və sifariş tarixçəsi açıq internetə düşdü. Şirkət hüquqi problem yaşadı, müştərilərini itirdi, və nəhayət bu texniki borcu 20 qat bahalı şəkildə ödəmək məcburiyyətində qaldı.
Bu hekayə Azərbaycanda nadir deyil. CERT Azərbaycan-ın hesabatlarına görə, ölkədə kiber insidentlərin sayı son 3 ildə 40%-dən çox artıb. Amma məlumat təhlükəsizliyi mədəniyyəti hələ çox zəifdir — xüsusilə kiçik və orta müəssisələrdə.
Bu məqalədə Azərbaycan şirkətləri üçün praktik məlumat təhlükəsizliyi bələdçisi hazırladıq — yerli qanunvericilik, beynəlxalq standartlar, konkret texniki addımlar və real fəaliyyət planı ilə.
Azərbaycanda Məlumat Təhlükəsizliyi Qanunvericiliyi
Azərbaycanın məlumat təhlükəsizliyi sahəsində bir neçə əsas qanunu var. Bunları bilmək hər şirkət rəhbəri və texniki mütəxəssis üçün vacibdir:
1. "Fərdi məlumatlar haqqında" Qanun (2010)
E-qanun.az-da mövcud olan bu qanun Azərbaycanda fərdi məlumatların toplanması, emalı, saxlanması və ötürülməsi qaydalarını tənzimləyir. Əsas tələblər:
- Razılıq: Fərdi məlumatlar yalnız sahibinin razılığı ilə toplana bilər
- Məqsəd məhdudiyyəti: Məlumatlar yalnız elan edilmiş məqsəd üçün istifadə oluna bilər
- Minimum məlumat: Yalnız məqsəd üçün zəruri olan məlumatlar toplanmalıdır
- Saxlama müddəti: Məlumatlar lazım olan müddətdən artıq saxlanılmamalıdır
- Təhlükəsizlik: Toplayıcı məlumatların mühafizəsini təmin etməlidir
2. "İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında" Qanun
Bu qanun daha geniş çərçivə müəyyən edir — informasiya sistemlərinin təhlükəsizliyi, dövlət sirri olmayan məlumatların qorunması, və informasiya infrastrukturunun mühafizəsi.
3. GDPR-ın Azərbaycana Təsiri
Azərbaycan AB üzvü olmasa da, Avropa bazarında fəaliyyət göstərən və ya Avropa vətəndaşlarının məlumatlarını emal edən şirkətlər GDPR-a tabe olmalıdır. Bu xüsusilə aşağıdakı şirkətləri təsir edir:
- Avropa müştərilərinə xidmət göstərən e-ticarət şirkətləri
- Avropa şirkətləri ilə partnyor olan yerli firmalar
- Beynəlxalq bazarlara açılan startaplar
- Beynəlxalq maliyyə əməliyyatları aparan banklar
GDPR-ın cərimələri ciddidir — şirkətin illik dövriyyəsinin 4%-nə qədər və ya 20 milyon avrodan çoxu. Bu, beynəlxalq bazara çıxan hər Azərbaycan şirkəti üçün vacib riskdir.
Ən Çox Rast Gəlinən Təhlükəsizlik Problemləri
Azərbaycan şirkətlərində ən çox rast gəlinən məlumat təhlükəsizliyi problemləri:
| Problem | Yayılma Dərəcəsi | Risk Səviyyəsi | Həll |
|---|---|---|---|
| Zəif parollar | Çox yüksək | Kritik | Parol siyasəti, 2FA |
| Şifrələnməmiş verilənlər bazası | Yüksək | Kritik | At-rest və in-transit şifrələmə |
| Yenilənməmiş proqram təminatı | Çox yüksək | Yüksək | Avtomatik yeniləmə siyasəti |
| SQL Injection zəiflikləri | Orta | Kritik | Parametrləşdirilmiş sorğular, ORM |
| Backup yoxdur/test olunmayıb | Yüksək | Kritik | Avtomatik backup, mütəmadi bərpa testi |
| İşçilər üçün təlim yoxdur | Çox yüksək | Yüksək | İllik təhlükəsizlik təlimi |
| Paylaşılan admin hesabları | Yüksək | Yüksək | Fərdi hesablar, RBAC |
| HTTPS istifadə olunmur | Orta (azalır) | Yüksək | SSL sertifikatı (Let's Encrypt pulsuz) |
| Log və audit trail yoxdur | Yüksək | Orta | Mərkəzləşdirilmiş log sistemi |
Təhlükəsizlik Əsasları: Texniki Bələdçi
1. Autentifikasiya və Giriş Nəzarəti
Güclü autentifikasiya hər şeyin əsasıdır:
- Parol siyasəti: Minimum 12 simvol, böyük/kiçik hərf, rəqəm, xüsusi simvol. Parol meneceri (1Password, Bitwarden) istifadəsini təşviq edin.
- İki faktorlu autentifikasiya (2FA): Bütün kritik sistemlər üçün məcburi edin. SMS-dən daha təhlükəsiz olan TOTP (Google Authenticator, Authy) və ya hardware key (YubiKey) istifadə edin.
- RBAC (Role-Based Access Control): Hər işçi yalnız işi üçün lazım olan məlumatlara çıxış əldə etməlidir. "Hər kəs hər şeyi görür" yanaşması təhlükəlidir.
- SSO (Single Sign-On): Google Workspace, Microsoft 365 və ya Okta vasitəsilə mərkəzləşdirilmiş giriş. İşçi ayrılanda bir yerdən bütün çıxışları bağlayın.
2. Verilənlərin Şifrələnməsi
Şifrələmə iki növdür:
- At-rest (saxlama zamanı): Verilənlər bazasında, diskdə saxlanan məlumatlar şifrələnməlidir. PostgreSQL-də
pgcryptogenişlənməsi, ya da disk səviyyəsində şifrələmə (LUKS, BitLocker) istifadə edin. - In-transit (ötürmə zamanı): Bütün şəbəkə trafikı TLS/SSL ilə şifrələnməlidir. Websaytlar üçün HTTPS məcburidir — Let's Encrypt pulsuz SSL sertifikatları təqdim edir.
Xüsusilə həssas məlumatlar üçün əlavə tədbirlər:
- Parollar: Heç vaxt düz mətn saxlamayın. bcrypt, argon2 və ya scrypt istifadə edin (SHA-256 parollar üçün kifayət etmir).
- Kart məlumatları: PCI DSS standartına riayət edin. Mümkünsə, kart məlumatlarını özünüz saxlamayın — Stripe, PayPal kimi üçüncü tərəf prosessorlardan istifadə edin.
- Tibbi məlumatlar: Əlavə şifrələmə və giriş nəzarəti tələb olunur.
3. Şəbəkə Təhlükəsizliyi
- Firewall: Yalnız lazım olan portları açın. Verilənlər bazası portu (5432, 3306) heç vaxt internetdən birbaşa əlçatan olmamalıdır.
- VPN: Uzaqdan işləyən işçilər üçün korporativ VPN qurun. WireGuard sadə və sürətlidir.
- DDoS qorunması: Cloudflare (pulsuz tier mövcuddur) DDoS hücumlarından qorunmaq üçün ən sadə həlldir.
- WAF (Web Application Firewall): SQL injection, XSS və digər ümumi hücumlardan qorunmaq üçün. Cloudflare, AWS WAF, ya da ModSecurity (açıq mənbə) istifadə edin.
4. Backup və Bərpa
Backup strategiyası 3-2-1 qaydasına uyğun olmalıdır:
- 3 nüsxə məlumat
- 2 fərqli mühitdə (məsələn, lokal server + cloud)
- 1 nüsxə coğrafi olaraq fərqli yerdə
Vacib: Backup etmək kifayət deyil — backup-dan bərpa prosesini mütəmadi olaraq test edin. Bir çox şirkət backup edib amma heç vaxt bərpa test etməyib, və real insident zamanı backup-ın işləmədiyini kəşf edib.
OWASP Top 10: Ən Vacib Veb Təhlükəsizlik Riskləri
OWASP Top 10 veb tətbiqlərin ən kritik təhlükəsizlik risklərini sıralayır. Hər web developer və texniki menecer bunları bilməlidir:
| Risk | Təsvir | Qorunma |
|---|---|---|
| A01: Broken Access Control | İstifadəçilər icazə verilməmiş resurslara çıxış əldə edir | Server-side giriş nəzarəti, RBAC, default deny |
| A02: Cryptographic Failures | Həssas məlumatlar düzgün şifrələnməyib | TLS, at-rest şifrələmə, güclü alqoritmlər |
| A03: Injection | SQL, NoSQL, OS command injection | Parametrləşdirilmiş sorğular, ORM, input validasiyası |
| A04: Insecure Design | Dizayn mərhələsində təhlükəsizlik nəzərə alınmayıb | Threat modeling, secure design patterns |
| A05: Security Misconfiguration | Default konfiqurasiyalar, açıq portlar, gereksiz xidmətlər | Hardening checklists, avtomatik audit |
| A06: Vulnerable Components | Köhnə kitabxanalar, yenilənməmiş asılılıqlar | Dependabot, npm audit, mütəmadi yeniləmə |
| A07: Auth Failures | Zəif autentifikasiya, session idarəetmə problemləri | 2FA, güclü parol siyasəti, secure session mgmt |
İşçi Təlimi: İnsan Faktoru
Təhlükəsizlik pozuntularının 85%-i insan xətasından qaynaqlanır — Verizon-un Data Breach Investigation Report-una görə. Texniki tədbirlər vacibdir, amma işçi təlimi olmadan natamamdır.
Təlim Proqramı
- Onboarding zamanı: Hər yeni işçi ilk həftəsində əsas təhlükəsizlik qaydalarını öyrənməlidir — parol siyasəti, phishing tanıma, məlumat təsnifatı.
- İllik təkmilləşdirmə: İldə bir dəfə bütün işçilər üçün təhlükəsizlik təlimi keçirin. Yeni təhdidlər, dəyişən siyasətlər haqqında məlumat verin.
- Phishing simulyasiyası: Rübdə bir dəfə simulyasiya edilmiş phishing emailləri göndərin. Bu, işçilərin diqqətini artırır. KnowBe4 bu sahədə ən tanınmış platformadır.
- Texniki komanda üçün əlavə təlim: Developerlər üçün OWASP Top 10 təlimi, secure coding practices, code review zamanı təhlükəsizlik yoxlamaları.
Təhlükəsizlik Siyasətləri
Hər şirkətin yazılı təhlükəsizlik siyasəti olmalıdır. Minimum siyasətlər:
- Məqbul istifadə siyasəti: Korporativ cihazlar və şəbəkə necə istifadə oluna bilər
- Parol siyasəti: Minimum uzunluq, dəyişdirmə tezliyi, 2FA tələbi
- Məlumat təsnifatı: Hansı məlumatlar "açıq," "daxili," "gizli" və "çox gizli"dir
- İnsident cavab planı: Məlumat sızıntısı zamanı nə etmək lazım — kim xəbərdar edilir, hansı addımlar atılır
- BYOD siyasəti: Şəxsi cihazlar iş üçün istifadə oluna bilərmi? Hansı şərtlərlə?
Fəaliyyət Planı: 90 Gündə Təhlükəsizliyi Gücləndirmək
Ay 1: Əsaslar
- Audit: Mövcud təhlükəsizlik vəziyyətini qiymətləndirin. Hansı sistemlər var, kim nəyə çıxış əldə edir, parollar necə saxlanılır?
- 2FA tətbiq edin: Bütün kritik sistemlər (email, admin panel, cloud konsol, VPN) üçün ikifaktorlu autentifikasiyanı aktiv edin. Bu, ən sürətli və ən təsirli addımdır.
- HTTPS qurun: Hələ HTTP istifadə edən bütün websaytlar üçün SSL sertifikatı alın (Let's Encrypt pulsuz).
- Parol siyasəti: Güclü parol tələblərini tətbiq edin, paylaşılan hesabları ləğv edin.
Ay 2: Texniki Güclənmə
- Verilənlər bazasını şifrələyin: At-rest şifrələmə aktiv edin, verilənlər bazası portunu internetdən bağlayın.
- Backup strategiyası qurun: 3-2-1 qaydasına uyğun backup, həftəlik bərpa testi.
- Yeniləmə siyasəti: OS və proqram təminatı yeniləmələri üçün proses qurun. Kritik təhlükəsizlik yeniləmələri 48 saat ərzində tətbiq olunmalıdır.
- WAF qurun: Cloudflare və ya oxşar xidmətlə veb tətbiqləri qoruyun.
Ay 3: Proses və Mədəniyyət
- Təlim keçirin: Bütün işçilər üçün əsas təhlükəsizlik təlimi təşkil edin.
- Siyasətlər yazın: Parol, məqbul istifadə, məlumat təsnifatı və insident cavab siyasətlərini hazırlayın.
- İnsident cavab planı: Məlumat sızıntısı zamanı nə edəcəyinizi müəyyən edin və sınaq keçirin.
- Mütəmadi audit: Rübdə bir dəfə təhlükəsizlik auditi planlaşdırın.
Büdcə Dostu Təhlükəsizlik Alətləri
Kiçik və orta şirkətlər üçün pulsuz və ya aşağı büdcəli təhlükəsizlik alətləri:
| Alət | Sahə | Qiymət |
|---|---|---|
| Cloudflare | WAF, DDoS qorunması, SSL | Pulsuz tier mövcud |
| Let's Encrypt | SSL/TLS sertifikatları | Pulsuz |
| Bitwarden | Parol meneceri (komanda üçün) | $4/istifadəçi/ay |
| WireGuard | VPN | Pulsuz (açıq mənbə) |
| OSSEC | Intrusion Detection System | Pulsuz (açıq mənbə) |
| ClamAV | Antivirus (server üçün) | Pulsuz (açıq mənbə) |
| Snyk | Kod və asılılıq zəiflik skaneri | Pulsuz tier mövcud |
| GitHub Dependabot | Asılılıq yeniləmə avtomatlaşdırması | Pulsuz |
Nəticə
Məlumat təhlükəsizliyi lüks deyil, zərurətdir. Azərbaycanda rəqəmsallaşma sürətləndikcə, kiber risklar də artır. Hər şirkət — böyük və ya kiçik — əsas təhlükəsizlik tədbirlərini tətbiq etməlidir.
Xoşbəxtlikdən, başlamaq çətin deyil. 2FA, HTTPS, güclü parollar və mütəmadi backup — bu dörd addım təkbaşına risklərin böyük hissəsini aradan qaldırır. Mükəmməl təhlükəsizlik mümkün deyil, amma əsas tədbirlər çox böyük fərq yaradır.
Bu gün başlayın. Sabah gec ola bilər.
Mənbələr
- CERT Azərbaycan
- E-qanun.az — Fərdi Məlumatlar Haqqında Qanun
- GDPR Rəsmi Saytı
- OWASP Top 10
- Verizon Data Breach Investigation Report
- Let's Encrypt
- Backblaze — 3-2-1 Backup Strategy
- KnowBe4 — Security Awareness Training
Bu məqalə BirJob komandası tərəfindən hazırlanıb.
