Хакерлар шартли равишда иккига бўлинади: баъзилари АТ-тизимларни ошкора текширишса, бошқалари ахборот ўғирлашни мақсад қилишади. Яқинда ахборот хавфсизлиги билан шуғулланадиган «CQURE» компанияси асосчиси Пола Янушкевич «Forbes»га биринчи тоифага кирувчи хакерлар ҳақида гапириб берди.

— Ишларингиз қалай? Ҳар куни идорага келиб, кечгача ишлайсизми? Ёки вақт ва иш жойини танлаш имконияти мавжудми?

— Мен иш учун жой танлашни истардим, лекин ундай қила олмайман. Техник томондан бунинг имконияти мавжуд, лекин менинг компаниядаги ролим мижозлар олдида бўлишимни талаб қилади. Шунинг учун доим сафардаман, турли мамлакатларга бораман. Ички пентест (АТ-тизимларига рухсатсиз киришдан ҳимояланганликни билиб олиш учун тест)ни ўтказиш учун мижозларнинг олдига боришга тўғри келади. Ташқи пентестни эса ҳатто пляжда ҳам амалга оширилиш мумкин.

— Пентестларни қандай амалга оширасиз? Сиз киберҳужум учун қулай пайтни пойлайсизми? Ёки компанияларни исталган вақт ва исталган жойда тестдан ўтказишингиз мумкинми, умуман тестдан ўтказиш техник масалами?

— Охир-оқибат ҳамма нарса техникага бориб тақалади, аммо ўзига хос жиҳатлари ҳам бор. Мисол учун, агар мижоз тун давомида ишламаса, синовни шу вақтда ўтказиш керак. АҚШ компаниялари учун кундузги ишларни қилсак, биз Европада туни билан ишлаймиз ва бу одатий ҳолдир. Лекин одатда нормал иш куни афзалроқ. Тун бўйи ишлашни ёқтирмаймиз, лекин шунақаси ҳам бўлиб туради.

Кўпинча биз сайт ёки сервиснинг нусхасини синаб кўрамиз. Мисол учун, яқинда бир банк учун махсус дастурларни амалга оширдик. Тизимнинг нусхаси билан ишлашим керак эди, чунки сайтнинг трафиги катта эди. Агар тест ўтказаётган пайтда муаммолар пайдо бўлса, бу банкнинг обрўсига салбий таъсир қилади.

— Реал вақтда ҳақиқий пентестлар қилишингизни сўраган мижозларингиз борми?

—    Ҳа, албатта. Баъзан биз бу ишни оддий иш куни бажарамиз. Бу ҳақда компания огоҳлантирилади, улар «ҳужумни кутишади». Агар бирор муаммо юзага келса, улар дарҳол алоқага чиқишади, вазиятни аниқлаш учун бизни чақиришади.

—    Ҳар қандай ҳолатда ҳам ички ва ташқи синовни амалга ошириш керакми?

—    Вазиятга боғлиқ. Баъзи истеъмолчилар ички пентест ўтказишни истамайди. «Йўқ, йўқ, чунки буни қилсангиз, ичимиздаги ҳамма нарсани билиб олишингиз мумкин» деб рад жавобини беришади. Бундай ҳолларда фақат ташқи пентестни ўтказамиз. Шахсан мен буни тўғри деб ҳисобламайман: агар ташқи тест қилсангиз нима учун ички тестни амалга оширмаслик керак? Биз тушунтиришга ҳаракат қиламиз, лекин...

Қандай қилиб хакер бўлиш мумкин?

— Бу касбга қачон қизиқиб қолгансиз?

— Мен ҳар доим хавфсизлик соҳасида ишлаганман. Технологияга соҳасига аста-секин кириб бордим. Мактаб тармоғининг хавфсизлиги учун масъул эдим. Ўшанда 17 ёшда эдим, бунинг нималигини тушунмасдим, лекин ҳақиқатан ҳам ахборот хавфсизлиги билан шуғулланишни хоҳлардим. Мен ўз йўлимни излай бошладим. 17 ёшда нима қилиш ва нима қилмаслик кераклигини тушуниш қийин. Фикру ёдингни банд этган бир нарса бор: шуни қилишни хоҳлайсан. Лекин бу келажак учун яхшими-йўқми — билмасдим. Биз эртага нима бўлишини билмаймиз.

— Сиз «бузган» биринчи операцион тизим қайси?

— Улар иккита эди: «Windows» ва «Linux».

— «Windows» мен бузган биринчи тизим эди». Мақолага яхши сарлавҳа бўлар экан...

— Ўша пайтда «Windows» ва «Linux» турли хавфсизлик тизимларидан фойдаланган. Бу «NT4.0» (1996 йилда чиққан «Windows» операцион тизими) ишлатиладиган даврлар эди. Кейин ҳамма билар эдики, сиз маълум бир параметрни ўзгартирмасангиз компьютерингизга бузиб киришарди. Унинг заиф нуқталарини топиш осон эди. Хакерлар бизга ўзимизни ҳимоя қилишни ўргатишди, шунинг учун ҳозир аҳволимиз бироз яхшироқ.

— Дунёдаги В2В-тизимларнинг хавфсизлик даражаси ҳақида нима дея оласиз? Улар киберҳужумларга тайёрми?

— Дарҳақиқат, биз ҳар доим пентест қилганимизда тизим ичига кирамиз. Шундан гапира қолай. Ҳар қандай тизимни бузиш мумкин. Лекин ҳеч ким сизга бепул таълим бермайди, чунки бу жуда ўзига хос билимлардир. Бу соҳада табиий бўшлиқ мавжуд. «Financial Times»нинг тахминича 2019 йилга келиб дунё бўйича 6 млн. нафар ахборот хавфсизлиги мутахассислари керак бўлади, лекин ҳозирги ривожланиш суръатлари билан мазкур бозорда атиги 4-5 млн. нафар мутахассис бўлади. Хавфсизлик мутахассисларини тайёрлаш муаммоси мавжуд.

— Университетлар уларни етарли даражада тайёрламаса, яхши мутахассис бўлишнинг яна қандай усуллари бор? Онлайн курсларми?

— Кўпгина бепул ресурслар мавжуд, бироқ тизимлаштирилган билимлар албатта афзалдир. Интернетда турли хил курслар бор. Улар арзон. Сиз ушбу курсни сотиб олишингиз ва билимингизни тизимлаштиришингиз мумкин. Лекин бу курсларнинг камчилиги шундаки, улар ҳужум қилиш техникаси ҳақида кўпроқ тушунтириш беради. Бундан ташқари, улар жуда реал бўлмаган муҳитда машқ қиладилар. Менимча, энг яхши усул мутахассисларни мустақил равишда тайёрлашдир. Масалан, бизнинг жамоамиз шундай қилаяпти.

— Сизнинг компаниянгизда ҳозир қанча одам ишлайди?

— Бу қандай ҳисоблашга боғлиқ. Бизнинг штатда 20 нафар ходим бор. Яна 36 нафари шартнома асосида ишлайди. Лекин шартномадагилар ҳар ой бир неча ҳафта давомида биз учун ишлайди. Шунинг учун уларни ҳам ходимларимиз деб ҳисоблашимиз мумкин.

— Қанча ёш ходимингиз бор?

— Жамоамизнинг тахминан ярми ёшлардир. Биз уларга ўргатамиз, чунки уларнинг баъзилари ҳеч