O‘g‘irlangan ma’lumotlar: ular 15 mln emas, 60 mingligi aytildi
Ijtimoiy tarmoqlarda o‘zbekistonliklarning shaxsiy ma’lumotlari tarqalganiga oid xabarlar keng muhokamaga sabab bo‘ldi. Oradan 10 kun o‘tib, nihoyat Raqamli texnologiyalar vazirligi rasmiy raqamlarni ochiqladi. Vaqt.uz holat bo‘yicha barcha tafsilotlarni bir joyga jamladi.
2-fevral kuni ijtimoiy tarmoqlarda O‘zbekiston fuqarolarining shaxsiy ma’lumotlari «Darknet» va boshqa ochiq manbalarda sizdirilganiga oid xabarlar tarqaldi. Xakerlar yashirin forumlarda maxfiy ma’lumotlarni sotuvga qo‘ygani haqida e’lonlar joylangan.
Dastlabki ma’lumotlarga ko‘ra, kiberxujum tufayli 15 mln o‘zbekistonliklarga tegishli ma’lumotlar bo‘lishi mumkinligi aytilgan edi.
Nihoyat oradan 10 kun o‘tgandan so‘ng Raqamli texnologiyalar vaziri Sherzod Shermatov rasmiy bayonot bilan chiqib, raqamlarni ochiqladi. Uning ma’lum qilishicha, 2026 yilning 27–30-yanvar kunlari 3 ta davlat idorasining axborot tizimlariga kiberxujum uyushtirilgan. Ilk natijalarga ko‘ra, 15 mln emas, balki 60 mingga yaqin fuqarolar ma’lumotlari tarqalgani aniqlangan.
«Birinchi navbatda, hali 15 million nafar fuqaroning hammasining ma’lumoti internetda chiqib ketdi, hammasi sotilyapti degan narsa haqiqatga to‘g‘ri kelmaydi. Agar bo‘lsa, sotib olinglar-da, mana ko‘rsatinglar. Ikkinchidan, albatta, hujum bo‘lgan. Yaxshi haker, kuchli xaker bo‘lgan. Harakatini qilgan, qaysidir tizimga kirgan ham. Yaxshi narsa bu — bahonada boshqa tizimlarni ham o‘rganishga, yana shu narsaga sergaklikni ortishiga yordam beradi. Qanchadir miqdordagi qaysidir tizimlardan qanaqadir ma’lumotlar ham chiqqan», — deb munosabat bildirmoqda Sherzod Shermatov.
Vazirlik kiberxujumni bartaraf qilish uchun tezkorlik bilan axborot infratuzilmalariga kelgusidagi ruxsatsiz kirishlarga chek qo‘yilganini qayd etdi. Yagona identifikatsiya tizimi (OneID) foydalanuvchilarining tizimga kirish parollari yangilanib, texnik himoya qurilmalarida himoya vositalari kuchaytirildi.
Shuningdek, OneIDʼda qo‘shimcha xavfsizlik choralari ko‘rilib, shaxsiy ma’lumotlarni egasining roziligi asosida boshqa tizimlarga taqdim etish yoki cheklash imkoniyati yaratildi.
Vazirlikka ko‘ra, kiberxavfsizlik uzeli orqali 2024 yilda 7 mlndan ortiq tahdid bartaraf etilgan bo‘lsa, 2025 yilda bu ko‘rsatkich 107 mlndan oshgan.
Rasmiylar qanday izoh bergan edi?
Holat yuzasidan 3-fevral kuni Kiberxavfsizlik markazi ehtimoliy sizib chiqish holatiga izoh berib, o‘rganishlar olib borilayotganini ma’lum qilgan edi. O‘z navbatida, markaz fuqarolardan shaxsiy ma’lumotlarini boshqalarga oshkor etmasliklarini so‘radi.
«Davlat va boshqa elektron axborot tizimlariga kirishda murakkab login va parollardan foydalaning. Shuningdek, shubhali havolalar orqali o‘z ma’lumotlaringizni kiritishdan saqlanishingizni so‘raymiz», — deyiladi xabarda.
Milliy statistika qo‘mitasi matbuot kotibi Usmon Abdurasulovning Vaqt.uzʼga ma’lum qilishicha, xakerlar census.stat.uz saytidan ma’lumotlarni olib chiqib ketolmagan.
«Bizning bazada aholi vakillarining rasmlari ko‘rinmaydi. So‘rovnomada ham hech kimdan fotosurat talab qilinmagan. Dastlabki o‘rganishlarga ko‘ra, hech qanday ma’lumotlar statistika qo‘mitasining platformasidan olib chiqilmagan. Bu bo‘yicha to‘liq rasmiy munosabatni yaqin orada e’lon qilamiz», — dedi Usmon Abdurasulov.
Shuningdek, Markaziy bank ham holatga izoh bergan. Aytilishicha, hozirgi vaqtga qadar mamlakat hududida faoliyat yuritayotgan tijorat banklari, to‘lov tashkilotlari hamda to‘lov tizimi operatorlarining axborot tizimlariga nisbatan bunday kiberxujum sodir etilgani tasdiqlanmagan. Axborot tizimlari rejali tarzda monitoring qilinayotgani va vaziyat to‘liq nazorat ostida ekani ta’kidlandi.
Bundan tashqari, 3-fevral kuni Ijtimoiy himoya milliy agentligi, Ichki ishlar vazirligi va Soliq qo‘mitasi rasmiy bayonot bilan chiqib, ma’lumotlar to‘liq xavfsizligi ta’minlanganini ma’lum qildi.
5-fevral kuni esa «Adolat» partiyasi O‘zbekiston fuqarolarining shaxsiy ma’lumotlari «Darknet» va boshqa ochiq resurslarga sizib chiqqanidan so‘ng Raqamli texnologiyalar vaziri, Ichki ishlar vaziri va Milliy statistika qo‘mitasi raisiga deputatlik so‘rovi yubordi.
Raqamli texnologiyalar vaziri Sh.Shermatovdan holat tasdiqlangan yoki yo‘qligi, shaxsiy ma’lumotlar qay darajada himoyalangani hamda «OAuth» serveri va «my.gov.uz» portalida bunday holat takrorlanmasligi uchun qanday choralar ko‘rilayotgani haqida izoh so‘raldi.
Ichki ishlar vaziri A.Toshpo‘latovdan kiberjinoyat yuzasidan qanday tezkor ishlar olib borilayotgani, aybdorlarni aniqlash va shaxsiy ma’lumotlar tarqalishining oldini olish bo‘yicha choralar haqida ma’lumot talab qilindi.
Shuningdek, Milliy statistika qo‘mitasi raisi B.Hamrayevdan ro‘yxatga olish jarayonida yig‘ilgan ma’lumotlar qanday saqlanayotgani va «Shaxsga doir ma’lumotlar to‘g‘risida»gi qonun talablariga qay darajada amal qilinayotgani bo‘yicha tushuntirish so‘raldi.
Ma’lumot uchun, bu jarayonlar fonida OneID identifikatsion tizimida shaxsiy ma’lumotlarni uzatishni cheklash imkoniyati paydo bo‘ldi, ya’ni bunda shaxsiy ma’lumotlarga kirish uchun javobgarlik foydalanuvchi zimmasiga yuklandi. Shuningdek, foydalanuvchilar o‘z xohishiga ko‘ra boshqa tashkilotlarga kirish huquqini berishlari mumkin.
Hujum qanday sodir bo‘lgan?
Spotʼga ko‘ra, C7 Cybersecurity mutaxassislari xaker e’lon qilgan ma’lumotlarga tayangan holda ehtimoliy hujum ssenariysini tikladi. Unga ko‘ra, xaker 2021 yil dekabrida aniqlangan Log4Shell zaifligidan foydalanib, tizimga dastlabki kirishni qo‘lga kiritgan. Ushbu zaiflik maxsus tayyorlangan so‘rovni yuborish orqali serverga masofadan turib kirish va unda zararli dasturlarni ishga tushirish imkonini beradi. Natijada server zararli kodni tizim egalariga bildirmasdan o‘zi yuklaydi va bajaradi.
Ayniqsa, korporativ va davlat axborot tizimlarida keng qo‘llaniladigan Java ilovalari, shu jumladan WebLogic asosida ishlaydigan tizimlar zaif bo‘lib chiqqan.
O‘zbekistonda sso.egov.uz — raqamli hukumat serveri ko‘plab davlat va tijorat tizimlari uchun identifikatsiyaning markaziy provayderi hisoblanadi.
Bunday serverning xavfga uchrashi klassik «ta’minot zanjiri hujumi»ni ifodalaydi, ya’ni ushbu OAuth provayderiga ishonch bildirgan barcha tizimlar avtomatik tarzda zaif holatga tushib qoladi. Markaziy autentifikatsiya serverini nazorat qilish imkoniyati qo‘lga kiritilganda, har bir tizimni alohida buzishga hojat qolmay, ulangan barcha tizimlarga haqiqiy kirish tokenlarini avtomatik ravishda yaratish imkoniyati paydo bo‘ladi.
Shuningdek, jinoyatchi 15 mlndan ortiq yozuvdan iborat ma’lumotlar bazasini sotuvga qo‘yganini da’vo qilib, buning isboti sifatida 9 ta fayl taqdim etdi. C7 Cybersecurity tekshiruviga ko‘ra, namuna sifatida berilgan 5522 ta yozuv hamda ayrim davlat tizimlariga oid ma’lumotlar (IIB fotosuratlari, Ijtimoiy himoya milliy agentligi va Ipotekani qayta moliyalashtirish kompaniyasi yozuvlari) tasdiqlangan. Sizib chiqqan ma’lumotlar orasida JSHSHIR, F.I.O., tug‘ilgan sana, telefon raqami va pasport ma’lumotlari bor.
«Agar shaxsiy ma’lumotlar himoyasida ochiqlik bo‘lmasa, davlatga qanday ishonamiz?» — Otabek Bakirov
«Avval iqtisod…» dasturida iqtisodchi Otabek Bakirov mazkur holat yuzasidan rasmiylarning pozitsiyasini keskin tanqid qildi. Uning ta’kidlashicha, kiberxujum haqidagi xabarlar tarqalganidan beri jamoatchilikka aniq va tushunarli izoh berilmadi, zarar ko‘lami va qaysi bazalarga putur yetgani ochiq aytilmayapti.
«Biz hali bu to‘g‘risida rasmiylardan uzil-kesil va keng jamoatchilik tushunadigan darajada yaqqol tafsilot olganimiz yo‘q. Qaysi bazalarimizga shikast yetgan, qaysi bazalarimizdan axborot o‘g‘irlangan — bilmaymiz», — dedi Bakirov.
Uning fikricha, 38 million aholiga daxldor bo‘lishi mumkin bo‘lgan shaxsiy ma’lumotlar masalasi oddiy tinchlantiruvchi bayonotlar bilan cheklanmasligi kerak. Bunday vaziyatda mustaqil maxsus komissiya tuzilib, ochiq va xolis tekshiruv o‘tkazilishi zarur edi. Shuningdek, aholini tezkor ogohlantirish — parollarni zudlik bilan almashtirish, shaxsiy ma’lumotlarni himoya qilish choralarini kuchaytirish bo‘yicha aniq tavsiyalar berilishi shart edi.
«Fuqarolar uchun ishonch nihoyatda muhim. Agar shaxsiy ma’lumotlar himoyasi masalasida ochiqlik bo‘lmasa, qanday qilib davlat organlariga o‘z ma’lumotlarimizni ishonamiz?» — deya savol qo‘ydi u.
Bakirovning qayd etishicha, «hammasi joyida» mazmunidagi bayonotlar vaziyatni yumshatmaydi, aksincha, ishonchsizlikni kuchaytiradi. Elektron hukumat va onlayn xizmatlar kengayib borayotgan bir paytda axborot xavfsizligi bo‘yicha qat’iy va mas’uliyatli yondashuv namoyish etilishi zarur.
Shaxsiy ma’lumotlar tarqalgani bilan bog‘liq xabarlar 2-fevral kuni tarqaldi. Shu paytda 15 mlndan ortiq o‘zbekistonliklarning axborotlari sizdirilgani aytildi, ammo buning ko‘lami, mavjud holat yoki ogohlantirish, shuningdek fuqarolar qanday yo‘l tutishi kerakligi haqida aniq ko‘rsatma bilan rasmiy munosabat bildirilmadi. Oradan qariyb 10 kun vaqt o‘tib, ya’ni 12-fevralda nihoyat matbuot anjumanida ma’lumotlar ochiqlandi.
«Darknetʼda 15 million fuqaroning shaxsiy ma’lumoti sotilyapti degan xabar chiqdi. 15 mln unikal odamning ma’lumoti sotuvda yo‘q. Agar bo‘lsa, topinglar. 15 million katta raqam, pasport olgan aholimizning yarmidan ko‘prog‘i degani bu. Unaqa ma’lumot yo‘q», — dedi Raqamli axborot texnologiyalari vazirligi vaziri Shermatov.
Shu o‘rinda, vazirlik «hechdan ko‘ra kech» tamoyiliga amal qilib, shaxsiy ma’lumot sizib chiqishiga tushuncha berib, aholi uchun kibergigiyenaga oid ko‘rsatmalar ham taqdim qilgan.
Umuman olganda, masala 15 million yoki 60 ming raqamida emas — masala boshqaruv va ishonchda. 60 mingta ma’lumot sizib chiqishi ham kichik raqam emas. Eng katta savol esa voqeaning ilk kunlaridagi sukut va noaniqlik bilan bog‘liq bo‘lib qolmoqda.
Axborot xavfsizligi bo‘yicha har qanday tahdid tezkor, ochiq va mas’uliyatli izohni talab qiladi. Fuqarolar «hammasi nazoratda» degan umumiy bayonot emas, aniq javob kutadi: nima bo‘ldi, kim javobgar va bu yana takrorlanmasligi uchun qanday real choralar ko‘rildi? Fuqarolarga o‘z ma’lumotlari taqdiri haqida tushunarli va asosli javob kerak.
Теглар
