Vüsal Orucov
     “Mindsoft” MMC-nin təsisçisi, süni intellekt mütəxəssisi 

Ümumiyyətlə, istənilən ölçüdə və növdə bir qurum proqram təminatından istifadə edərkən ilk növbədə həmin proqram təminatının təhlükəsizlik standartlarına cavab verməsini nəzərə almalıdır. Xüsusilə, bir müəssisənin ERP və ya CRM sistemində bütün gündəlik iş axını idarə olunduğuna görə, bu sistemlərə kənar müdaxilə, sızma və ya icazəsiz giriş həmin qurumun iş prosesinin tamamilə nəzarətdən çıxmasına səbəb ola bilər.

Bu cür hallarda daxili iş prosesləri, alış-satış əməliyyatları və bağlanmış müqavilələr ələ keçirilə, dəyişdirilə və ya məhv edilə bilər. Bəzən belə müdaxilələr gizli şəkildə baş verir və şirkət bunun fərqində olmur. Ən təhlükəlisi də məhz budur.

Bunun qarşısını almaq üçün bu tip sistemlər yalnız daxili şəbəkələrdə işləməli və yalnız səlahiyyətli şəxslərə giriş icazəsi verilməlidir.

Şirkətlər adətən qlobal və ya lokal (daxili) proqram təminatlarından istifadə edirlər. Hər birinin özünəməxsus təhlükəsizlik boşluqları mövcuddur. İstər sifariş əsasında hazırlanan, istərsə də daxili istifadə üçün yaradılmış proqram təminatlarının üçüncü tərəf təhlükəsizlik mütəxəssisləri tərəfindən test edilməsi vacibdir. Xüsusilə, qlobal şəbəkələrdə, yəni internetdə işləyən proqram təminatları aşağıdakı hücumlara qarşı yoxlanmalıdır:

SQL Injection
Cross-Site Scripting (XSS)
Brute Force Attack
Broken Authentication & Session Management
Denial of Service (DoS/DDoS) və s.

Bu kimi hücumların qarşısını almaq üçün proqram təminatı hazırlanıb təhvil verilərkən hərtərəfli təhlükəsizlik testlərindən keçirilməli və aşkar edilən boşluqlar aradan qaldırılmalıdır.

Bəzən müşahidə olunur ki, qurumlar veb saytlarını ucuz və təhlükəsiz olmayan hostinq provayderlərində yerləşdirirlər. Daha da pisi odur ki, bu cür hostinqlərdə bir serverdə bir neçə veb sayt saxlanılır. Nəticədə, bir saytda boşluq olduqda, digər saytlar da təhlükə altına düşür.
Bundan əlavə, iki mərhələli autentifikasiya (2FA) tətbiq olunmur və sadə şifrələr istifadə edilir. Süni intellekt əsaslı alətlər milyonlarla dəfə parol sınayaraq bu cür zəif şifrələri asanlıqla sındıra bilər. Bu halda sistemə giriş baş verir və əlavə təhlükələr yaranır.

Başqa bir kritik təhlükə də veb saytı olan şirkətlərin korporativ e-poçtlarının həmin təhlükəsiz hostinqdə saxlanmasıdır. Çünki bəzi hostinqlərdə e-poçt hesablarına parolsuz giriş mümkündür. Çox vaxt şirkətlər hüquqi yazışmalarını məhz e-poçt üzərindən apardıqları üçün belə hallarda bütün məxfi məlumatlar sızdırıla bilər. Bu səbəbdən e-poçt serveri kimi etibarlı və təhlükəsizlik standartlarına cavab verən bir hostinq seçilməlidir.

Qısası, ucuz və “təhlükəsiz” proqram təminatı bahadır!