İnformasiya təhlükəsizliyi üzrə tələblər sərtləşdirildi: fintex sektoruna təsirləri – Müsahibə
Azərbaycanda ödəniş və elektron pul təşkilatlarının (fintexlərin) fəaliyyətini tənzimləyən sənəd - “Ödəniş təşkilatları və elektron pul təşkilatları tərəfindən fəaliyyətin təşkili və həyata keçirilməsi Qaydası”na dəyişikliklər edilib. Yeni tələblər sektorda maliyyə dayanıqlığının, risklərin idarə olunmasının və informasiya təhlükəsizliyinin gücləndirilməsini hədəfləyir.
Dəyişikliklərə əsasən, məcmu kapitalın tərkibi və hesablanma qaydası yenilənib, daxili nəzarət funksiyalarına dair tələblər sərtləşdirilib, təşkilati strukturun əsas funksiyalarının üçüncü tərəflərə ötürülməsi məhdudlaşdırılıb. Eyni zamanda, ödəniş xidməti istifadəçilərinin vəsaitlərinin uçotu, hesabatlılıq, biznes plan və fəaliyyət proqramları üzrə tələblər dəqiqləşdirilib.
Xüsusilə diqqət çəkən məqam informasiya təhlükəsizliyinin kənar İT auditorunun qiymətləndirməsi tələbinin lisenziyalaşdırma şərtlərinə daxil edilməsidir. Belə ki, yeni qaydalara əsasən, fintexlər zəruri informasiya sistemlərinə və texnoloji infrastruktura malik olmalı, müvafiq hallarda audit olunan maliyyə hesabatlarını təqdim etməlidirlər.
Qeyd edək ki, dəyişikliklər dekabrın 30-u 2025-ci il tarixindən qüvvəyə minib, məcmu kapitalın minimum məbləği üzrə tələblər isə 12 ay ərzində mərhələli şəkildə tətbiq ediləcək.
Bu dəyişikliklərin fintex sektoruna təsiri və informasiya təhlükəsizliyi baxımından əhəmiyyəti ilə bağlı SecOps şirkətinin İT auditoru Musa Qocazadənin fikirlərini təqdim edirik:
“İnformasiya təhlükəsizliyi artıq yalnız İT məsələsi deyil”
Cashless.az-a müsahibəsində SecOps şirkətinin nümayəndəsi bildirib ki, son illərdə kiberhücumların sayında və mürəkkəbliyində ciddi artım müşahidə olunur və bu hücumların təsiri təkcə texniki müstəvi ilə məhdudlaşmır:
“Artıq kiberhücumlar yalnız məlumatların ələ keçirilməsinə deyil, əməliyyatların dayanmasına, xidmətlərin kəsilməsinə, reputasiya itkisinə və hüquqi-komplayns risklərinin yaranmasına səbəb olur. Şirkətlər həm birbaşa, həm də dolayı iqtisadi itkilərlə üzləşirlər. Bu baxımdan informasiya təhlükəsizliyi biznesin dayanıqlılığı səviyyəsində prioritet məsələyə çevrilib”.
Onun sözlərinə görə, məhz bu kontekstdə kənar İT auditlərin tətbiqi xüsusi əhəmiyyət daşıyır.
“Kənar İT audit şirkətin texnoloji mühitini və təhlükəsizlik nəzarətlərini müstəqil şəkildə qiymətləndirir, mövcud boşluqları və kritik riskləri üzə çıxarır. Daxili komandaların görmədiyi ‘kor nöqtələr’ audit zamanı müəyyən olunur və sübutlara əsaslanan tövsiyələr formalaşdırılır. Bu, auditin sadəcə yoxlama deyil, real yol xəritəsi rolunu oynamasına imkan yaradır”.
“Fintex sektorunda təhlükəsizlik yanaşması dəyişir”.
Musa Qocazadənin sözlərinə görə, əvvəlki dövrlərdə fintexlərdə məhsulun bazara sürətlə çıxarılması prioritet olduğu üçün təhlükəsizlik məsələləri bəzən arxa planda qalırdı. Lakin requlyativ tələblərin sərtləşməsi bu yanaşmanı dəyişir:
“Fintexlər müştəri məlumatları ilə işləyir, ödəniş ekosisteminə inteqrasiya olunur, API-lərdən istifadə edir ki, bu da onları həm çeviklik, həm də əlavə risklər yaradır. Yeni requlyativ çərçivə təhlükəsizliyin opsional deyil, zəruri norma olduğunu formalaşdırır və sektorun ümumi dayanıqlığını artırır”.
“Tələblərə uyğunluq kağız üzərində qalmamalıdır”.
Musa Qocazadə bildirib ki, yeni tənzimləyici dəyişikliklər fonunda fintexlər üçün əsas çağırış təkcə risklərin aşkarlanması deyil, onların real mühitdə aradan qaldırılmasıdır:
“Biz SecOps olaraq informasiya təhlükəsizliyi və rəqəmsal dayanıqlılıq sahəsində şirkətlərə inteqrə olunmuş yanaşma təqdim edirik. İlk mərhələdə audit və penetrasiya testləri vasitəsilə mövcud İT və təhlükəsizlik mühiti obyektiv şəkildə qiymətləndirilir. Bu proses real riskləri, zəif nöqtələri və mümkün təhdid ssenarilərini üzə çıxarmağa imkan verir”.
Onun sözlərinə görə, audit mərhələsindən sonra risklərin aradan qaldırılması üzrə praktiki addımlar xüsusi əhəmiyyət daşıyır:
“Müəyyən edilən risklərin aradan qaldırılması üçün texniki və proses yönümlü həllər tətbiq olunur, sistemlər optimallaşdırılır və təhlükəsizlik nəzarət mexanizmləri qurulur. Nəticədə audit hesabatları tövsiyə sənədi kimi qalmır, real və ölçülə bilən nəticələrlə tamamlanır”.
İnsan kapitalının roluna da toxunan İT auditoru bildirib ki, davamlı təhlükəsizlik yalnız texnologiya ilə məhdudlaşmır:
“SecOps Academy xətti ilə biz informasiya təhlükəsizliyi və texnologiya sahəsində kadrların hazırlanmasına və mövcud mütəxəssislərin biliklərinin artırılmasına fokuslanırıq. Təlimlər real biznes və təhlükəsizlik ssenariləri üzərində qurulur, həmçinin praktiki bacarıqların formalaşmasına xidmət edir”.
Musa Qocazadənin sözlərinə görə, bu yanaşma şirkətlərə uzunmüddətli perspektivdə dayanıqlı təhlükəsizlik modeli qurmağa imkan verir:
“Bu istiqamət birlikdə fəaliyyət göstərərək təşkilatlara yalnız risklərin aşkarlanmasını deyil, onların aradan qaldırılmasını və davamlı təhlükəsizliyin sistemli şəkildə qurulmasını təmin edən modellər tətbiq edilir”.
