2025-yilda O'zbekistonda 107 milliondan ortiq kiberxavfning oldi olindi — bu o'tgan yilgiga nisbatan 15 barobar ko'p! 2026-yilga esa 200 milliondan ortiq hujum prognoz qilinmoqda (manba: Raqamli texnologiyalar vazirligi). Tahdidlarning o'sish sur'ati kompaniyalarning, ayniqsa, tarmoqqa kirishni boshqarishni haligacha klassik VPN'da ushlab turgan tashkilotlarning himoya vositalarini yangilash tezligidan o'zib ketyapti. Asosiy muammo — texnologiya yetishmasligida emas, balki yangi kiberhujum vektorlarini yopa olmaydigan eskirgan arxitekturaning o'zida.
O'rtamiyona kompaniyaning korporativ tarmog'iga kirish nuqtalari oxirgi yillarda karra o'sdi: ichki tizimlarga ulanadigan pudratchilar, filial xodimlari, tashqi servislar bilan integratsiyalar, shaxsiy qurilmalar. Ammo masofadan ulanishni tashkil qilish uchun yagona instrument o'zgarmadi — o'sha-o'sha VPN.
Nima uchun klassik VPN endi sizni qutqara olmaydi?
VPN roppa-rosa bitta vazifani bajaradi: qurilma va tarmoq o'rtasida shifrlangan tunel quradi. U ulanishdan aynan kim foydalanayotganini tekshirmaydi, o'sha odam tarmoq ichida nima qila olishini cheklamaydi va uning qayerga kirganini qayd etmaydi.
Qachonlardir korporativ tarmoqqa xizmat safaridagi bir-ikki xodim ulanganda, shu ham yetardi. Bugun esa o'sha VPN orqali o'nlab pudratchilar, filiallar, tashqi integratsiyalar ishlayapti. Serverlar hamon mahalliy Data-markazda turibdi, lekin ularga ulanish nuqtalarining soni va turi jiddiy masshtablarda o'zgardi. VPN bo'lsa hali ham «ulandingmi — hammasiga ruxsat olding» prinsipi bilan ishlayapti.
Bu uchta aniq xatarni keltirib chiqaradi:
- Segmentatsiyaning yo'qligi. VPN'ga kirgan foydalanuvchi butun tarmoqni ko'radi. Agar uning paroli o'g'irlansa — xaker ham butun tarmoqni o'z ekranida ko'rib turadi.
- Kontekstning yo'qligi. VPN ulanish qaysi qurilmadan kelayotganini, OS yangilanganini yoki himoya vositalari bor-yo'qligini tekshirmaydi. Antivirussiz shaxsiy noutbuk bilan korporativ nazoratdagi ish stansiyasi VPN uchun bir xil ko'rinadi.
- Auditning yo'qligi. Kim, qayerga, qachon va nima maqsadda kirdi? VPN bu savollarga javob bermaydi. Vaholanki, regulyatorlar tekshiruvida aynan shu ma'lumotlar — sana, foydalanuvchi ID'si va IP-manzil ko'rsatilgan loglar talab qilinadi.
Ko'p aytilmaydigan to'rtinchi muammo ham bor: ko'plab kompaniyalar haligacha ulanish uchun eskirgan, litsenziyasiz yechimlardan foydalanadi. Ularda xavfsizlik yangilanishlari, vendor qo'llab-quvvatlashi va zamonaviy talablarga javob berish kafolati yo'q. Bu shunchaki texnik teshik emas, bu ochiq yuridik xatar.
Zero Trust o'zi nima va nega bu shunchaki marketing ertagi emas?
Zero Trust (Nolinchi ishonch) — bu qanaqadir yaltiroq quti yoki bitta dastur emas. Bu xavfsizlik tizimini qurishning arxitektura prinsipi bo'lib, unda har qanday korporativ resursga (ilova, server, ma'lumotlar bazasi) kirish har safar qat'iy tekshirilishini talab qiladi. Nafaqat foydalanuvchi, balki qurilma ham, tarmoq segmenti ham avtomatik ishonchga ega bo'lmaydi — hatto u korporativ tarmoq ichida tursa ham. Har bir so'rov elakdan o'tkaziladi: kim ulanyapti, qaysi qurilmadan, qaysi resursga va uning bunga haqqi bormi?
Amalda bu quyidagilarni anglatadi:
- Perimetr o'rniga identifikatsiya. Ruxsat ulanish qayerdan kelayotganiga qarab emas, kim ulanayotgani va unga nima kerakligiga qarab beriladi.
- Minimal imtiyozlar. Foydalanuvchi faqat o'z ishi uchun kerakli tizimlarnigina ko'radi, ortig'ini emas.
- Uzluksiz tekshiruv. Tizim kontekstni (qurilma, joylashuv, xulq-atvor) baholaydi va agar biror narsa o'zgarsa, ruxsatni istalgan soniyada tortib oladi.
- To'liq ko'rinuvchanlik. Har bir harakat yozib boriladi: kim, qayerga, qachon, qaysi qurilmadan kirdi.
Bu quruq nazariya emas. Google 2009-yildagi kiberhujumdan (Operation Aurora) so'ng, xakerlar fishing orqali ichki tizimlarga kirib olganida, aynan shu modelga o'tishni boshlagan. Natija — BeyondCorp arxitekturasi: unda «ichki» va «tashqi» tarmoq degan tushuncha yo'q, qayerdan kelishidan qat'i nazar har bir so'rov bir xil filtrdan o'tadi.
Bu O'zbekiston bozori uchun nimani anglatadi?
O'zbekiston bozori uchun ulanishni boshqarishning yangi modellariga o'tish nazariy suhbatdan majburiyatga aylanmoqda. Bunga bir vaqtning o'zida uchta darajada shakllanadigan regulyator talablari sabab bo'lyapti:
- «Kiberxavfsizlik to'g'risida»gi qonun (O'RQ-764, 15.04.2022) tayanch prinsiplarni, jumladan, kiberxavfsizlik tizimlarini yaratishda mahalliy ishlab chiqaruvchilarga ustuvorlik berishni (8-modda) va sertifikatlangan himoya vositalaridan foydalanish majburiyatini belgilaydi.
- Muhim axborot infratuzilmasini (MAI / KII) himoya qilish to'g'risidagi qaror (PQ-167, 31.05.2023) talablarni telekom, energetika, transport va davlat sektoriga joriy qiladi. MAI obyektlaridagi barcha himoya vositalari muvofiqlik sertifikatiga ega bo'lishi shart, kiberxavfsizlikka javobgarlar esa har 3 yilda attestatsiyadan o'tadi.
- Markaziy bankning bank sektori uchun tarmoq talablari (eng maydalashtirilgan daraja) — ruxsatni markazlashgan holda boshqarishni, ko'p omilli autentifikatsiyani (MFA), har bir harakatni sana, ID va IP-manzil bilan log qilishni hamda imtiyozli ruxsatni nazorat qilishni qat'iy talab etadi.
Bu talablarning barchasini bitta narsa birlashtiradi: ular an'anaviy VPN bera olmaydigan narsalarni — ko'rinuvchanlik, nazorat va dalillar bazasini talab qiladi.
Regulyatsiya qilinadigan sohalar uchun suverenitet masalasi o'ta kritik: trafik jismonan qayerda qayta ishlanadi va ma'lumotlar qayerda saqlanadi? Zscaler, Cloudflare kabi xalqaro Zero Trust platformalarining O'zbekistonda ulanish nuqtalari (PoP) yo'q, ular trafikni xorijdagi Data-markazlar orqali olib o'tadi. O'RQ-764 (mahalliy yechimlarga ustuvorlik), PQ-167 (MAI himoya vositalarini majburiy sertifikatlash) va Markaziy bankning 19/1-sonli Nizomi (axborot aktivlarini bankning o'z ЦОДida joylashtirish) talablari fonida — bunday platformalardan regulyatsiya qilinadigan segmentlarda foydalanish katta compliance xatarlarini yog'diradi.
Qayerdan boshlash kerak?
Zero Trust'ga o'tish infratuzilmani bir kunda yoqib yuborib, yangisini qurishni talab qilmaydi. Amaliy yo'l — bu bosqichma-bosqich harakatlanish:
- 1-qadam. Joriy holatni audit qilish. Korporativ tizimlarga qancha odam, qaysi kanallar orqali, qanday nazorat va loglash darajasi bilan kirayotganini aniqlash. Bunday audit natijalari odatda teshik ulanish nuqtalarining ko'lamini ochiq-oydin ko'rsatib beradi.
- 2-qadam. Kritik tizimlar uchun yagona autentifikatsiya nuqtasini (SSO) va ko'p omilli autentifikatsiyani (MFA) joriy etish.
- 3-qadam. Klassik VPN'ni har bir foydalanuvchi faqat o'ziga ruxsat berilgan resurslarnigina ko'radigan va har bir ulanish qayd etiladigan arxitekturaga almashtirish.
Shuni tushunish muhimki: Zero Trust'ga o'tish doim ham kosmik xarajatlarni anglatmaydi. Zamonaviy open-source yechimlar nol litsenziya to'lovlari bilan Zero Trust modeli bo'yicha to'laqonli ruxsatni boshqarish tizimini — yagona autentifikatsiya, shifrlangan aloqa kanallari, oxirgi nuqtalarni monitoring qilish va imtiyozli sessiyalarni nazorat qilishni qurish imkonini beradi. Gap texnologiyalarning narxida emas, ularni to'g'ri integratsiya qilish va ishlatish uchun kerak bo'ladigan ekspertizada.
Xulosa o'rnida
Kiberhujumlar sonining o'sishi, regulyator talablarining qattiqlashishi va hujum maydonining kengayishi — bu ulanishni boshqarish yondashuvini qayta ko'rib chiqishni muqarrar qiladigan uchta omildir. Zero Trust — bu aniq muammoga javob: tarmoq chegarasini aniq chizish ilojsiz bo'lgan bir paytda qanday qilib ko'rinuvchanlik, nazorat va talablarga muvofiqlikni ta'minlash mumkin? Serverlar ma'lumotlar markazida turibdi, lekin ularga pudratchilar, shaxsiy qurilmalari bilan xodimlar va API orqali tashqi tizimlar ulanyapti.
Biz UzCloud'da O'zbekiston bozori uchun suveren Zero Trust platformasini quryapmiz. Keyingi materiallarda aniq arxitektura yechimlari va regulyator talablariga qanday tayyorgarlik ko'rish haqida ochiq faktlar bilan gaplashamiz.