Banklar va moliya

Yopiq yo‘l: nega xorijdagi o‘zbekistonliklar bank xizmatlaridan foydalana olmayapti

eʼlon qilindi
Vadim Yerzikov
Vadim Yerzikov
Bosh muharrir o‘rinbosari
firibgarlar Ilova kiberxavfsizlik
Kursiv Uzbekistan bu haqda mutaxassislar bilan suhbatlashdi
Xorijda bank ilovalariga ruxsatni qanday qaytarish mumkin / Foto: depositphotos.com

Xorijdagi o‘zbekistonliklar bir xil muammoga duch kelmoqda: telefon almashtirilgandan keyin yoki bank ilovasi qayta o‘rnatilib yangilanganda tizim mijozdan qayta identifikatsiyadan o‘tishni talab qiladi. Ammo bu jarayonni faqat O‘zbekiston hududida amalga oshirish mumkin. Shuningdek, banklar to‘lovni tasdiqlash kodini faqat telefon raqamiga yuborib, elektron pochtaga jo‘natmaydi. Bu ham xorijdagi foydalanuvchilarga qo‘shimcha noqulaylik tug‘dirmoqda, shikoyatlar ham ko‘paymoqda. Kursiv Uzbekistan bunday vaziyatlarda qanday yo‘l tutish kerakligi va xavfsizlik bilan qulaylik o‘rtasidagi muvozanatni tiklash uchun qanday tizimli yechimlar ishlab chiqilayotganini o‘rgandi.

Ushbu maqoladan quyidagilarni bilib olasiz:

Masalaning mohiyati: firibgarlikka qarshi kurash

Ilova orqali mamlakatdan tashqarida shaxsni identifikatsiyalashning imkoni yo‘qligi muammosi bejiz yuzaga kelmagan. Bu bevosita firibgarlikning ko‘payishi tufayli kiberxavfsizlik choralari kuchaytirilishining natijasidir.

Markaziy bank (MB) Kursiv Uzbekistan so‘roviga javoban muammoning mohiyati va ko‘rilgan choralarni quyidagicha tushuntirdi:

«Yurtimizda 2024-yilda bank kartalari bilan bog‘liq firibgarlik holatlari keskin oshib ketishi sabablari tahlil qilinganda, firibgarlar fuqarolarning ishonchiga kirib, tasdiqlash kodlarini qo‘lga kiritish orqali ularning banklar va to‘lov tashkilotlari mobil ilovalaridagi akkauntlarga xorijda turib kirib olish hamda bank kartalaridagi mablag‘larni noqonuniy o‘zlashtirishi aniqlanadi» (O‘zbekiston Respublikasi Markaziy bankining 2025-yil 14-oktabrdagi 39-15/135-sonli xatiga ilovadan).

Shu sababli Markaziy bankning tegishli ko‘rsatmasiga muvofiq, 2024-yil sentabr oyidan boshlab banklar va to‘lov tashkilotlarining mobil ilovalarida dastlabki ro‘yxatdan o‘tish va boshqa qurilmadan kabinetga kirish cheklandi hamda faqat respublika hududidan amalga oshirilishi belgilandi.

MBning ta’kidlashicha, mazkur talab banklar va to‘lov tashkilotlari mobil ilovalarida avval ro‘yxatdan o‘tgan foydalanuvchilarga nisbatan tatbiq etilmaydi, ya’ni akkauntga ega fuqarolar O‘zbekiston Respublikasidan tashqarida banklar va to‘lov tashkilotlari mobil ilovalaridan o‘z qurilmalarida foydalanishda davom etishlari mumkin.

Mobil ilovadan foydalanish imkoniyati yo‘qolganda, fuqarolarga o‘z banklariga murojaat qilish imkoniyati beriladi, deya tushuntirdi Markaziy bank.

Regulyator o‘z xatida banklar fuqarolarning murojaatlarini ijobiy hal qilish uchun o‘z ichki tartib-qoidalari doirasida texnik choralarni qo‘llashi mumkinligini qo‘shimcha qilgan.

Xorijda identifikatsiya qanday ishlashi kerak

Markaziy bankning Kiberxavfsizlik markazi boshlig‘i o‘rinbosari Davron Abdullayevning Kursiv Uzbekistanga bergan izohida aniqlik kiritishicha, bugungi kunda Markaziy bank ham, tijorat banklari ham mijozlarni qo‘llab-quvvatlash uchun 24 soat ishlaydigan koll-markazlar tashkil etgan.

«Agar mijozda alohida vaziyat yuzaga kelsa, u koll-markazga qo‘ng‘iroq qilib, tushuntiradi, bank xodimlari bilan videokonferensiya shaklida muloqot o‘rnatiladi va shaxsni identifikatsiya qilish imkoniyati yaratiladi», — dedi u.

Kursiv Uzbekistan taklif etilgan usul qanchalik samarali ekanligini va qaysi banklar uni qo‘llayotganini tekshirmagan. Ammo Markaziy bank mutaxassisining aniqlik kiritishicha, vaziyatdan chiqishning bunday yo‘lini barcha moliya institutlari taqdim etishi kerak.

Shuningdek, u cheklovlar kiritilishi majburiy chora bo‘lganini tasdiqladi, chunki firibgarlik holatlarining aksariyati chet elda qayd etilgan. Abdullayevning ta’kidlashicha, fuqarolardan mablag‘larini yo‘qotish bo‘yicha juda ko‘p murojaatlar kelib tushgan.

Kelgusida nimalar o‘zgaradi

Kiberxavfsizlik markazi boshlig‘i o‘rinbosari strategik yondashuv haqida ham gapirdi: hozirda Markaziy bank firibgarlikka qarshi kurashish bo‘yicha keng ko‘lamli ishlarni amalga oshirmoqda. Xalqaro tajribani o‘rganish va kelajak strategiyasini ishlab chiqish maqsadida KPMG xalqaro konsalting kompaniyasi jalb etildi.

U bilan birgalikda O‘zbekiston bank sektori va kiberxavfsizlik infratuzilmasi chuqur tahlil qilinmoqda. KPMG mutaxassislari xalqaro standartlarga javob beradigan yechimlarni taklif qiladi. Mavjud hujjatlar, tartiblar va amaliyotlarni o‘rganishni o‘z ichiga olgan ushbu ish kelgusi yilda yakuniy xulosalar va tavsiyalar berish bilan yakunlanishi kerak, ular amaliyotga joriy etilishi rejalashtirilgan.

SMS kodlar: qanday savollar qoldi

Markaziy bank ma’lumotlariga ko‘ra, masofaviy moliyaviy xizmatlarni ko‘rsatishda kiberxavfsizlikni ta’minlash va shubhali firibgarlik operatsiyalarining oldini olish maqsadida himoya mexanizmlari doimiy ravishda takomillashtirib borilmoqda. Hozirda foydalanuvchiga SMS orqali yuboriladigan bir martalik tasdiqlash kodi (OTP) faqat uning mobil qurilmasi orqali amal qiladi.

Regulyatorning bunday yondashuvi tushunarli. Ammo xorijda bo‘lgan fuqarolar kodni hatto o‘z mobil qurilmalariga olishda ham qiyinchilikka duch kelayotganidan shikoyat qilmoqda. Bu haqda iqtisodchi Botir Kobilov Telegram’dagi postida ma’lum qildi.

Uning tanqidiga SMS faqat +998 kodli raqamga yuborilayotgani, elektron pochta ko‘rinishidagi muqobil usuldan foydalanilmayotgani sabab bo‘lgan. Uning so‘zlariga ko‘ra, bunday yondashuvning sabablari haqidagi savolga «O‘zbekistonda emaildan hech kim foydalanmaydi», deb javob berishadi.

Markaziy bank vakili Davron Abdullayevning fikricha, SMS-roumingni ulash kerak, shunda kodlar to‘siqsiz keladi. Botir Kobilov esa, aksincha, bu vaziyatdan chiqish yo‘li emasligini ta’kidlamoqda. Dalil sifatida u 6-oktabrdan boshlab Rossiyada roumingda SMS va mobil internet vaqtincha ishlamayotgani haqidagi xabarni keltirdi.

«Bank xizmatlariga dostupni faqat SMS orqali amalga oshirishni bas qilish kerak. Qo’shimcha yo’l – email va/yoki push notificationni tatbiq qilish kerak. Zudlik bilan», — deya keskin munosabat bildirdi Kobilov o‘z postida Rossiyadan kelgan xabarga.

Ekspert fikri

Softline kompaniyalar guruhining MD Audit loyihalari menejeri Kirill Lyovkin O‘zbekistondagi qat’iy geoblokirovkaga asoslangan hozirgi yondashuv asosiy xato deb hisoblaydi.

Uning ishonchi komilki, bugungi kunda xavfsizlik uchun kurash qulaylikning pasayishi va moliyaviy xizmatlardan foydalanish imkoniyatining qisman yo‘qolishiga olib keldi. Uning fikricha, jahon amaliyoti uzoq vaqtdan beri adaptiv autentifikatsiyaga qarab harakatlanmoqda.

«Tizim real vaqt rejimida xavfni baholaydi va kontekstga – joylashuv, qurilma, foydalanuvchining odatlariga qarab turli darajadagi tekshiruvlarni qo‘llaydi. Agar mijoz noodatiy mamlakatdan tizimga kirayotgan bo‘lsa, platforma kirishni shunchaki bloklamasligi kerak. Buning o‘rniga qo‘shimcha biometrik tekshiruv, shaxsni videotasdiqlash yoki push-imzo funksiyasini yoqish mumkin», — deydi ekspert.

IT-kompaniya vakilining fikricha, bir qator texnologik va tashkiliy yechimlar mijozlarni kirishdan mahrum qilmasdan xavfsizlikni oshirishi mumkin.

Ishonchli identifikatsiya: kalitlar, sertifikatlar va multi-faktorlar

Yechimlardan biri FIDO2/WebAuthn dan foydalanish, bunda qurilmada kriptografik kalit yaratiladi va server faqat ochiq qismni saqlaydi. Bu parolni o‘g‘irlash imkoniyatini yo‘qqa chiqaradi va biometrik ma’lumotlarni uzatishni talab qilmaydi. Foydalanuvchi YubiKey kabi bir nechta qurilma yoki apparat tokenini oldindan ro‘yxatdan o‘tkazishi mumkin.

Xorijdan kirishni xavfsiz tasdiqlash uchun maxfiy kalit saqlanadigan SIM yoki eSIM karta sertifikatlaridan foydalanish muhim qadam bo‘lishi mumkin.

Smart tiklash: Video-KYC

Kirill Lyovkin banklar video-KYC — hujjatni tanib olish bilan shaxsni videotasdiqlashni joriy etishi kerak, deb hisoblaydi.

Uzoq muddat xorijda bo‘lgan mijozlar uchun bank elchixonada tasdiqlangan hujjatlarni qabul qilganda konsullik yoki notarial tasdiqlashdan foydalanish mumkin, deydi ekspert.

Xavfsiz biometriya va qurilma attestatsiyasi

Mutaxassisning ta’kidlashicha, zamonaviy qurilmalar biometrik ma’lumotlarni serverga yubormasdan, ularni lokal saqlash imkonini beradi. Face ID yoki Touch ID masofadan aniqlash usuli emas, balki faqat mahalliy qulfni ochish omili bo‘lishi muhim.

Banklar qurilmaning butunligini, marshrut yo‘qligini va apparat kalitining haqiqiyligini tekshiradigan device attestation texnologiyasini qo‘llashi mumkin. Bu telefonni almashtirganda ham yuqori darajadagi ishonchni ta’minlaydi.

SMSdan push-imzolar foydasiga voz kechish

Ekspertning ishonch bildirishicha, SMSlar zaif bo‘g‘in bo‘lib qolmoqda, ular SIM-kartalarni almashtirish va qo‘lga olish uchun zaif. Kriptografik imzoli push-bildirishnomalarga yoki ilova ichidagi TOTP / HOTP generatorlariga o‘tish ancha ishonchli. Yuqori xavfli operatsiyalar uchun apparat tokenlari yoki FIDO imzolaridan foydalanish mumkin.

Agar bank baribir SMS’dan foydalansa, xalqaro shlyuzlar va eSIM orqali takrorlashni joriy etish kerak, ammo bu kanalga asosiy kanal sifatida tayanmaslik kerak, deydi mutaxassis.

Taxminiy xavfsizlik

UEBA (User and entity behavior analytics) sinfining zamonaviy yechimlari foydalanuvchilarning xatti-harakatlarini — terish tezligi, to‘lov marshrutlari, qurilmalarni kuzatish imkonini beradi. Har qanday og‘ish qayd qilinadi va step-up-autentifikatsiyani faollashtiradi. SIEM va SOAR bilan birgalikda bu shubhali harakatlarga darhol javob berish va ehtimoliy hujumlarni to‘xtatish imkonini beradi.

Mutaxassis yangi qurilmalar uchun «qumdon» — obro‘si tasdiqlangunga qadar dastlabki 48-72 soat davomida cheklangan funksionallikni joriy etishni taklif qildi.

Mijozga yo‘naltirilgan UX

Kirill Lyovkinning fikricha, bank ilovasi sayohat haqida xabardor qilish va kuchaytirilgan monitoring bilan geota’qiqlarni vaqtincha yumshatish imkonini beruvchi travel-mode funksiyasini taklif qilishi kerak. Interfeys esa foydalanishni tiklashning aniq va tushunarli ssenariysini o‘z ichiga olishi lozim: hujjatlar tekshiruvi, «Men xorijdaman» tugmasi hamda onlayn video identifikatsiyadan o‘tish imkoniyati.

Shuningdek, tiklash paytida funksionallikni cheklash mumkin: balansni va oldindan tasdiqlangan hisoblarga to‘lovlarni darhol ko‘rish, to‘liq kirish esa barcha tekshiruv bosqichlaridan o‘tgandan so‘ng amalga oshiriladi.

Himoya va foydalanish imkoniyati o‘rtasidagi murosa

O‘zbekiston banklari tajribasi shuni ko‘rsatadiki, ma’lumotlarni himoya qilish maqsadida qabul qilingan qarorlar beixtiyor raqamli tengsizlikni keltirib chiqarishi mumkin. Fuqarolar shunchaki chet elda bo‘lgani uchun o‘z hisob raqamlariga kira olmayapti.

Kirill Lyovkin ta’kidlaganidek, muammo yechimi — kiberxavfsizlikning moslashuvchan modelida. Bunda himoya qat’iy taqiqlarga emas, balki xavf-xatar, kontekst va ishonch darajasini tahlil qilishga asoslanadi. Kriptografik kalitlar, ko‘p omilli autentifikatsiya, Video-KYC va xatti-harakatlar tahlili kabi vositalardan foydalanish yuqori darajadagi himoyani ta’minlab, barcha mijozlarga — ular qayerda bo‘lishidan qat’i nazar — xizmatlardan muammosiz foydalanish imkonini beradi.

Markaziy bank, o‘z navbatida, KPMG bilan birgalikda strategik tahlil jarayonini allaqachon boshlagan, bu esa antifiribgarlik tizimlarini modernizatsiya qilish zarurligini tushunishdan dalolat beradi.

Avvalroq «Kursiv» nashri O‘zbekistonda kredit axborotlari almashinuvi bo‘yicha yagona elektron tizim ishga tushgani haqida yozgandi. Uning asosiy maqsadi – banklar, mikromoliya tashkilotlari va boshqa moliyaviy institutlar o‘rtasida kredit ma’lumotlarini avtomatlashtirilgan shaklda almashish hamda foydalanuvchilarga o‘z kredit tarixini ko‘rish va nazorat qilish imkoniyatini yaratishdan iborat.

Shuningdek