Azərbaycanda internet provayderləri, host provayderləri, sayt sahibləri və kibertəhlükəsizlik mərkəzləri üzərində dövlət nəzarəti kəskin şəkildə gücləndirilir. Milli Məclisin bu gün keçirilən iclasında İnzibati Xətalar Məcəlləsinə təklif edilən və yeni cəza sanksiyalarını ehtiva edən 371-2-ci maddə layihəsi müzakirələrdən sonra səsverməyə çıxarılaraq birinci oxunuşda qəbul edilib. Bu qanun xüsusilə son dövrlər ölkədə vətəndaşlara milyonlarla manat ziyan vuran "Any Unboxing" kimi rəqəmsal dələduzluq piramidalarının, kiberfırıldaqların və hostinq boşluqlarının qarşısını almaq məqsədi daşıyır.
Provayderlərin və sayt sahiblərinin mütləq öhdəlikləri
Yeni qanun layihəsinə əsasən, kompüter insidentlərinə qarşı mübarizə mərkəzləri (CERT), təhlükəsizlik əməliyyatları mərkəzləri (SOC), internet və host provayderlər, habelə internet informasiya ehtiyatlarının sahibləri kibertəhlükəsizlik tədbirlərini görmədikdə birbaşa pul cərimələri ilə üzləşəcəklər. Qanunla rəsmiləşən əsas xətalar və tələblər aşağıdakılardır:
-- 24 saatlıq rəqəmsal limit: Dövlətin kibertəhlükəsizlik vəziyyətinin öyrənilməsi və proaktiv araşdırmalar üçün göndərdiyi rəsmi sorğular ən geci 24 saat ərzində, rəqəmsal tədqiqatla bağlı sorğular isə 5 iş günü ərzində mütləq cavablandırılmalıdır.
-- Kiberhücumları dərhal bildirmək öhdəliyi: İnformasiya infrastrukturuna yönəlmiş kibertəhdidlər, real kiberhücumlar və baş vermiş insidentlər barədə məlumatlar, habelə fasiləsiz monitorinqin nəticələri dövlətin səlahiyyətli qurumuna dərhal (gecikdirilmədən) təqdim olunmalıdır.
-- Real vaxt rejimində monitorinq: Kiberinsidentlərin və kiberhücumların qarşısının alınması üçün real vaxt rejimində fasiləsiz monitorinqin aparılması və ilkin texniki cavab tədbirlərinin icrası mütləq tələbə çevrilir.
-- Dəlillərin saxtalaşdırılması qadağası: Rəqəmsal tədqiqat zamanı əldə olunan log faylların, şəbəkə məlumatlarının bütövlüyü qorunmalı, onların dəyişdirilməsinə, silinməsinə və ya saxtalaşdırılmasına qətiyyən yol verilməməlidir.
Bu tələbləri pozan və dövlət qurumlarının kiberinsidentlərin nəticələrinin aradan qaldırılması barədə rəsmi göstərişlərini yerinə yetirməyən vəzifəli şəxslər 500 manatdan 1000 manatadək, hüquqi şəxslər (şirkətlər) isə 1000 manatdan 2000 manatadək məbləğdə cərimə ediləcəklər.
Qanunsuz kiber-mərkəzlərə qadağa və kritik infrastruktur istisnası
Bundan əlavə, dövlətin rəsmi "Kompüter insidentlərinə qarşı mübarizə mərkəzlərinin və təhlükəsizlik əməliyyatları mərkəzlərinin reyestri"nə daxil edilmədən, yəni qeydiyyatsız şəkildə kiber-müdafiə (CERT və ya SOC) xidmətləri göstərən şirkətlərə qarşı da cərimələr tətbiq olunacaq. Reyestrdən kənar fəaliyyət göstərənlər vəzifəli şəxs qismində 1000 manatdan 1500 manatadək, hüquqi şəxs qismində isə 1500 manatdan 2500 manatadək məbləğdə cərimələnəcəklər.
Lakin bu yeni cərimə mexanizmləri kritik informasiya infrastrukturuna, birbaşa dövlət orqanlarına, Azərbaycan Respublikasının Mərkəzi Bankına, kəşfiyyat və əks-kəşfiyyat fəaliyyəti subyektlərinə şamil edilməyəcək. Həmçinin, maliyyə bazarlarında fəaliyyətinə nəzarət edilən subyektlər (banklar, sığorta şirkətləri, qiymətli kağızlar bazarının lisenziyalı şəxsləri, investisiya fondları və ödəniş xidməti təchizatçıları), eləcə də qorunan strateji obyektlərin və xüsusi mühafizə mərkəzlərinin daxili informasiya şəbəkələri bu inzibati cərimə bəndlərindən istisna tutulur.