Мэдээллийн аюулгүй байдлын салбарын ач холбогдол, Монголын өнөөгийн нөхцөл байдлын тухай “Голомт банк”-ны мэдээллийн аюулгүй байдлын ахлах шинжээчтэй ярилцлаа.

-Та өөрийгөө манай уншигчдад танилцуулна уу?

-Намайг З.Ганбагана гэдэг. “Голомт банк”-ны мэдээллийн аюулгүй байдлын ахлах шинжээчээр ажилладаг. ШУТИС-ийг компьютерийн систем хамгааллын мэргэжлээр сургуулиа төгсөөд л энэ салбар луу орсон. Одоо тав дах жилдээ ажиллаж байна.

-Технологийн салбарт маш олон төрлийн чиглэл байна. Энэ дундаас мэдээллийн аюулгүй байдлын салбарын гол онцлог, ач холбогдол нь юу вэ?

-Дэлхийн хакинг хамгийн том уулзалт, арга хэмжээ бол DefCon. 27 жилийн өмнө энэхүү арга хэмжээг үндэслэгч Жефф Мосс нь мэдээллийн технологи асар хурдацтай хөгжихийн хэрээр аюулгүй байдлыг гэж орхигдуулж байгааг анзаарсан. Шинэ системүүдийн эмзэг байдлыг илрүүлэхэд хялбар байсан. Харин тэр эмзэг байдлыг буруугаар ашиглах сонирхолтой их хүмүүс байсан. Тиймээс Жефф тэдний эсрэг ёс зүйт хакер гэсэн ойлголтуудыг бий болгосон. Тэр нь өнөөдрийн МАБ-ын салбар юм.

Өөрөөр хэлбэл, энэ салбарын гол ач холбогдол нь эрчимтэй өсөж буй үнэ цэнэтэй мэдээллийг орон зай, цаг хугацаанаас үл хамааран ажилладаг хакеруудаас хамгаалах юм. Түүнчлэн сүүлийн таван жилийн хугацаанд дэлхийн томоохон компаниуд аюулгүй байдлын салбарт илүү анхаарч ажилладаг болсон.

Мэдээллийн аюулгүй байдлын салбарын нэг онцлог нь мэдээллийн технологийн бүх талын мэдлэгтэй байх ёстой. Тухайн системийн сүлжээ, үйлдлийн систем, програм хангамж, өгөгдлийн сан зэрэг бүх талаар нь мэдэх байхыг уг мэргэжилтнээс шаардана. Тэгэхээр илүү өндөр түвшинд, байнгын суралцаж байх шаардлагатай. Системийн шинэ эмзэг байдал, сул талууд гарч ирсээр байдаг ба үүнд суралцаж, хамгаалах чадваруудыг хурдтай эзэмшсээр байх хэрэгтэй болдог.

-Банкны салбарт мэдээллийн аюулгүй байдлыг хэрхэн хамгаалдаг вэ?

-Банкны салбарын мэдээллийн аюулгүй байдлын хувьд үндсэн хоёр чиглэлд үйл ажиллагаа явуулдаг. Нэгдүгээрт, кибер аюулгүй байдал буюу гадны халдагч этгээд банкны системд халдахаас сэргийлж ажилладаг. Бид өглөө ажилдаа ирээд өчигдөр шөнө ямар халдлагууд гарсан, түүнийг яаж зогсоосон, сэжигтэй ямар нэгэн үйлдэл гарсан байна уу зэргийг шалгаж ажиллана.

Хоёрдугаарт, мэдээллийн аюулгүй байдал буюу байгууллагын дотоод ажилчид өөрт олгогдсон эрхийг ашиглан мэдээллийг буруугаар ашигласан болон задруулсан эсэхийг шалгах нь чухал. Мэдээж энэ салбар их хэмжээний мөнгөтэй харьцдаг учраас зайлшгүй хэн хаашаа ямар мэдээллийг гаргаж байгааг тогтмол хянадаг.

-Тэгвэл таныг ажилдаа ирэхэд хэр их халдлага ирсэн байдаг вэ. Энэ салбарын тулгамдаж байгаа асуудлууд юу байдаг бол?

-Сүүлийн үед хамгийн их ирж байгаа халдлага бол хортой код (вирус) агуулсан хуурамч имэйл буюу фишинг халдлага юм. Эдгээр хуурамч имэйлүүдийг хамгаалах зориулалтын системээр халдлага мөн эсэхийг шалгана. Хоргүй тохиолдолд л эцсийн хэрэглэгч рүү дамжуулдаг.

Гэсэн ч энэ хамгаалалтын системд өртөхгүйгээр банкны ажилтанд хуурамч имэйл ирэх тохиолдлууд байдаг. Хамгаалалтын систем төгс ажиллахгүй байж болно. Ийм тохиолдолд, банкны ажилтнуудад сургалт зохион байгуулж, ажилтнууд өөрсдөө хуурамч имэйлийг таньдаг байх шаардлагатай. Тиймээс компаниуд нийт ажилчдадаа мэдээллийн аюулгүй байдлын сургалт явуулах хэрэгтэй. Мөн технологийн хүчээр зогсоож чадахгүй ч халдлагууд бий.

-Салбарын хувьд Монгол улс Дэлхийн түвшинд ажиллаж чадаж байгаа юу?

-Кибер аюулгүй байдлыг салбарт манай улсад нэг том сул тал бий. Энэ нь Монгол улсын газар зүйн байршил нь хоёр том гүрний дунд байрладаг. Өөрөөр хэлбэл тухайн улсууд нь Монгол улсын мэдээллийг байнгын өөрсдийн хараанд байлгах зорилготой төрийн хэвшлийн байгууллагууд руу чиглэсэн халдлага хамгийн их үйлддэг.

Ялангуяа Хятадын хакерын бүлэглэлүүд Монголын төр лүү чиглэсэн халдлагыг их үйлддэг. Жишээ нь хэд хоногийн өмнө Palo Alto Unit42 гэх аюулгүй байдлын дэлхийн судалгааны байгууллагаас Зүүн Ази руу чиглэсэн халдлагуудын талаар судалгааны тайлан гарсан.

Судалгаагаар Хятадын хакерууд Зүүн Ази руу зохион байгуулалттай хийсэн долоон халдлага байжээ. Үүний гурав нь 2013 оноос өнөөдрийг хүртэл манай улс руу чиглэсэн халдлага байсан. Иймэрхүү олон улсын судалгааны тайланд халдлага үйлдсэн гэдгийг илрүүлдэг ч дата, мэдээллээ алдсан эсэхээ талаар дурдаагүй байдаг. Тиймээс төр тухайн мэдээллийг алдсан эсвэл алдаагүй гэдгийг баталж чадахгүй юм.

-Халдлагаас хамгаалах зайлшгүй баримтлах стандарт, системүүд байдаг биз дээ?

-Банк болон бусад томоохон байгууллагууд стандартуудыг хангах шаардлагатай байдаг. Тухайлбал, МАБ-ын ISO27001 стандартыг хэрэгжүүлснээр мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог бүрдүүлчихсэн гэж ойлгож болно. Мөн PCI-DSS гэх олон улсын төлбөрийн картны системийн аюулгүй байдлын стандартыг хэрэгжүүлдэг. Үүнээс гадна сүүлийн үед эрчимтэй яригдаж байгаа олон улсын хуулийн шаардлагууд бий. Энэ нь GDPR буюу Европын хувь хүний өгөгдөл хамгаалах тухай хууль батлагдсан.

Үүнтэй холбогдуулан хэрэв Монгол улсад үйл ажиллагаа явуулж байгаа байгууллага нь Европын холбооны аль нэг улсын харилцагчийн өгөгдөл хадгалдаг бол тэндэхийн хуулиар шийдвэрлэгдэх учир тус хуулийг дагаж мөрдөх болдог.

-Кибер халдлагын жишээн дээр тайлбарлаж өгнө үү?

-Компьютер барьцаалах гэмт хэргийн тоо 2017 оноос эхлэн тасралтгүй нэмэгдэж байна. Энгийнээр тайлбарлавал, таныг ажлаа хийгээд сууж байхад зүгээр л нэг и-мэйл ирнэ. Юу юм бол гээд ороод үзэнгүүт юу ч гарч ирэхгүй. Ингээд юу ч бодолгүй ажлаа хийж байхад хэсэг хугацааны дараа эсвэл компьютероо унтраагаад асаахад таны чухал файлууд нээгдэхгүй болчихсон байдаг. Улмаар дэлгэцэн дээр төлбөр нэхэх замаар айлган сүрдүүлж, чухал файлуудыг нь буцаан өгдөг.

Өөрөөр хэлбэл, чухал файлуудыг нь барьцаалж байна гэсэн үг. Энэхүү гэмт хэрэгт хүмүүс хулхи, үйлдлийн системүүдийн хууль бус лиценз ашигласнаар их өртдөг. Мөн нэгэн сонирхолтой тохиолдол бий.

2017 онд Japan Airlines авиа компанийн нягтланд захирлаас нь Boing компниас онгоц түрээслэхээр гэрээ хийгээд 3.1 сая ам.доллар төлбөр мөнгийг шилжүүлэх болсныг хэлжээ. Яг мөнгө шилжүүлэх үед нь Boing компниас дотоод аудит хийлгүүлсэн учир дансны дугаараа өөрчилсөн гэх и-мэйл иржээ. Нягтлан данс нь үнэхээр өөрчлөгдсөн эсэхийг шалгалгүйгээр өөрчлөгдсөн гэх данс рүү төлбөрийг шилжүүлчихсэн. Ингээд долоо хоногийн дараа хакердуулж буруу данс руу төлбөр хийснээ мэдсэн.

Ийнхүү тухайн захидал харилцааны нууцад дундаас нь хакер орж 3.1 сая ам.долларыг алдсан тохиолдол гарсан. Тиймээс аливаа мэдээллийг давхар өөр сувгаар баталгаажуулах хэрэгтэй. Зарим хүмүүс шалгахдаа хакерын и-мэйл буцаагаад танайх яг мөн үү гэж асуусан байдаг. Тэгэхээр хакер нь буцаагаад л мөн гэж хариулах нь ойлгомжтой. Давхар баталгаажуулах сувгаа ч найдвартай эсэхийг шалгах нь зүйтэй.

-Энэ тохиолдолд Монголын хууль тогтоомж хариуцлага хүлээлгэх чадвартай юу?

-Монголд эрүүгийн тухай хуулинд компьютерийн мэдээлэл, сүлжээнд зөвшөөрөлгүй халдах гэсэн зүйл заалт байдаг. Гэхдээ зарим тохиолдолд энэ нь учир дутагдалтай. Дээрх бизнесийн байгууллагын имэйл хаягаар залилан хийсэн үед манайд бол компьютер мэдээлэл хамгааллын гэхээсээ илүү залилан гэж үзэн харьцангуй бага шийтгэл ногдох боломжтой. Тиймээс зарим хууль заалтуудыг том хэмжээнд харж, хариуцлага тооцох хэрэгтэй. Мөн удахгүй УИХ-д мэдээллийн аюулгүй байдлын тухайн хуулийг өргөн барих гэж байгаа гэж хувийн эх сурвалжаас сонссон. Энэ хууль бол бидэнд зайлшгүй хэрэгтэй хууль.

-Мэдээллийн аюулгүй байдлын дэлхийн чиг хандлага хаашаа чиглэж байгаа вэ?

-Мэдээллийн аюулгүй байдлын салбарын мэргэжилтнүүд өмнө нь зөвхөн байгууллагынхаа дотоод сүлжээнд байгаа сервер, түүн дээр ажиллаж байгаа програмуудыг хамгаалдаг байсан. Тэгвэл өнөөдөр байгууллагууд нь үүлэн технологи руу шилжиж байна. Ингэснээр мэдээллийн аюулгүй байдал, найдвартай байдлыг үүлэн технологи үйл ажиллагаа явуулж байгаа компани хариуцахаар болсон. Мөн шинэ үеийн хамгаалалтын системүүд нь хиймэл оюун ашиглаж халдлага үйлдэж буй хүмүүсээс суралцаж хамгаалалтын алгоримтуудыг боловсруулдаг болсон.

-Та яагаад мэдээллийн аюулгүй байдалын салбарыг сонгох болсон бэ?

-Миний хувьд бол багаасаа компьютер, программ хангамжийн чиглэлд сонирхолтой байсан. Тухайн үед мэргэжлээ сонгох гэж байхад ШУТИС-д компьютерийн мэдээлэл хамгааллын системийн анги байгуулагдаж байсан. Таньдаг ах маань надад энэ чиглэл илүү ирээдүйтэй гэж зөвлөн дэмжсэний дагуу орсон. Би өөрийгөө кино дээр гаргадаг ёст зүйт хакер шиг болохийг хүсээд энэхүү мэргэжлийг сонгосон.

Одоо үеийн хүүхдүүд энэ чиглэлээр ёст зүйт хакерийн “Харуул занги” тэмцээнд оролцож өөрийгөө нээж, салбараа илүү ойлгож сонгох боломжтой. Тус тэмцээн насанд хүрэгчдэд зориулсан болон арван жилийн хүүхдүүдэд зориулсан “U18” тэмцээн гэсэн хоёр төрлөөр зохион байгуулдаг. Энд хүүхдүүд аюулгүй байдлын чиглэлээр илүү мэргэшиж байгаа.

-Олон нийт цахим орчинд өөрсдийгөө хэрхэн хамгаалах хэрэгтэй вэ?

-Байгууллагуудын хувьд албан ёсны үйлдлийн системийг ашиглаж сурах хэрэгтэй. Өөрөөр хэлбэл, лиценз төлж, найдвартай систем ашиглах юм. Өдөр болгон компьютер, тоног төхөөрөмжөө шинэчилж байх хэрэгтэй. Мөн компьютерийн вирусийн эсрэг программуудыг тогтмол ашиглаж сурах нь чухал. Түүнчлэн сэжиг бүхий танд хамааралгүй имэйл хаягуудыг нээж үзэхгүй байхыг зөвлөж байна. Жишээ нь, хэрэв таныг Амазон компаниас бараа захиалаагүй байхад таны бараа захиалга сануулах төрөл бүрийн и-мэйл ирж болно. Ийм төрлийн халдлагууд түгээмэл.

Мөн өөрийн нийгмийн сүлжээ болох фэйсбүүк, инстаграмынхаа нууцыг хүчирхэг зохиох, мөн хоёр дагч баталгаажуулалтын арга хэрэгсэл ашиглаж нэвтэрдэг болгох шаардлагатай. Жишээ нь фэйсбүүк рүү нэвтрэхдээ нууц үгээ оруулсны дараа заавал гар утас дээрээ нэвтрэх нэг удаагийн нууц үгийг оруулж нэвтэрдэг. Энэ нь зөвшөөрөлгүй хэн нэгэн таны нийгмийн сүлжээ руу нэвтрэх боломжгүй болгох юм.

Б.Мөнхбайгаль

---