Г.Мөнхсүх: Иргэдийн эрүүл мэндийн мэдээллийг төрийн мэдээллийн системээр солилцож байгаа бол энэ л жинхэнэ аюул

Өндөр төлбөртэй “Интермед” эмнэлгээр үйлчлүүлдэг 280 мянган иргэний хувийн мэдээлэл эрсдэлд орсон асуудал нийгмийн анхаарлын төвд байна. Ер нь манай орны мэдээллийн аюулгүй байдлын хамгаалалт ямархуу байдаг талаар мэргэжлийн хүний байр суурийг хүргэж байна. Мэдээлэл, технологийн менежментийн зөвлөх, Зам тээврийн салбарын инноваци, мэдээлэл технологийн холбооны тэргүүн Г.Мөнхсүхтэй ярилцлаа.

-“Интермед” эмнэлэг өвчтөнүүдийнхээ мэдээллийн дата баазыг гадныханд алдчихлаа. Мэргэжлийн хүний хувьд энэ халдлагыг хэрхэн харж байна вэ?

-“Интермед” эмнэлэг үйлчлүүлэгчдийнхээ мэ-дээллийг ямар байдлаар хадгалдаг байсан талаар нарийн мэдээлэл алга байна. Цахим сүлжээнд “Kaspersky” вирусийн хамгаалалт ашигладаг байсан. Ер нь ОХУ, Казахстан зэрэг улсад “Kaspersky” хэрэглэдэг зарим байгууллага иймэрхүү халдлагад өртсөн гэх мэдээлэл яваад байгаа. Мэдээллийн аюулгүй байдлыг олон улсад хэд хэдэн түвшинд эрэмбэлж үздэг. Нэгдүгээрт, хувь хүний мэдээллийн аюулгүй байдал байна. Бид өдөр тутамд өөрийн гар утас, компьютер дээр янз бүрийн мэдээллээ нийлүүлж, хадгалж, солилцож байдаг. Энд хувь хүний өөрийн мэдлэг, хариуцлагын тухай асуудал яригддаг. Жишээлбэл, хүмүүс ихэвчлэн “фэйсбүүкээ хакердуулчихлаа” гэж ярьдаг даа. Хэрвээ фэйсбүүк компани хакердуулаад хэрэглэгчийнхээ мэдээллийг алдчихдаг бол зах зээлээс шууд л арчигдана. Бидний мэдэх Microsoft, Google, Facebook зэрэг компаниуд зах зээлд яагаад хүчтэй байна вэ гэвэл мэдээж үндсэн хөгжүүлэлтээс гадна мэдээллийн аюулгүй байдал, нууцлалын бодлого гэх мэтээрээ ялгарч байгаа юм. Тэгэхээр санаатай санамсаргүй нууц үгээ алдсанаа хакердууллаа гэж хэлж болохгүй. Хоёрдугаарт, нийтийн мэдээллийн аюулгүй байдлын асуудал байна. Энд ISO 27001:2023 гэж мэдээллийн аюулгүй байдлын олон улсын стандартыг дагаж мөрдөх тухай ойлголт багтана.

Зарим улс орнууд өөрсдийн стандарттай байдаг. Харин манай улс ISO 27001-г бүртгэж мөрдөж эхэлсэн нь сайн хэрэг. Энэ стандартаар нийтийн мэдээллийг цуглуулж, солилцож, сервис үзүүлж байгаа байгууллагууд үйлдлийн системээс эхлээд, хамгаалалтын систем, серверийн орчинд ямар шаардлагыг хангах вэ гэдгийг нарийвчилж зааж өгсөн байдаг. Байгууллагууд мэдээллийн аюулгүй байдлаа олон улсын стандартад хүргэхийн төлөө ажиллах хэрэгтэй гэдгийг “Интермед” эмнэлэгтэй холбоотой үйл явдал харуулж байгаа юм.

-Хакерчид тус эмнэлгээс 50 мянган ам.доллар нэхсэн юм билээ. Энэ мөнгийг өгөөгүй болохоор “Интермед”-ийн үйлчлүүлэгчдийн мэдээлэл хар захад байршиж эхэлсэн. Энэ нь ямар аюултай вэ?

-Нэгдүгээрт, тэр мөнгийг төлсөн тохиолдолд аюул арилна гэсэн ямар ч баталгаа байхгүй. Төлчихсөн бол асуудал шийдэгдэх байсан мэтээр харах нь бас өрөөсгөл. Хоёрдугаарт, нийтийн мэдээлэл ингэж бөөнөөр алдагдах нь ямар аюултай вэ гэвэл, цахим гэмт хэргийн зонхилох хэлбэр нь залилан, түүний дараа хүчирхийллийн шинжтэй гэмт хэргүүд ордог. 2023 онд цахим гэмт хэргийн улмаас 12.5 тэрбум ам.долларын хохирол учирсан. Зөвхөн АНУ-д гэхэд 880 мянган хүн цахим гэмт хэргийн хохирогч болсон гэх статистик бий. Цахим гэмт хэрэг жил бүр 10 хувиар өсч байгаа. Аж үйлдвэржилтийн V хувьсгал, дижитал шилжилт гэж яриад байгаа томоохон хөгжил, үсрэлттэй зэрэгцээд томорч байгаа сүүдэр, хар бараантай тал нь энэ. Хакеруудаас худалдаж авсан олон мянган хүний хувийн мэдээллийг төрөл бүрээр ангилж зохиомол хаяг, банкны карт үүсгэж цаашаа өөр бусад хүмүүсийг залилахад ашиглах нь түгээмэл. “pig butchering” нэртэй залилан олон улсад нэлээд шуугиан дэгдээсэн. Энэ нь тодорхой хүмүүсийг онилж, сошиал хаягаар, эсвэл утсаар танилцаж, урт хугацаанд дотносох замаар итгэлийг нь олж аваад их хэмжээний мөнгийг нь залилаад ор мөргүй алга болдог. Хятадад анх үүсч, зүүн өмнөд ази, ойрхи Дорнодыг нэлээд шуугиулсан. Хэргийн кейсүүд нь үнэхээр мэргэжлийн. онилсон хүнтэйгээ хэрхэн сэжиг авахуулахгүй санамсаргүй танилцах, яаж харилцаа үүсгэх тал дээр нь мэргэжлийн сэтгэл зүйч ажиллаж, сэжигтэй санагдаад видео дуудлага хийвэл ярих хүн нь хүртэл бэлэн байж байдаг. Яг л бодит хүн мэт өдөр тутам пост оруулж, сошиал хаягаа хөтөлдөг гэж байгаа юм. Компаничлагдсан өндөр зохион байгуулалттай, олон талд зэрэг ажиллагаа явуулдаг. огт яардаггүй, маш мэргэжлийн няхуур ажилладаг гэж байгаа юм. Тийм учраас л “гахай задлах” гэж нэрлэсэн. Бага багаар таргалуулж, томруулсаар байгаад нэг л өдөр задална гэсэн үг. Хэргийн бай нь хаана ямар хөрөнгөтэй, амьдралын хэв маяг, сонирхол гэх мэт хувийн мэдээллүүдээ алдсан байдаг. Хэрэгтэн ч хэн нэгний хувийн мэдээллийг ашиглаж зохиомол хүн үүсгэсэн байдаг. Тэгэхээр ингэж хувийн мэдээллээ алдана гэдэг нэг бол бай болж хохирох, эсвэл зохиомол дүр болоод бусдыг хохирооход ашиглагдах магадлалтай гэсэн үг. Дараагийн ноцтой асуудал нь өсвөр насны хүүхдүүдийг ашигласан төрөл бүрийн хүчирхийллийн гэмт хэргүүд байна. Танилцаж дотносон элдэв зураг бичлэг, хувийн мэдээллийг нь гартаа оруулж дарамтлах, хүчирхийлэх гэмт хэрэг дэлхий нийтийн санааг маш их зовоож байна. Монгол Улсад хүртэл энэ асуудал маш эмзэг, хамгаалалт зохицуулалт шаардаж байгаа.

-Тус эмнэлэг өвчтөнүүдийнхээ дата баазыг сэргээхээр ажиллаж байна гэж байсан. Хэдий хугацаа зарцуулдаг юм бол?

-Баазын зохион байгуулалт, Back-Up шийдэлтэй эсэх гэх мэт зүйлээс шалтгаална л даа. Өнөөдрийг хүртэл энэ талын мэдээллийг үйлчлүүлэгчиддээ өгөөгүй л байна. Төрийн хяналт шалгалт ороод мэдээллээ аваад явж байгаа гэсэн. Тэгвэл мэдээллээ алдсан үйлчлүүлэгчид ч ижил түвшний мэдээлэл авах эрхтэй шүү дээ. Баазаа бүрмөсөн устгуулсан уу. Эсвэл хуулбарлуулсан уу. Үгүй бол түгжүүлсэн үү. Аль нь ч тодорхойгүй байна.

-Дахиад өөр эмнэлгүүд датагаа алдлаа гэж байна. Аюулгүй байдлын хамгаалалт тийм сул байдаг хэрэг үү?

-Нэг ийм дайралт болоод онгорхой алдааг нь олчихвол ижил төрлийн баазууд руу халдах тохиолдол нэмэгддэг. Ижилхэн алдаа байна уу гэдгийг л хайж байгаа хэрэг. Тухайн эмнэлэг яг ямар зохион байгуулалтаар бааз байгуулж, үйлдлийн систем, хамгаалалтын систем нь юу ашиглаж байсан бэ гэх мэт олон асуудал энд хөндөгдөнө. Тэгж байж дүгнэлт хийнэ л дээ. Манайд нийтлэг байдаг алдаа гэвэл, дата серверээ стандартын бус орчинд ажиллуулдаг. Лицензгүй программ ашигладаг, түвшин болгонд тохирсон хамгаалалтын систем ашигладагүй, товчхондоо мэдээллийн аюулгүй байдалдаа мөнгө зарцуулдаггүй асуудал хаа сайгүй л байна. Эмнэлгүүд ийм алдаа гаргасан бол тухайн байгууллагын хариуцлагын асуудал. Ийм задгай, онгорхой байгууллагатай иргэдийн эрүүл мэндийн мэдээллийг төрийн мэдээллийн системээр солилцож байгаа бол энэ л жинхэнэ аюул, хариуцлага ярих ёстой сэдэв мөн.

-Ингэхэд төрийн байгууллагуудын дата бааз найдвартай хамгаалагдаж чаддаг уу?

-Төрийн байгууллагуудын хувьд нэг үеэ бодвол аюулгүй байдлын тогтолцоо сайжирсан. Гол баазууд байрлаж байгаа “Үндэсний дата төв” гэж байгууллага бий. Тэнд мэргэжлийн инженер, аюулгүй байдлын ажилтнууд олон улсын стандарт, дүрмийн дагуу аюулгүй байдлыг хангаад, үүргээ биелүүлээд явдаг. Анхан шатны үйлдлийн систем, вирусийн болон сүлжээний халдлага гэх мэт түвшин бүрт олон улсад ашиглаж байгаа программ хангамжуудыг ашиглаад хамгийн сүүлд физик орчны хамгаалалтууд орж ирнэ. Тэр бүх аюулгүй байдлын протоколууд хийгдээд явж байгаа. Харин нийтийн мэдээллийг нийлүүлж байгаа, авч ашиглаж буй бусад систем, баазууд дээр аюулгүй байдал хэрхэн хангагдаж байна вэ гэдэг л өөрөө ноцтой том асуудал болчихоод байна.

-Өнгөрсөн долоо хоногт Цахим хөгжил, инноваци харилцаа холбооны сайд сэтгүүлчдэд өгсөн мэдээлэлдээ “Онц чухал мэ-дээлэл хадгалдаг төрийн байгууллагууд мэдээллийн аюулгүй байдлаа хариуцсан мэргэжилтэнтэй болно” гэсэн. Мэдээллийн ажилтан тухайн байгууллагын цахим датаг хамгаална гэсэн үг үү?

-Асуудал үүсэхээр бүтэц үүсгэдэг буруу хандлагаа болих хэрэгтэй. Мэдээллийн аюулгүй байдлыг хангана гэдэг нэг мэргэжилтний хийдэг ажил биш. Бүх түвшний оролцоо шаардана, тодорхой өртөг шаардана, тодорхой стандартыг дагаж мөрдөхийг шаардана. олон улсын стан-дартууд тодорхой хугацааны дараа шилжилт хийдэг. Дээр хэлсэнчилэн ISO 27001-2023 гэдэг жишээ хамгийн сүүлийн шинэчлэлт хийгдсэн стандарт. Түүнээс өмнө ISO 27001-2020 гэж байсан. Шилжилт бүрт тохирсон мэдлэгүүдийг тогтмол олж авна. Хамгийн гол нь удирдлага, ажилтнуудын цахим ур чадварыг жигд сайжруулах шаардлагатай байна. Батлан хамгаалах, цэрэг тагнуулын байгууллагын мэдээллийн аюулгүй байдал бол тусдаа асуудал, илүү гүнзгий түвшний мэдлэг шаардсан харилцаа. Тэнд бол илүү өндөр түвшний бэлтгэгдсэн хүмүүс ажиллах нь зүй ёсны хэрэг.

-Ер нь манайхан лицензгүй албан ёсны бус хамгаалалтын программ хэрэглэдэг болохоор амархан гадны халдлагад өртөөд байна уу. Тэгэхээр дэлхийд хамгийн бест нь ямар хамгаалалт байна вэ?

-Түвшин болгонд өөр лиценз, программын тухай асуудал яригдана. Үйлдлийн систем бол “MacOS” “Windows”, бааз “Oracle” сүлжээний орчинд “Sisco” “Fortinet” гэх мэт нийтлэг хэрнээ сайн шийдлүүд байна. Хамгийн гол нь ямар ч систем авсан төлбөрөө цаг тухайд нь төлөх нь чухал. Манайд хугацаа нь дууссан “Cracked” систем ашиглах явдал түгээмэл байдаг. Мэдээллийн аюулгүй байдлын аудитын стандарт гэж бас бий. Монголд ийм үйлчилгээ үзүүлж байгаа 33 компани байдаг гэж сонссон. Байгууллагууд мэргэжлийн зөвлөх компаниар аюулгүй байдалдаа аудит хийлгээд шаардсан стандартыг нь нэвтрүүлэх хэрэгтэй. Зайнаас байгууллагын систем интерфейс, аюулгүй байдал, сүлжээ, юмсын интернэтийн менемжент үйлчилгээ үзүүлдэг мэргэжлийн компаниуд ч бий. Эсвэл тэдэнд мэдээлэл технологийн ярвигтай асуудлуудаа даатгаад, үйлчилгээг нь аваад явах хувилбар ч байна.

-Дата бааз руу халдсан хакерчдыг олж илрүүлэх ажил ямархуу байдаг юм бэ. Тэдэнд тооцох хариуцлага юу байна. Дэлхийн жишгээс сонирхуулахгүй юу?

-Энэ төрлийн гэмт хэргийг илрүүлэхэд төвөгтэй. Бүх ул мөр, IP хаягаа нуудаг. Улс үндэстэн дамнаж байрлалаа сольдог зэрэг амаргүй байдаг. Цахим гэмт хэрэгт өртсөн гэж бүртгүүлсэн хүмүүсийн цаана бүртгүүлээгүй нь түүнээсээ их гэж үздэг. Учир нь хувийн мэдээллээ алдсан, эмзэг мэдээллээр барьцаалуулсан хүмүүс хууль шүүхийн байгууллагад хандахгүй байх нь түгээмэл. Хариуцлагын тухайд Монгол Улс Эрүүгийн хуульд тодорхой зүйл ангиудыг зүйлчилж оруулсан. Зарим улс орнууд цахим орчинд зориулсан тусгай хуулиудыг мөрдөж эхэлсэн. Жишээлбэл, Англи улсад “Online Safety Act” гэж хуулийг энэ оны нэгдүгээр сараас мөрдөж байна.

Манайд ч ийм төрлийн хуулиудыг боловсронгуй болгох хэрэгцээ шаардлага бий. Учир нь дижитал нийгэм гэдэг нь бодит нийгэмтэй зэрэгцээ параллель нийгэм болсон учраас бодит нийгэмд хэрэглэж байгаа эрх зүйг системээр нь дижитал нийгэмд нутагшуулах ёстой гэх хандлага зарим судлаачдаас гарах болсон.

М.МӨНХЦЭЦЭГ

	Араар тавьсан нөхрөө харсаар хардах өвчтэй боллоо 34
	Архи уусны маргааш найз залуутайгаа чаталсан чатаа харахаар бүр үхчихмээр санагдах юм 25
	хадмууд, нөхрийн найзууд, ангийнхнаас ЖААХАН ХҮҮХДИЙН ТОЛГОЙ ЭРГҮҮЛЖ СУУЧХААД гэх үг хэдэнтээ сонслоо 31
	Хадмаас болоод нөхрөөсөө салаад хүүхдүүдээ аваад тусдаа өөрийнхөөрөө амьдарсан нь ч дээр гэж бодох боллоо 43

Мэдээний алба:	7711 4747 [email protected]
Маркетингийн алба:	8800 4147, 7711 4747 [email protected]
Оффис:	7711 4747 001 тоот, B1 давхар, Тусгаар тогтнолын ордон, Сүхбаатар дүүрэг

Энэ мэдээ таалагдаж байвал

Зочин · 3 цагийн өмнө

Зочин · 3 цагийн өмнө

Зочин · 3 цагийн өмнө

Зочин · 3 цагийн өмнө

3

1

2

3

4

5

Мэдээлэл

Хамтрагч