С.Жавхлан: Кибер халдлагад өртөх эсэх нь 95 хувь таниас хамаарна

Кибер халдлага, зөрчилтэй тэмцэх нийтийн төвийн захирал С.Жавхлантай ярилцлаа.

-“Интермед” эмнэлэг кибер халдлагад өртлөө. Үүнээс үүдэн ямар эрсдэлүүд бий болох вэ?

-Хувь хүний нууцыг алдаж байна гэдэг тэр чигээрээ эрсдэл. Эхний ээлжид санхүүгийн эрсдэлд орж байгаа байх. Эрүүл мэнд, нэр хүнд гээд асар олон төрлийн эрсдэл дагуулна. Тухайн эмнэлэг ч гэсэн эрсдэлд орж байгаа байх. Нөгөө талаасаа “Интермед” эмнэлэг хохирогч юм. Кибер аюулгүй байдал улс орны хэмжээнд ч эрсдэл үүсгэх боломжтой. Энэ ч утгаараа кибер аюулгүй байдал үндэсний аюулгүй байдлын нэг хэсэг байдаг.

-Та бүхэн “Интермед” эмнэлгийг кибер халдлагад өртөж байгаа эсэхийг урьдчилан мэдсэн үү?

-Бид халдлага байж болзошгүй талаар тус эмнэлэгт мэдэгдсэн. Зохих ёсны арга хэмжээг ч тухайн эмнэлэг аваад явж байсан. Ер нь байгууллагууд кибер халдлага, зөрчлөөс урьдчилан сэргийлэх төлөвлөгөөтэй байх ёстой. Хуулиараа ч тийм үүрэг хүлээдэг. Мөн нэгэнт халдлага үйлдэгдэж байх юм бол ямар хариу үйлдэл үзүүлэх юм, халдлага үйлдэгдчихсэн байх юм бол хэрхэн хохирол багатайгаар даван туулж, нөхөн сэргээх юм гэдэг үндсэн гурван хэсэг байгаа. Урьдчилсан сэргийлэх дээр илүү анхаарах хэрэгтэй.

Кибер халдлага, зөрчлийг түрүүлж мэдэх боломж байгаа ч бид Монгол Улсын хэмжээнд хянах боломжгүй. Манай байгууллага гэхэд өнөөдрийн байдлаар 145 байгууллага руу “Танайд ийм эрсдэл байна шүү” гэдгийг урьдчилсан сэргийлэх байдлаар мэдэгдээд ажиллаж байна.

-Монгол Улс Кибер аюулгүй байдлын тухай хуультай болсон. Хуулийн дагуу кибер аюулгүй байдлын эрсдэлийг үнэлэхийн тулд аудит хийх ёстой. Хэн аудит хийх вэ, ямар зарчмаар явах вэ?

-Кибер аюулгүй байдлын тухай хуульд мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ хийх ёстой гэж заасан байдаг. Аудитыг Цахим хөгжил, инновац, харилцаа холбооны яамнаас тусгай зөвшөөрөл авсан аж ахуй нэгж хийх ёстой. Одоогоор 33 аж ахуй нэгж бий. Байгууллагууд тэдгээр 33 аж ахуй нэгжийн мэдээллийг Цахим хөгжил, инновац, харилцаа холбооны яамны вэбсайт дээрээс авч болно. Байгууллагууд тэдгээр аж ахуй нэгжүүдээс сонгон аудитаа хийлгэх боломжтой. Мөн олон улсын аудит хийлгэж болно. Олон улсын аудитыг хүчин төгөлдөрт тооцно.

-Аудитын байгууллагыг ямар туршлагатай байхыг шаарддаг вэ?

-Аудитын байгууллагад хуулийн дагуу болон журмаар хэд хэдэн шаардлага тавигддаг. Нарийн мэргэжлийн инженер, техникийн ажилчидтай байх буюу хүн хүч, техник хэрэгсэлд тавигдах шаардлагууд бий. Тэдгээрийг хангасан байгууллагууд сертификатаа авч байгаа. Эдгээр байгууллагууд аудит хийснийхээ дараа тус тусын харъяалагдах төвүүдэд мэдээлэл өгөх ёстой.

-Зөвхөн төрийн байгууллагуудад л мэдээллийн аюулгүй байдлын аудит хийх ёстой байдаг уу?

-Засгийн газраас онц чухал мэдээллийн дэд бүтэцтэй байгууллагын жагсаалтыг баталдаг. Энэхүү жагсаалтад орсон байгууллагууд мэдээллийн аюулгүй байдлын аудитыг хийлгэх үүрэгтэй. Эдгээрт төрийн байгууллага ч бий, хувийн хэвшил ч байгаа. Нийт 252 байгууллага байдгаас 85 нь хувийн хэвшлийн байгууллага бий.

-Онц чухал мэдээллийн дэд бүтэцтэй байгууллага гэдэгт яг ямар байгууллагууд байна вэ?

-Салбараар нь ангилаад үзвэл банк санхүү, тээвэр шатахуун, эрчим хүч, эрүүл мэнд, үүрэн сүлжээ, цахилгаа холбооны байгууллагууд багтдаг. Мөн иргэдийн хувийн мэдээллийг хуримтлуулдаг, ашигладаг байгууллагууд багтана.

-Мэдээллийн аюулгүй байдлын аудит хийгээд эрсдэлтэй гэж дүгнэвэл яах вэ?

-Аудит эрсдэлтэй гэж дүгнэх юм бол гаргасан зөвлөмжийн дагуу эрсдэлүүдийг арилгах ёстой.

-Байгууллагууд эрсдэлтэй гэх дүгнэлтийг хэр их авдаг бол?

-Кибер аюулгүй байдлын тухай хууль хэрэгжээд удаагүй байгаа учраас одоогийн байдлаар манайх дээр есөн байгууллагын л аудитын үнэлгээ ирсэн байна. Бид тухай бүрд нь ажиллаж, эрсдэлийн үнэлгээнүүдийг хийж байгаа.

-Ер нь манай кибер аюулгүй байдал ямар түвшинд байна вэ?

-Дэлхийн цахилгаан холбооны байгууллага жил бүр индекс гаргадаг. Энэ жилийн индексээр Монгол Улс 103-т жагссан. Энэ нь харьцангуй дээшилсэн тоо. Ангиллын хувьд манайх дундаж ангилалд байгаа. Бид 100 онооноос 52 оноо авсан. Дэлхийн цахилгаан холбооны байгууллага таван үндсэн шалгуураар индексээ тогтоодог. Шалгуур бүртээ 20 оноо өгдөг. Манай улс эрхзүйн чиглэлээр 20 онооноос 19.2 оноо авсан. Үндсэндээ эрхзүйн орчин маань сайн бүрдсэн гэсэн үг. Гэхдээ цаашдаа сайжруулах зүйл байхгүй гэж ойлгож болохгүй. Засаж, сайжруулах зүйлс бий.

-“Интермед” эмнэлгийн жишээтэй холбоотойгоор бидний хувийн мэдээлэл аюулгүй байж чаддаг уу гэх болгоомжлол яалт ч үгүй төрж байна л даа. Тэгэхээр онц чухал мэдээллийн дэд бүтэцтэй байгууллагад ордоггүй хэр нь хүний хувийн нууцыг авч ашигладаг, хадгалдаг байгууллагууд аюулгүй байдлаа хангах үүрэг хүлээх үү?

-Хувь хүний мэдээллийг хадгалж л байгаа Хувийн мэдээлэл хадгалах тухай хуулиараа үүргээ хүлээчихсэн байгаа. Тэр үүргийнхээ дагуу мэдээллийн аюулгүй байдлыг хамгаалах ёстой. Энэ нь өөрөө Зөвхөн Монголын ч биш дэлхийн асуудал болчхоод байна л даа. Дэлхий өөрөө ийм шинэ сорилттой тулгарч байна. Дэлхий өөрөө цахимжиж байна. Цахимжихын хэрээр аюулгүй байдал эрсдэлд орж байгаа. Цаас бүдүүлэг боловч аюулгүй байх магадлал нь харьцангуй өндөр. Нэг газар хадгалчих нь. Хулгай орохгүй, шатчихгүй л бол байж байна.

Цахимжилтыг дагаад аюулгүй байдал зэрэгцээд явах ёстой. Гэхдээ цахимжиж байгаа хэсэг маань түрүүлж яваад аюулгүй байдлын хэсэг харьцангуй удаан явж байна. Яагаад гэхээр үүнийг зөвхөн технологиор шийдэж болохгүй байгаа юм. Олон улсын судалгаагаар кибер аюулгүй байдалд өртөх эсэх нь 95 хувь хүний өөрийн үйлдэлтэй холбоотой байдаг. Кибер аюулгүй байдлаас хамгаалж байгаа нэг хэлбэр нь аюулгүй байдлын прогромм мөн л дөө. Хамгийн гол нь хүмүүс кибер аюулгүй байдлаа хамгаалдаг, мэдлэг мэдээлэлтэй, дадал зуршилтай болох нь чухал байгаа юм.

‍