Энэ оны 6 дугаар сард Касперски лабораториос Монголын төрийн байгууллага хакердуулсан байна гэсэн мэдээлэл гарсныг сошиалын идэвхтнүүд өлгөж аваад жаал шуугив. Уг асуудлын талаар зарчмын ойлголтыг жишээн дээр тайлбарлая.
Цахим халдлага үйлдэгч этгээдийг үндсэнд нь 4 хувааж болно.
- Скриптчин (script kiddie)
- Хактивист (hacktivist)
- Ашиг хонжоо хайгч (carders, skimmers, phishers etc)
- Төр (nation state sponsored)
- Скриптчин бол ойр зуур автомат багаж (tool) ажиллуулж системийн цоорхойгоор нэвтэрдэг анхлан суралцагч маягийн нөхдүүд. Мэдээж хэрэг хорлонтой, гэхдээ хамгаалж чадсан байхад учрах аюул нь харьцангуй бага. Зарим тохиолдолд мөнгөний төлөө халддаг бол ихэнх тохиолдолд нэр хүндээ өсгөж, эгогоо тэжээх гэж халдлага үйлддэг.
- Хактивист буюу хак+активист нь өөрийн үзэл бодлыг цахим орчинд илэрхийлж буй нэгэн. Гудамжинд лоозон бариад аятайхан жагсаж чадахгүй заавал хажуугийн байшингийнх нь цонхыг хагалдаг нөхдүүд шиг үзэл бодлынхоо эсрэг этгээдүүд рүү дайрч уур хилэнгээ гаргадаг. Мэдээж хэрэг аюултай, гэхдээ ганц нэгээрээ бол том асуудал биш. Олноороо нэг зүйлийн төлөө нэгдвэл эвгүйтнэ. Хамгийн том жишээ бол Анонимс групп. Болж өгвөл чангахан чимээ гаргах сонирхолтой, өөрөөр хэлбэл хийж байгаа үйлдлээ аль болох олон нийтэд мэдэгдэж байх нь чухал.
- Ашиг хонжоо хайгч бол ойлгомжтой, цахим мэдээлэл ашиглан мөнгө олж болох бүх л арга хэрэгслийг ашиглагч нэгэн. Нийт амжилттай цахим халдлагын дийлэнх хувь нь эдгээр этгээдүүдэд хамаарна. Хорлонтой бөгөөд оппортунист, юу ч голохгүй, хамгийн хялбар аргаар богино хугацаанд ахиухан мөнгө олох зорилготой. Мэргэшил тус бүрээрээ ялгарч улам бүр зохион байгуулалтад орж цахим “зэвсгээ” наймаалцдаг өөрсдийн гэсэн хар захтай хүртэл болоод авсан. Монголд ч гэсэн гарч буй цахим гэмт хэргийн дийлэнх нь энэ ангилалд харьяалагдаж байгаа байх.
- Сүүлийн ангилал нь төрийн тусгай хүчнүүд эсвэл төртэй хамааралтай (хөлсний гэмт хэрэгтнүүд гм) этгээдүүд. Эдгээр нөхдүүдэд мөнгө сонин биш, гол нь нууц мэдээлэл олж авах бөгөөд түүнийхээ төлөө хэдэн сар жилээр ч хамаагүй уйгагүй оролдлого хийнэ. Хамгийн сүүлийн үеийн хэний ч мэдээгүй нүх цоорхойг (0 day vulnerability) ашиглан хэнд ч мэдэгдэхгүйгээр чимээгүйхэн нэвтэрч шаардлагатай мэдээллээ олж авна. Ийм үйлдлээрээ хамгийн алдаршсан нь манай хоёр хөрш. Мэдээж хэрэг төр нь байнга үгүйсгэдэг ч БНХАУ-ын Ардын Чөлөөлөх армийн цэргийн ангиуд болон ОХУ-ын КГБ-ээс санхүүждэг гэх хувь хүмүүс олон нийтэд ил болоод эрэн сурвалжлагдаад байгаа. Энэ нөхдөөс хэрхэн хамгаалах учраа салбартаа номер 1 гэгдэх Америкийн төр ч хараахан олж чадаагүй явна. Касперски тайланд дурдсанаар бол энэ удаад бид “дахин нэг” Төр эсвэл Төрөөс санхүүжигч этгээдтэй учирсан бололтой.
Нэгэнт хамгаалж чадахгүй юм бол аюулгүй байдлаар яах вэ гэж бодогдох байх. Ядаж эхний хоёр төрлийн халдагчдаас бүрэн хамгаалах, гуравдах төрлийн халдлагаас учрах хохирлыг хамгийн багад барих болон Төр эсвэл төрөөс санхүүжигч нэгний халдлагаас чадлынхаа хэмжээнд сэргийлэхэд аюулгүй байдлын нэгжийн үндсэн зорилго оршино.
Гэтэл бодит байдал дээр Монголд кибер аюулгүй байдал гэж айлын шоовдор хүүхэд шиг салбар байна. Төр ч тэр, хувийн компаниуд ч тэр кибер аюулгүй байдлыг зардал л гэдэг өнцгөөс төвөгшөөж хардаг. Энэ салбарыг зохицуулах хууль нь хүртэл батлагдахгүй 3 парламент дамжиж байна. Хууль болон хуулийн хэрэгжилтийг хангах тодорхой механизм нь байхгүй нөхцөлд хувийн компаниудад аюулгүй байдлаа сайжруулах хөшүүрэг байхгүй. Мэдээж хэрэг эдийн засгийн өнцгөөс нь харахад хэн ч гэсэн хий гэж тулгаагүй асуудалд мөнгөө үрэхийг хүсэхгүй.
Нөгөө талд нь олон нийт цахим хэрэглээ, цахим эрсдэл, хувийн нууцын талаарх ойлголт тун тааруухан. MNCERT/CC ТББ-аас энэ талаар мэргэжилтнүүд, олон нийтийн мэдлэгийг сайжруулах зорилгоор янз бүрийн арга хэмжээ зохион байгуулдаг. Сүүлийн 5 жил дараалан MNSEC арга хэмжээнд хэвлэл мэдээллээс урьсан боловч нэг нь ч ирж байсангүй. Харин томоохон компаниас гоё газарт тансаг байдлаар зохион байгуулж байгаа сурталчилгааны шахуу арга хэмжээг бол хэд хоног сурталчилсан даа.
Монгол дахь манай салбарынхныг тасарчихсан мундаг гэж хэлж чадахгүй. Гэхдээ яг үнэндээ хүчирхэг гүрнүүдийн тусгай албадын эсрэг сая хүрэхгүй төгрөгийн цалинтай хэдэн инженер тавьчхаад ямар том үр дүн хүлээсэн юм бэ.
Эцэст нь аюулгүй байдлынхныг “юмс хэвийн ажиллаад байвал би яах гэж аюулгүй байдалд мөнгө зарцуулах юм гэнэ, юм болохоо байгаад эхэлбэл бид нар яах гэж ингэж их мөнгө зарцуулсан юм” гэж хардаг нийтлэг хандлага ажиглагдах юм даа.
М.ОТГОНПҮРЭВ
/Аюулгүй байдлын мэргэжилтэн/
Холбоотой мэдээ