Харилцаа холбоо, мэдээллийн технологийн газрын Мэдээллийн технологийн бодлого, зохицуулалтын хэлтсийн дарга Б.Билэгдэмбэрэлтэй мэдээллийн аюулгүй байдлын талаар ярилцлаа.

-Шинэ зуунд мэдээлэл харилцааны технологийн хурдацтай хөгжлийг дагаад аюулгүй байдлын асуудал хурцаар тавигдаж байна.  Монгол Улс  мэдээллийн аюулгүй байдлаа хангаж чадаж байна уу?

-Тодорхой түвшинд хангах боломжтой. Төрийн байгууллагуудын хувьд төрийн холбооны мэдээлэл дамжуулах сүлжээ ашигладаг. Энэхүү сүлжээг тагнуулын  байгууллага хариуцдаг. Харин  томоохон хувийн байгууллагууд өөрсдөө дотроо мэдээллийн аюулгүй байдлаа стандартын дагуу дүрэм журам гаргаж мөрдөх, техник технологийн арга хэмжээ авах, хүний нөөцөө бэлтгэх хэлбэрээр хангаж ажилладаг. Иргэдийн хувьд  мэдээллийн аюулгүй байдлаа хангах наад захын  мэдлэг, ойлголттой байх ёстой. Ядаж л цахим орчинд хувийн мэдээллээ нийтэлдэггүй, нууц үгээ тогтмол солих зэрэг нь мэдээллийн аюулгүй байдлаа өөрийн зүгээс хамгаалж байна гэсэн үг.

Мэдээллийн аюулгүй байдал  гэж  ярихаар зөвхөн  технологи  талын  сэдэв  гэж  андуу  ойлгодог. Бодит амьдрал дээр технологи тал 20 хувь бол тухайн хүний зан үйл, мэдлэгийн асуудлаас шалтгаалсан мэдээлэл алдалт  80 хувь гэж  гардаг  нь  хувь  хүн  бүр мэдлэг, мэдээлэлтэй байж чадвал  мэдээллийн аюулгүй байдлыг 80  хүртэл хувиар бууруулах  боломжтой  гэж үздэг.

Үлдсэн 20 хувийн тухайд өндөр чадвартай мэргэжлийн баг, өндөр хүчин  чадал,тоног  төхөөрөмжүүд  шаардагдах  нь тодорхой.  Мэдээллийн  аюулгүй  байдлын  асуудлыг  авч  ярихдаа, монголын нөхцөлд, хүнийн зан үйл, мэдлэг чадварт түлхүү анхаарах  цаг  арга  буюу  тулж  ирж  байна.  Энгийн  жишээ татахад и-мэйл болон онлайн төлбөрийн хэрэглэгчийн нэр, нууц  үг  ижилхэн  эсвэл  нууц  үг нь  өөрийн төрсөн  огноо, утасны дугаар байх гэх  мэт  хүн  тодорхой  чиглүүлэгтэйгээр таачих боломжтой зүйл их байгаа нь хэрэглэгчийг эрсдэлд оруулдаг.  Ер нь мэдээллийн аюулгүй байдлыг хангахад хүний нөөц,техник технологи, бодлого, дүрэм журмаар зохицуулагддаг.

 -Мэдээллийн аюулгүй байдлаа баталгаажуулахын тулд яах ёстой вэ. Эрх зүйн орчныг сайжруулах шаардлагатай байх, тийм үү?

-Тиймээ. Манай улсад энэ чиглэлийн хууль тогтоомж хангалтгүй. Цахим мэдээллийн аюулгүй байдлыг хангах тухай хууль болон Хувь хүний өгөгдөл, мэдээллийг хамгаалах хуулийг нэн даруй батлах шаардлагатай. Цахим бодлогын түр хорооны ажлын ерөнхий төлөвлөгөөнд Төрийн мэдээллийн нэгдсэн сүлжээ, системийг сайжруулах, Иргэний хувийн өгөгдөл, мэдээллийн нууцыг хамгаалах,  Цахим мэдээллийн аюулгүй байдлыг хангах, үндэсний мэдээллийн дэд бүтцийг хамгаалах чадавх бий болгох гэх мэт  дөрвөн чиглэлээр ажиллахаар тусгагдсан. Энэ чиглэлээр ажиллахыг Цахим бодлогын түр хорооноос хүлээж байна даа. Мөн  хувь хүний өөрийнх нь зөвшөөрөлгүйгээр хувийн мэдээллийг нь олж авах, боловсруулах, гуравдагч этгээдэд дамжуулахдаа заавал  тухайн  хүнээс зөвшөөрөл авдаг байх тогтолцоог нэвтрүүлэх шаардлагатай байгаа юм. Магадгүй цахим орчинд хувийн мэдээллийг нь цуглуулж тухайн хүнийг мөн гэж тодорхойлоод буруу зорилгоор ашиглахыг үгүйсгэхгүй. Тиймээс энэ тохиолдолд тухайн  хүнээс  зөвшөөрөл аваагүй л бол хувийн мэдээллийг нь  ашиглах эрхгүй гэдгийг нь  Хувь хүний өгөгдөл, мэдээллийг хамгаалах хуулиар  хангаж өгөх ёстой. Ялангуяа цахим орчинд хувь хүний мэдээлэл ил байдаг.  Өмнө нь захидал  харилцаа нь биет зүйл байсан бол  орчин үед цахим болчихсон. Хувь хүний өгөгдөл, мэдээллийг  хамгаалах тухай  хуулийг дэлхийн 80 гаруй улс хэрэгжүүлж байна.  Мэдээллийн аюулгүй байдлыг хангах тогтолцоо буюу хууль эрхзүйн орчноо бий болгоогүй тохиолдолд мэдээллийн аюулгүй байдал хангалтгүй байна гэж ярих нь өрөөсгөл ойлголт юм.  Мэдээллийн аюулгүй байдлыг хангах тухай  асуудал нь үндэсний аюулгүй байдлын нэг бүрэлдэхүүн хэсэг гэж үздэг. Мэдээллийн аюулгүй байдлыг хангах дунд хугацааны үндэсний хөтөлбөр 2015 онд дуусгавар болсон. Бид энэхүү үндэсний хөтөлбөрөө үргэлжлүүлэн батлуулахаар  ажиллаж байна.

–Монгол Улсын мэдээллийн аюулгүй байдлын нөхцөл байдалд дүн шинжилгээ хийгээгүй, мэдээллийн аюулгүй байдлыг бүрэн хангаагүй тохиолдолд төрийн мэдээлэл солилцооны “Хур” системийн хэрэгжилтийг зогсоох шаардлагыг Засгийн газрын Хэрэг эрхлэх газар, Үндэсний аюулгүй байдлын зөвлөл, УИХ-ын даргад Цахим бодлогын түр хорооноос хүргүүлнэ гэж мэдэгдсэн. Төрийн мэдээлэл солилцооны "Хур" системийн  мэдээллийн аюулгүй байдал хэр хангагдаг юм бэ?  

– “ХУР” төрийн мэдээлэл солилцооны систем нь бүтэцлэгдсэн мэдээллийг байгууллага хооронд нэгдсэн протоколоор мэдээллийн аюулгүй байдлыг хангасан орчинд дамжуулах платформ бүхий систем юм. Мэдээлэл солилцооны систем нь “Enterprise Service Bus” архитектуртай ба энэ нь зохиомжийн хувьд аюулгүй байдал, найдвартай ажиллагааг хангах програм хангамжийн загварчлал юм. Өөрөөр хэлбэл “Хур” төрийн мэдээлэл солилцооны систем нь байгууллагууд хооронд мэдээлэл солилцох хурдны зам болохоос биш  “Хур” системд хувь хүний бүх мэдээллийг бөөгнүүлээд байдаг  тухай ойлголт огт биш.  Жишээ нь, та банкнаас зээл авлаа гэхэд хурууны хээгээ уншуулдаг. Хурууны хээний мэдээлэл “Хур” системээр дамжаад Улсын бүртгэл дахь тухайн хүний хурууны хээний мэдээлэлтэй  тулгагддаг. Энэ дунд мэдээлэл алдагдах эрсдэлээс давхар хамгаалдаг. Мөн “Хур” төрийн цахим мэдээлэл солилцооны системээр дамжих цахим мэдээлэл солилцооны нууцлал, аюулгүй байдлын нэгдсэн шаардлагыг тодорхойлж, хэрэгжилтэд хяналт тавихыг Тагнуулын байгууллагад үүрэг болгосон журмыг Засгийн газрын тогтоолоор 2017 онд баталж өгсөн зохицуулалтыг мөрдөж байна.

-“Хур” төрийн мэдээлэл солилцооны системээс хувь хүний мэдээлэл алдагдах боломжгүй гэж ойлгож болох уу?

-Тийм ээ. Тухайн хүн өөрөө зөвшөөрч  байна гэдгийг нь click буюу хурууны хээ дарснаар нь өөрт хамаарах мэдээллийг нь харуулж байгаа. Зарим гишүүний ярьж байгаагаар магадгүй “Хур” төрийн мэдээлэл солилцооны системийг зогсоолоо гэхэд  төрийн байгууллага иргэдээс дахиад  л бөөн бичиг цаас нэхдэг  тэр хуучин систем рүүгээ, хүнд суртал руугаа л орно гэсэн үг.  Өнөөдөр “Хур” системд  нийтдээ 78 вэб сервис ашиглагдаж байна.   Мөн 60 гаруй байгууллага хоорондоо мэдээлэл солилцож байгаагаас гадна ТҮЦ машин энэхүү системыг ашигладаг. Ингэхдээ хувь хүн өөрөө зөвшөөрснөөр мэдээллийг нь  харуулдаг гэж ойлгож болно.

-“Хур” системээр мэдээлэл солилцоход тухайн төрийн байгууллагуудын мэдээллийн аюулгүй байдлыг хангах тухай асуудал сөхөгдөнө?

-Ер нь мэдээллийн аюулгүй байдлыг  хангахад наад зах нь  лицензийн тухай асуудал хөндөгдөнө. Өнөөдөр манай улсын төрийн байгууллагуудын  90 хувь нь лицензгүй “Windows” үйлдлийн системийг ашигладаг нь нууц биш. Энэ нь  мэдээлэл алдагдах нөхцөл тэр хэмжээгээр нэмэгдэнэ ээ л гэсэн үг.

Ойролцоогоор 192 мянган төрийн албан хаагч буюу төрийн захиргааны 18 мянга, улс төрийн  3400, төрийн үйлчилгээний  132 мянган төрийн албан хаагч “Windows” үйлдлийн систем ашиглаж байна. Энэ тооны компьютерийг лицензлүүлье гэвэл ойролцоогоор 4 сая ам.долларын хөрөнгө оруулалт шаардагдана.

Жишээ хэлэхэд, Монголын нэгэн компани “Мicrosoft” компанитай шүүгдэлцсэн байдаг. Мicrosoft-ийн зүгээс Монголын компанийг зөвшөөрөлгүй хулгайгаар үйлдлийн систем ашиглалаа гээд гомдол гаргаж сүүлдээ хоёр тал тохиолцоод салсан. Гэхдээ 170 сая орчим төгрөгийн лиценз худалдан авч тохиролцсон. Тэгэхээр бид аль болох лицензтэй программ хангамжийг ашиглаж мэдээллийн аюулгүй байдлаа хангах ёстой юм. Ядаж төрийн байгууллагуудынхаа түвшинд  лицензтэй үйлдлийн систем ашиглах шаардлагатай байна.

-Монгол Улсын төрийн мэдээллийн сервер, төрийн мэдээллийн сайтууд халдлагад өртсөн талаарх мэдээлэл 2017 онд гадаадын хэрэгслүүдээр цацагдсан гэдэг нь үнэн үү?

-Ер нь халдлагын шинжтэй үйлдлүүд байнга бүртгэгдэж байдаг. Монгол Улсын төрийн мэдээлэл халдлагад өртсөн талаарх мэдээлэл  Казахстан улсад байрлах “Kaspersky Lab” компанийн албан ёсны хуудсанд  тавигдсан  гэдэг нь үнэн. Гэхдээ “Kaspersky Lab” бизнесийн байгууллага учраас тодорхой халдлага илрүүлсэн report-оо үнэлж зарах гэсэн байхыг үгүйсгэхгүй.

-Тухайн үед манай талаас ямар арга хэмжээ авсан юм бэ?

-Тагнуулын байгууллагаас ажлын хэсэг гарч тайлангаа Засгийн газарт тайлагнасан байх. Манайд бол ирүүлээгүй.

 –Халдлагын шинжтэй үйлдлүүд байнга бүртгэгддэг  гэлээ. Энэ нь мэдээллийн аюулгүй байдал хангалтгүй байгаагийн шинж биш гэж үү?

-Мэдээллийн аюулгүй байдлын тухай асуудал нь улс орон бүрт толгойны өвчин болж байна. Манай улсын хувьд төрийн холбооны сүлжээгээр холбогдсон төрийн байгууллагуудын хувьд халдлагад өртөх эрсдэл харьцангуй бага. Улс орны хувьд цахим халдлагын эсрэг үндэсний томоохон төв байгуулснаар цахим халдлагаас тодорхой түвшинд хамгаалж чадна. Солонгос улсын хувьд Цахим халдлагын эсрэг үндэсний агентлагтай. Тус агентлаг нь цахим халдлагыг илрүүлэх, таслан зогсоох хэрэв цахим халдлагад өртсөн тохиолдолд дэд бүтцийг нь нөхөн сэргээх арга хэмжээг авч ажилладаг.

-Тэгвэл Үндэсний Дата төв мэдээллийн аюулгүй байдлыг хангахад ямар үүрэг гүйцэтгэж байна вэ?

-Дата төв бол цахим засаглалыг хөгжүүлэхэд шаардлагатай суурь системүүдийг хөгжүүлж, хэвийн үйл ажиллагааг хангах, мөн мэдээлэл солилцох боломж, нөхцөлөөр хангах төв юм. ҮДТ цахим халдлага илрүүлэх систем ашигладаг. Нөгөө талаар дата төвийг зүйрлэж хэлбэл хайрцаг сав. Жишээ нь НӨАТ-ын системийг  Дата төвд байршдаг ба физик орчинд найдвартай хамгаалагддаг. Цахилгаан тасарлаа гэхэд унтрахгүйгээр нөөц генератор нь ажиллах, тодорхой чийгшил, хөргүүр бүхий физик орчноор хангадаг сав гэж энгийнээр тайлбарлаж  болно.

-Сүүлийн үед улстөрчид, төрийн өндөр албан хаагчдын  мэдээлэл ил гарах болсноор мэдээллийн аюулгүй байдал хангалтгүй байна гэж ярих улстөрчид цөөнгүй.  Тухайлбал,ЖДҮ гэх мэт?

-Төрийн зарим мэдээлэл тодорхой түвшинд ил байх ёстой. Хуулийн этгээдтэй холбоотой мэдээлэл нээлттэй байна гэж улсын бүртгэлийн ерөнхий хуулиар заасан. Төрийн зарим мэдээлэл эргэлтэд орж байж эдийн засгийн болон бусад үр ашиг нь гарна.  Тухайлбал, 1212 статистикийн мэдээллийн нэгдсэн сангийн мэдээлэл машинд уншигдах боломжтой нээлттэй өгөгдлийн хамгийн тод жишээ.  Нөгөө талаар өнөөдөр дэлхийн нийтэд цахим мэдээлэл нь дижитал эдийн засгийн гол хөдөлгөгч хүч нь болсон. Тиймээс датад суурилсан эдийн засгийн шинэ секторууд гарч эхэлж байна.

-Монгол Улс өнгөрсөн 29 жилийн хугацаанд төсвийн болон гаднын зээл, тусламжийн нийт 230 сая ам.долларын хөрөнгө оруулалтыг программ хангамжид зарцуулсан байдаг талаарх мэдээллийг Цахим бодлогын түр хорооны дарга сэтгүүлчдэд танилцуулсан. Эндээс харахад мэдээлэл технологийн  салбарын хөгжүүлэлтэд хөрөнгө мөнгө багагүй зарцуулдаг бололтой?

-Энэ судалгааг өнгөрсөн жил нэгтгэж Цахим бодлогын түр хорооны гишүүдэд  танилцуулсан. Мэдээлэл технологийн чиглэлээр улсын төсвийн болон гаднын зээл, тусламжаар олон төсөл хөтөлбөрүүд хэрэгждэг. Хэрэгжилт нь хэр үр ашигтай байна вэ, зорилго зорилтдоо нийцэж байна уу гэдэгт мэдээлэл технологийн аудитын шалгалт оруулдаг болмоор байгаа юм. Магадгүй мэдээлэл технологийн болон мэдээллийн аюулгүй байдлын аудит хийдэггүйгээс  үүдэж мэдээлэл технологийн  төслүүд  үр ашиггүй хөрөнгө оруулалт  болдгийг үгүйсгэхгүй. Санхүү, эрчим хүч, байгаль орчны чиглэлээр аудит хийдэгтэй адил мэдээлэл технологийн салбарын аудит зайлшгүй байх ёстой эрх зүйн зохицуулалт шаардлагатай байгаа юм.