Манай улс дахь кибер аюулгүй байдлын нөхцөл байдал болон хууль, эрх зүйн асуудлаар Цахим хөгжил, инновац, харилцаа холбооны яамны Кибер халдлага, зөрчилтэй тэмцэх нийтийн төвийн Кибер халдлагаас урьдчилан сэргийлэх төвийн дарга, Монгол Улсын зөвлөх инженер Г.Гантуяатай ярилцлаа.

-Сүүлийн жилүүдэд кибер аюулгүй байдлын талаар ихээхэн ярих боллоо. Кибер аюулгүй байдлыг хангахын ач холбогдлын талаар та энгийнээр тайлбарлаж өгөхгүй юү?

-Кибер аюулгүй байдлыг мэдээллийн аюулгүй байдлын гурвалжин гэж ойлгож болно. Кибер орчинд мэдээлэл нь нууцлагдсан, бүрэн бүтэн, хүртээмжтэй байх ёстой. Жишээ нь, таны явуулсан и-мэйл замаасаа алга болохгүй бүрэн бүтэн, задрахгүйгээр илгээсэн хүндээ очих нь чухал. Техникийн асуудал гарахгүй, харилцан мэдээлэл солилцох нөхцөлийг мэдээллийн аюулгүй байдал гэж ойлгож болно. Кибер аюулгүйн байдал нь үндэсний аюулгүй байдлын нэг том бүрэлдэхүүн. Үндэсний аюулгүй байдлын ойлголт сүүлийн 100 жилийн турш хэрхэн өөрчлөгдсөн бэ гэдэг сонирхолтой. XX зууны эхэн үед АНУ-ын төрийн бодлогын баримт бичигт үндэсний аюулгүй байдлыг хил болон батлан хамгаалах бодлого, гадаад цэргийн түрэмгийлэлд хариу үзүүлэх цэрэг стратегийн чадамжийн аюулгүй байдал хэмээн үздэг байсан. Дэлхийн II дайны үеэс эдийн засгийн тогтвортой байдал, стратегийн дэд бүтцийн найдвартай ажиллагаа, аж үйлдвэрийн хүчин чадал гэх мэтээр өргөжүүлэх болов. Товчхондоо, үндэсний аюулгүй байдал нь цэргийн асуудал байсан бол нийгэм, эдийн засгийн хүчин зүйлтэй уялдаж өөрчлөгдсөн. Тодруулбал, тусгаар тогтнол, нутаг дэвсгэрийн бүрэн бүтэн байдал, улс төрийн тогтолцоонд гадаад, дотоод аюул заналаас хамгаалах чадвараараа улс өөрийнхөө аюулгүй байдлыг хэмжиж эхэлсэн.

1991 оноос хойш хүмүүс өөрсдөө аюулгүй байдалдаа аюул занал учруулах болсон буюу үйлдвэрлэгдсэн эрсдэлүүд бий болж байна. Жишээ нь, эдийн засгийн тогтворгүй байдал, байгаль орчны доройтол, цар тахал, олон улсын терроризм, халдварт өвчин, шинжлэх ухааны дэвшил зэрэг нь хүний хүчин зүйлийн нөлөөгөөр бий болсон байдаг. 1994 онд НҮБ-ын Хүний хөгжлийн тайланд анх удаа хүний аюулгүй байдлын тухай тусгасан. Үүнээс үүдэлтэй үндэсний аюулгүй байдлын нэг хэсэг нь хүн өөрөө юм гэсэн үзэл баримтлал бий болсон. Өөрөөр хэлбэл, иргэн төвтэй шинэ үзэл баримтлал үүсжээ. Энэ нь явсаар XXI зуунд цахим шилжилт маш эрчимтэй явагдаж, кибер орон зай гэх ойлголт бий болсон. Дэлхийн нийт хүн амын 70 хувь нь цахим орчинд байнгын идэвхтэй байгаа бөгөөд үүнд хамгаалалт хэрэгтэй юм. 2010 онд НАТО стратегийн баримт бичигтээ кибер орон зайг хуурай зам, тэнгис, агаарынхтай адил хамгаалах шаардлагатай гэж тодорхойлсон. Эдгээртэй адил кибер орон зайд ч дайтаж болно. Цахим орчин дахь нийгмийн сүлжээ ашиглаад мэдээлэл, сэтгэл зүйн түрэмгийлэгч орнууд үнэт зүйлээ гуравдагч улсад нутагшуулах, олон нийтийн санаа бодолд манипуляци хийх, хиймэл оюун, зүйлсийн интернэт, кибер халдлага гэх мэтээр үргэлжилдэг. Технологийн аюулгүй байдал, хамаарал, клончлол нь стратегийн аюулгүй байдалд нөлөө үзүүлэх болсон. Тухайлбал, хүний сайн сайхан байдлын төлөө хийсэн технологийг цэргийн зэвсэг болгон ашиглах гэх мэт.

-Улсын онц чухал мэдээллийн дэд бүтэцтэй байгууллагууд гэж бий. Тэдгээрийн мэдээллийн аюулгүй байдлыг хэрхэн хамгаалж байна вэ?

-Кибер аюулгүй байдлын тухай хуульд 17 салбарыг онц чухал мэдээллийн дэд бүтэцтэй байгууллага гэж заасан байдаг. Мөн 2022 онд үүнд хамаарах 216 байгууллагыг жагсаасан. Өөрөөр хэлбэл, кибер аюулгүй байдал нь алдагдсанаар хэвийн үйл ажиллагаа нь доголдож, улсын үндэсний аюулгүй байдал, нийгэм, эдийн засагт хохирол учруулж болох мэдээллийн систем, сүлжээ бүхий байгууллагыг онц чухал мэдээллийн дэд бүтэцтэй гэж үзнэ. Кибер халдлагын улмаас бүх банк ажиллахаа больчихвол төлбөр тооцоогоо хийж чадахаа байж, нийгмийн эмх замбараагүй байдал үүснэ. Эрчим хүч, үүрэн холбооны оператор компаниуд зэрэг хэвийн үйл ажиллагаа нь алдагдаж болохгүй байгууллагыг үүнд хамаатуулж байгаа юм.

Эдгээр байгууллага мэдээллийн аюулгүй байдлаа хангахын тулд кибер аюулгүй байдлын аудит, эрсдэлийн үнэлгээ хийлгэх ёстой. Өөрөөр хэлбэл, Кибер аюулгүй байдлын тухай хуулийн 19 дүгээр зүйлд заасан салбарын байгууллагууд дээрх үнэлгээг хийлгэх ёстой гэсэн үг. Ингэхдээ хувийн байгууллагууд Кибер халдлага, зөрчилтэй тэмцэх нийтийн төвд, улсынх нь Тагнуулын ерөнхий газрын дэргэдэх Үндэсний төвд тайлангаа өгдөг. Мөн кибер аюулгүй байдлын тухай хуулийн 17-д заасан кибер орчинд дундын мэдээллийн системээр дамжуулан мэдээлэл боловсруулах, хадгалах, түгээх, цахим тооцоолуурын болон түүний хэвийн үйл ажиллагааг хангахад мэдээллийн технологийн чиглэлээр үйлчилгээ үзүүлдэг хуулийн этгээд аудитын дүгнэлтээ өгөх ёстой. Гэтэл энэ нь маш хангалтгүй байна.

-Онц чухал мэдээллийн дэд бүтэцтэй, 17 салбарын 160 гаруй байгууллагын мэргэжилтэнтэй уулзаж, ярилцсан. Тэд онц чухал мэдээллийн дэд бүтэцтэй байгууллагын жагсаалтыг шинэчлэх шаардлагатай гэдэгт санал нэгдсэн. Тухайлбал, Кибер аюулгүй байдлын тухай хуульд стратегийн хүнс үйлдвэрлэгч, хадгалагч, түгээгч байгууллагыг онц, чухал мэдээллийн дэд бүтэцтэй гэж заасан. Гэтэл Засгийн газрын 2022 оны 207 дугаар тогтоолоор ийм 216 байгууллагын жагсаалтыг гаргахдаа ерөнхийд нь заасан. Өөрөөр хэлбэл, кибер аюулгүй байдлыг хангах нь мэдээллийн сүлжээ, системийн асуудалтай холбогдож буй. Гэтэл стратегийн хүнс үйлдвэрлэгч гэдгээрээ баллонтой ус үйлдвэрлэгч компаниуд дээрх ангилалд багтаж, мэдээллийн аюулгүй байдлын аудит хийлгэх шаардлагатай болж байгаа юм. Гэтэл тус газарт ямар нэгэн сүлжээ бүү хэл, компьютер ч байхгүй. Мөн мах, гурил, улаан буудай, будаа импортлогч байгууллагууд хүртэл онц, чухалд тооцогддог. Нэг ёсондоо шаардлагагүй газрууд онц чухал мэдээллийн дэд бүтэцтэй байгууллагад орчхоод байна.

-Эрүүл мэндийн салбар онц чухал мэдээллийн дэд бүтэцтэй байгууллага. Гэтэл үүнд хувийн эмнэлгүүд багтаагүй гэж сонслоо. Сүүлд “Интермед” эмнэлэг хакердуулж, 280 мянга гаруй хүний хувийн мэдээлэл алдагдсан шүү дээ.

-Эрүүл мэнд, эрчим хүч, дулаан, цэвэр, бохир ус, хүн, малын гоц халдварт өвчин судлалын лаборатори, эм, химийн хортой бодис зэрэг салбар багтдаг. Тухайлбал, II, III шатлалын эрүүл мэндийн байгууллагыг хуульдаа онц чухал мэдээллийн дэд бүтэцтэй хэмээн жагсаалтад багтаасан ч хувийн эмнэлгүүдийг нэр зааж оруулаагүй. Өөрөөр хэлбэл, Кибер аюулгүй байдлын тухай хуулиа уншихаар хувийн эмнэлгүүдэд хамаатай юм шиг, жагсаалт харахаар нэр нь байхгүй байх жишээтэй. Энэ нь маргаан үүсэх шалтгаан болж буй. Иймд хуулийг сайжруулах шаардлагатай гэсэн дүгнэлтэд хүрсэн. Хариуцлагын тогтолцоо сул учраас байгууллагууд аудит, эрсдэлийн үнэлгээ хийлгэхдээ хойрго ханддаг. Эл үнэлгээг хийлгэхэд өртөг өндөр. Тиймээс аж ахуйн нэгж, байгууллагууд эрсдэлийн үнэлгээ хийлгэснээс торгуулах нь дээр гэх болсон. Энэ мэт хэрэгцээ, шаардлагад үндэслэн онц чухал мэдээллийн дэд бүтэцтэй байгууллагын жагсаалтыг шинэчлэхээр ЦХИХХЯ-нд ажлын хэсэг байгуулсан.

Кибер аюулгүй байдлын тухай хуульд “хүн хэвтэн эмчлүүлдэг” гэх өгүүлбэр бий. Энэ утгаараа хувийн томоохон эмнэлгүүд аудитын тайлангаа өгөх ёстой. Манай улсад кибер аюулгүй байдлын талаарх ойлголт, хууль нь шинэ учраас иргэд, байгууллагыг энэ талын мэдээллээр хангах, мэргэжилтнүүд тусалж зайлшгүй шаардлагатай байна. Манай төвөөс эмзэг байдал, хортой программ илэрсэн, халдлагад өртсөн байж болзошгүй байгууллагад очиж, тусламж үзүүлдэг. Өнгөрсөн сард 10 орчим байгууллагад эрсдэлийн үнэлгээ хийж, 54 мянган өвчтөн, санхүү хүний нөөцийн мэдээлэл алдагдахаас сэргийллээ. “Интермед” эмнэлгийн хувьд “Эмзэг байдал үүссэн байна” гэж өмнө нь бичгээр мэдэгдэж байсан. Одоогоор манай төвд хувийн 30 гаруй байгууллага мэдээллийн аюулгүй байдлын тайлан, 10 гаруй аж ахуйн нэгж кибер аюулгүй байдлын эрсдэлийн үнэлгээгээ ирүүлээд байна. Цаашид эдгээр тайланг цаасаар биш, цахимаар авахаар ажиллаж байгаа.

-Манай улсын Засгийн газар, зэвсэгт хүчин, эрүүл мэндийн салбарынхан кибер халдлагад өртөх нь их байна. Сүүлийн үеийн тоон мэдээлэл өгөхгүй юү?

-Манай “PubCERT Collector” системийн цуглуулж, дүн шинжилгээ хийсэн хамгийн сүүлийн мэдээллээр Монгол Улсад бүртгэлтэй 10 мянга орчим IP хаягт сүүлийн долоо хоногийн хугацаанд нийт 196 757 кибер аюулгүй байдлын эвент буюу сэжигтэй болон эрсдэлтэй үйлдэл бүртгэгдсэн байна. Эдгээр эвентийн 165 334 нь халдлагад өртсөн байж болзошгүй буюу системийн аюулгүй байдал алдагдсан байж болох шинж тэмдэг илэрсэн. Мөн 2612 тохиолдолд олон нийтэд ил болсон, засвар хийгдээгүй эмзэг байдал илэрч, халдагч этгээдүүд ашиглах боломжтой хэвээр байгааг харуулж байна. Эдгээр тоо баримт нь Монгол Улсад кибер халдлагаас урьдчилан сэргийлэх хамгаалалтыг бэхжүүлэх, эмзэг байдлыг цаг тухайд нь засах, мөн байгууллага, иргэдийн кибер аюулгүй байдлын мэдлэг, ойлголтыг нэмэгдүүлэх шаардлага өндөр байгааг харуулж буй юм. Тухайлбал, манай улсад бүртгэгдсэн нийт гэмт хэргийн 30 орчим хувийг цахим орчинд үйлдэж буй гэмт хэрэг эзлэх болсон. Тэдгээрийн 90 орчим хувь нь цахим залилан.

-Олон улсын цахилгаан холбооны байгууллагаас гаргадаг кибер аюулгүй байдлын индексээр манай улс 193 орноос 103-т буюу бэхжиж буй түвшинд үнэлэгдсэн шүү дээ. Ахиц гарч байгаа гэж харсан.

-Монгол Улс 2020 онд 194 орноос 120 дугаар байрт орж байсан бол 2024 онд 17 байраар урагшилсан буюу 103-т бичигдсэн. 2020 онд манай улсыг кибер аюулгүй байдлыг хангах, гэмт хэрэгтэй тэмцэх хууль, эрх зүйн орчныг бүрдүүлсэн ч техникийн чадвар төдийлөн сайжраагүй гэж дүгнэсэн. Манай улс Кибер аюулгүй байдлын тухай хуулийн дагуу кибер аюулгүй байдлыг хангах гурван төв байгуулсан. 2020 оныхоос буурсан үзүүлэлт нь хамтын ажиллагаа. Үүнийг юугаар хэмждэг вэ гэхээр төр, хувийн хэвшлийн хамтын ажиллагаа, бүх нийтээр хүлээн зөвшөөрсөн конвенц, олон улсын санаачилгад нэгдсэн байдлыг харгалзан үздэг. Үүнд манай улс нэлээн тааруу үнэлгээ авсан. Энэ бүхний эцэст бэхжиж буй түвшинд үнэлэгдсэн. Засгийн газраас 2030 он гэхэд кибер аюулгүй байдлын индексийг 81 оноонд хүргэх зорилготой ажиллаж байна.

-ЦХИХХЯ, Оксфордын их сургуулийн Кибер аюулгүй байдлын чадавхын төвтэй хамтран Монгол Улсын кибер аюулгүй байдлын өнөөгийн түвшнийг үнэлэх судалгааны үр дүнг танилцуулсан. Үүний мөрөөр ямар ажил хийж байна?

-Оксфордын их сургуулийн Кибер аюулгүй байдлын чадавхын төвөөс гаргадаг судалгаанд дэлхийн олон улс хамрагддаг. Манай улс стандарт хэрэгжүүлэлт, технологи, кибер аюулгүй байдлын чадавх, хүний нөөц, хууль, эрх зүйн орчин зэрэг таван хэмжүүр үзүүлэлтээр шалгуулсан. Үүний дараа зөвлөмж, дүгнэлт өгсөн. Аль үзүүлэлтэд зөвлөмжийн тоо олон тэнд асуудал байна гэсэн үг. Тухайлбал, технологи гэсэн үзүүлэлт хамгийн олон буюу 36 зөвлөмж ирсэн. Хамгийн бага зөвлөмжийг хууль, эрх зүйн орчинд “өгсөн” байна. Тэгэхээр манай улс технологийн болон стандартын асуудалд хамгийн ихээр анхаарах ёстой. Программ хангамжийн чанар, соёл Монголд бараг байхгүй. Өөрөөр хэлбэл, программ хангамж хөгжүүлэгчид ямар нэгэн вэб хуудас, аппликэйшн хийхдээ осолдохгүй ажиллуулаад л орхидгоос хөгжүүлэхдээ кодын түвшнээс эхлээд аюулгүй байдлыг хангах, эрсдэлийг тооцохдоо дутагдалтай. Өөрөөр хэлбэл, манайд программ хангамжийн чанарыг хэмжих тогтолцоо бүрэлдээгүй байна.

-Цахим залилагч, хакеруудад иргэд өөрсдөө мэдээллээ “өгчихдөг” гэдэг. Юунд анхаарах тал дээр зөвлөхгүй юү?

-Иргэдийн мэдээллийн аюулгүй байдлаа хамглаах ур чадвар сул байна. 2022 оны үед 9000 орчим хүнийг хамруулсан суурь судалгаанд 26 хувь нь л мэдээллийн аюулгүй байдлаа хангаж чадаж байна гэсэн дүгнэлт гарсан. Тэгэхээр 70-80 хувь нь мэдлэг, мэдээлэлгүй байна. Тэр тусмаа эмзэг бүлэг, ахмад настан, хүүхдүүд цахим орчинд залилуулах, гэмт хэрэгт өртөх нь түгээмэл. Сүүлд манай төвөөс фишинг халдлагыг сургалтын зорилгоор туршиж үзэхэд 247 хүний 123 нь эмзэг мэдээллээ алдсан.