Өмнөх нийтлэлд (энд дарж үзнэ үү) Global Cybersecurity Index тухайн улс орон кибер аюулгүй байдалд хэр ач холбогдол өгч буйг үнэлдэг үзүүлэлтүүдийн талаар товч дурдсан билээ. Харин энэ удаад төр кибер аюулгүй байдлын салбарт ямар түвшинд оролцвол зохих талаар хувь мэргэжилтний өнцгөөс бичих гэж үзье.
Миний хувьд аль ч салбарт төрийн оролцоо бага байх ёстой гэж үздэг хэдий ч кибер аюулгүй байдлын салбар нь төрийн үндсэн үүрэг болох улс орны тусгаар тогтнол, аюулгүй байдлыг хангахтай шууд холбогдох учир мэдээллийн аюулгүй байдлын эмзэг байдлыг бүх шатанд бууруулах, хариу үйлдэл үзүүлэх тогтолцоог бүрдүүлж өгч оролцохоос өөр аргагүй. Энэхүү үүргээ хэрэгжүүлэхэд төр дараах арга хэмжээнүүдийг авах шаардлагатай.
Эдгээр арга хэмжээний талаар тайлбарлавал
1. Хууль эрхзүй
Дээр дурдсан арга хэмжээнүүдээс одоогоор нэн түрүүнд шаардлагатай байгаа нь хууль эрхзүйн орчин бөгөөд өмнөх нийтлэлд дурдсанчлан 2010 оны “Монгол Улсын Үндэсний аюулгүй байдлын үзэл баримтлал”-д тусгасан “Мэдээллийн салбарт үндэсний ашиг сонирхлыг хамгаалах, төр, иргэн, хувийн хэвшлийн мэдээллийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдлыг баталгаажуулах нь мэдээллийн аюулгүй байдлыг хангах үндэс мөн” хэмээх заалтаас өөр аливаа зохицуулалт байхгүй байгаа нь дараа дараагийн арга хэмжээг авахад саад болж байна. Гэтэл энэ хугацаанд технологи хөгжиж, эдийн засгийн болон нийгмийн олон харилцаа цахим орчинд явагдах болсноор кибер аюулгүй байдлын шийдэх ёстой асуудлууд улам нэмэгдэх болжээ.
2017.04.28-ны өдөр зохион байгуулсан “Төрийн байгууллагуудын мэдээллийн аюулгүй байдал” сэдэвт уулзалт, өдөрлөг дээр Үндэсний аюулгүй байдлын зөвлөлийн ажлын албанаас Монгол Улсын тухайд мэдээллийн нууцлал, бүрэн бүтэн, хүртээмжтэй байдлыг цогц байдлаар хангах буюу мэдээллийн аюулгүй байдлыг хангах багц хуулийг доорхи хүснэгтэд харуулснаар тогтоох боломжтой гэж илтгэл тавьж байв. Хэдийгээр одоо хэрэгжиж буй төрийн, хувь хүний болон байгууллагын нууцын тухай хууль байгаа хэдий ч эдгээр хуулиуд нь 1990-ээд онд батлагдсан тухайн үеийн шаардлагад нийцүүлж гаргасан нь өнөөгийн шаардлагыг огт хангахгүй байгаа юм. Иймд эдгээр хуулиудын оронд доорх хүснэгтэд заасан байдлаар ангилан хуулиудыг боловсруулан батлах хэрэгтэй гэж илтгэлд дурьдсан байв.
Мэдээллийн аюулгүй байдлыг хангах чиглэл |
Хууль тогтоомжийн нэр, огноо |
Тайлбар |
Мэдээллийн бүрэн бүтэн байдлыг хангах |
- Харилцаа холбооны тухай хууль |
Батлагдсан |
- Мэдээллийн аюулгүй байдлыг хангах тухай хууль |
Батлах |
|
- Мэдээллийн аюулгүй байдлыг хангах үйл ажиллагааны тухай хууль |
Боловсруулах |
|
- Төрийн цахим бүртгэл, мэдээллийн эрх зүйн байдлын тухай хууль |
Боловсруулах |
|
- Тусгай болон нийтийн хэрэглээний сүлжээний тухай хууль |
Боловсруулах |
|
Мэдээллийн нууцлалыг хангах |
- Өгөгдөл хамгаалах тухай хууль |
Батлах |
- Цахим гэмт хэргээс урьдчилан сэргийлэх тухай хууль |
Боловсруулах |
|
- Байршил зүй, орон байрны цахим мэдээллийн тогтолцооны тухай хууль |
Боловсруулах
|
|
Мэдээллийн хүртээмжтэй байдлыг хангах |
- Мэдээллийн ил тод байдал ба мэдээлэл авах эрхийн тухай хууль |
Батлагдсан |
- Хэвлэл мэдээллийн эрх чөлөөний тухай хууль |
Батлагдсан |
|
- Интернетийн зохицуулалтын тухай хууль |
Боловсруулах |
|
- Цахим хэлбэрээр өгөгдөл, мэдээлэл солилцох тухай хууль |
Боловсруулах |
|
- Мэдээллийн цахим тогтолцоог онц байдал, гамшгийн үед хэрэглэх тухай хууль |
Боловсруулах |
Жич: Уг нь мэдээллийн хүртээмжтэй байдал гэдэг нь availability буюу тухайн мэдээлэлд хандах боломжтой байхыг хэлдэг. Энэхүү илтгэл дээр илтгэгч нь accessibility-тай андуурч мэдээллийн ил тод байдлын хууль зэргийг санал болгосон бололтой.
Миний бодлоор эдгээрээс хамгийн түрүүнд Мэдээллийн аюулгүй байдлын тухай хууль болон өгөгдөл хамгаалах тухай хуулиуд батлагдаж байж бусад арга хэмжээнүүдийг авах суурь нь үүснэ. Мөн эдгээрээс гадна мэдээллийн ангилал, онц ноцтой дэд бүтэц (салбар)-ын тухай, гамшгийн үед ажиллах протокол гэх мэт бичиг баримтууд зайлшгүй шаардлагатай болно. Түүнээс гадна бидний ирээдүй болсон хүүхдүүдээ интернет орчноос хамгаалах нь чухал асуудал болоод буй.
2. Институци
Дахиад нэг төрийн байгууллага байгууллаа гэж магадгүй ч төрийн харъяаллын эсвэл төртэй гэрээт цахим аюулгүй байдлыг улсын хэмжээнд хариуцсан институци байх зайлшгүй шаардлагатай. Тухайлбал Монгол Улсын хэмжээнд гарч буй халдлагыг хэн бүртгэж, хэн хариуцах, хэн ямар хариу арга хэмжээ авах гэх мэтчилэн уг институцийн үүрэг тодорхой байх шаардлагатай.
Одоогоор гэмт хэргийн шинжтэй кибер халдлага бол эрүүгийн цагдаагийн байгууллага руу, улсын нууцын шинжтэй бол тагнуулын байгууллага руу, батлан хамгаалах бол ЗХЖШ гэх мэт хандан тус тусдаа явж буй мэдээллийг нэгтгэн уялдаа холбоотой, нэг удирдлага, нэг хариуцагч эзэнтэй болгох зайлшгүй шаардлагатай бөгөөд үүнийг хуульчилж баталгаажуулах нь кибер аюулгүй байдлын тухай хуулийн нэг зорилго байх юм. Одоогоор Монголд ийм институци байхгүй бөгөөд Харилцаа холбоо, мэдээллийн технологийн газар нь Засгийн газрын бодлогыг хэрэгжүүлэгч агентлаг учир энэхүү үүрэгт тохиромжгүй.
Энэхүү нэгтгэсэн удирдлагыг хангах байгууллага нь олон улсын өмнө Монгол Улсыг кибер аюулгүй байдлын орчинд төлөөлөх эрх бүхий этгээд байх юм.
3. Минимум стандарт
Төрийн хамгийн чухал үүргийн нэг бол стандарт гаргаж түүнийгээ мөрдүүлэх. Стандарт хэмжилзүйн газраас 35.030 серитэй Мэдээлэл Технологийн Аюулгүй Байдлын бүлэг стандартыг 2007-2014 оны хооронд баталсан байдаг. Мэдээж хэрэг зарим нэг шинэчлэх, сайжруулах зүйлс бий боловч ядаж эхлэл цэг нь байгаа гэсэн үг. Асуудал нь эдгээр стандартыг хаана юунд мөрдөх вэ гэдэг зохицуулалт нь тодорхойгүй, мөрдөж буй эсэхийг шалгадаг мэргэжлийн бүтэц байхгүй (ТЕГ-ын аудитыг эс тооцвол) зэрэг нь эдгээр стандартын ач холбогдлыг бууруулж буй юм.
Энэ нь ганц төрд ч биш хувийн салбарт ч ижил. Арилжааны банкнуудад Монголбанкнаас тавьдаг аюулгүй байдлын шаардлага болон аюулгүй байдлын аудитаас бусдаар хувийн салбарт ч аюулгүй байдлаа сайжруулахын тулд ийм юм хийсэн байх ёстой гэсэн минимум стандарт байхгүй. Ядаж үүрэн телефоны операторуудад тавигдах минимум аюулгүй байдлын шаардлага байхгүй учир ашгийн төлөөх хувийн байгууллагууд аюулгүй байдлыг зөвхөн зардал гэдэг өнцгөөс хардаг хандлага багасахгүй.
4. Олон нийтийг соён гэгээрүүлэх
Аюулгүй байдлын хамгийн эмзэг цэг нь эцсийн хэрэглэгч байдаг болохоор олон нийтэд зөв зохистой ойлголт өгөхгүйгээр улсын хэмжээнд кибер аюулгүй байдлаа хангана гэж байхгүй. Гэвч ядуурал, боловсролын системийн уналт зэрэгтэй давхацсан технологийн үсрэнгүй хөгжил нь энгийн ард иргэдэд учрах цахим эрсдэлийг улам нэмэгдүүлж байна.
ЭЦГ-ийн Кибер гэмт хэрэгтэй тэмцэх хэлтсээс сүүлийн үед энэ талаар мэдээлэл түгээх болсон, банкууд харилцагчдаа хамгаалахын тулд янз бүрийн санаачлагууд гаргаж байгаа зэрэг нь сайшаалтай. Мөн MNCERT/CC -ээс жил бүр уламжлал болгон MNSEC арга хэмжээг зохион байгуулж байна. Гэвч улсын хэмжээнд нэгдсэн бодлоготой, уялдаа холбоо бүхий хөтөлбөр боловсруулахгүйгээр нийт ард иргэдэд аюулгүй байдлын мэдээлэл түгээх нь хүртээмж муутай байсаар байна.
5. Олон улсын хамтын ажиллагаа
Миний аюулгүй байдал чиний аюулгүй байдлаас хамаарна гэсэн үг байдаг. Өөрөөр хэлбэл Интернет орчин аль нэг улсын хилээр хязгаарлагдахгүй учир бүгд нэгнээсээ харилцан хамааралтай. Тийм ч учраас олон улсын түвшинд мэдээлэл солилцох, хамтран ажиллах дэд бүтцүүд бий болсон. Харамсалтай нь дахиад л хууль эрхзүйн орчин бүрдээгүйн гайгаар Монгол Улсыг цахим ертөнцөд хэн төлөөлөх вэ гэдэг асуудал үүсдэг бөгөөд хариуцсан эзэнгүй учир гаднаас ирүүлсэн мэдээллүүд тэгсгээд замхарч алга болох нь их.
6. Төрийн байгууллагын аюулгүй байдал
ТҮЦ машин, ХУР систем, НӨАТУС, Цахим эрүүл мэнд гэх мэтчилэн төрийн үйлчилгээ цахимжих тусам дагаж гарч ирэх мэдээллийн аюулгүй байдлын эрсдэл нэмэгдэнэ. Энэхүү эрсдэлийг бууруулахын тулд тухайн мэдээллийг хариуцагч төрийн байгууллага хоорондын уялдаа холбоо, ажиллагааны зарчим гэх мэт олон зүйлс тодорхой болгох шаардлагатай.
Үндэсний аюулгүй байдлын зөвлөл, Засгийн газрын Хэрэг эрхлэх газар, Харилцаа холбоо, мэдээллийн технологийн газар, Үндэсний Дата төв УТҮГ-аас Төрийн мэдээлэл холбооны газар, Цахим аюулгүй байдлын мэдээллийн удирдлагын төв (MNCERT/CC)-тэй хамтран 2017 онд зохион байгуулсан “Төрийн байгууллагуудын мэдээллийн аюулгүй байдал” хурлын оролцогчдын зүгээс зөвлөмж гаргасан бөгөөд дээрхи эрсдэлийг бууруулахад чухал ач холбогдолтой зөвлөмж болсон.
Уг зөвлөмжөөс дурьдвал:
Дүгнэлт
Монгол Улсын хувьд кибер аюулгүй байдлын нөхцөл байдал хангалтгүй түвшинд байгаа нь нууц биш бөгөөд улсын хэмжээнд системтэйгээр засаж сайжруулах асуудал бишгүй байна. Харамсалтай нь өнөөгийн нийгэм, эдийн засгийн байдлаас шалтгаалан аюулгүй байдлын салбарт ач холбогдол өгөх, олон улсын стандартад бүрэн нийцүүлэхээр ажиллах чадварлаг улстөрч ч, улстөрийн болон төрийн институци ч байхгүй байгаа нь сэтгэл зовнимоор байна.
Аюулгүй байдлын мэргэжилтэн М.Отгонпүрэв
Хуульч, судлаач Л.Галбаатар