Энэ оны зургаадугаар сард Касперски лабораториас "Монголын төрийн байгууллага хакердуулсан байна" гэсэн мэдээлэл гарсныг сошиал идэвхтэнгүүд "өлгөж аваад" жаал шуугив. Миний хувьд энэ асуудлын талаар юу ч мэдэхгүй хэдий ч зарчмын хувьд энэ жишээн дээр бяцхан тайлбар хийе.

Цахим халдлага үйлдэгч этгээдийг үндсэнд нь 4 хувааж болно.

1. Скриптчин бацаан (script kiddie)

2. Хактивист (hacktivist)

3. Ашиг хонжоо хайгч (carders, skimmers, phishers etc)

4. Төр (nation state sponsored)

Скриптчин бацаан бол ойр зуур автомат багаж (tool) ажиллуулж, системийн цоорхойгоор нэвтэрдэг анхлан суралцагч маягийн нөхдүүд. Мэдээж хэрэг хорлонтой. Гэхдээ хамгаалж чадсан байхад учрах аюул нь харьцангуй бага. Зарим тохиолдолд мөнгөний төлөө халддаг бол ихэнх тохиолдолд нэр хүндээ өсгөж, эгогоо тэжээх гэж халдлага үйлддэг.

Хактивист буюу хак+активист нь өөрийн үзэл бодлыг цахим орчинд илэрхийлж буй нэгэн. Гудамжинд лоозон бариад аятайхан жагсаж чадахгүй заавал хажуугийн байшингийнх нь цонхыг хагалдаг нөхдүүд шиг үзэл бодлынхоо эсрэг этгээдүүд рүү дайрч уур хилэнгээ гаргадаг. Мэдээж хэрэг аюултай, гэхдээ ганц нэгээрээ бол том асуудал биш. Олноороо нэг зүйлийн төлөө нэгдээд эхэлвэл эвгүйтнэ. Хамгийн том жишээ бол Анонимс групп. Болж өгвөл чангахан чимээ гаргах сонирхолтой, өөрөөр хэлбэл хийж байгаа үйлдлээ аль болох олон нийтэд мэдэгдэж байх нь чухал.

Ашиг хонжоо хайгч бол ойлгомжтой, цахим мэдээлэл ашиглан мөнгө олж болох бүх л арга хэрэгслийг ашиглагч нэгэн. Нийт амжилттай цахим халдлагын дийлэнх хувь нь эдгээр этгээдүүдэд хамаарна. Хорлонтой бөгөөд оппортунист, юу ч голохгүй, хамгийн хялбар аргаар богино хугацаанд ахиухан мөнгө олох зорилготой. Мэргэшил тус бүрээрээ ялгарч улам бүр зохион байгуулалтанд орж цахим “зэвсгээ” наймаалцдаг өөрсдийн гэсэн хар захтай хүртэл болоод авсан. Монголд ч гэсэн гарч буй цахим гэмт хэргийн дийлэнх нь энэ ангилалд харъяалагдаж байгаа байх.

Сүүлийн ангилал нь төрийн тусгай хүчнүүд эсвэл төртэй хамааралтай (хөлсний гэмт хэрэгтнүүд гм) этгээдүүд. Эдгээр нөхдүүдэд мөнгө сонин биш, гол нь нууц мэдээлэл олж авах бөгөөд түүнийхээ төлөө хэдэн сар жилээр ч хамаагүй уйгагүй оролдлого хийнэ. Хамгийн сүүлийн үеийн хэний ч мэдээгүй нүх цоорхойг (0 day vulnerability) ашиглан хэнд ч мэдэгдэхгүйгээр чимээгүйхэн нэвтэрч шаардлагатай мэдээллээ олж авна. Ийм үйлдлээрээ хамгийн алдаршсан нь манай хоёр хөрш. Мэдээж хэрэг төр нь байнга үгүйсгэдэг ч БНХАУ-ын Ардын Чөлөөлөх армийн цэргийн ангиуд болон ОХУ-ын КГБ-ээс санхүүждэг гэх хувь хүмүүс олон нийтэд ил болоод эрэн сурвалжлагдаад байгаа. Энэ нөхдөөс хэрхэн хамгаалах учраа салбартаа номер 1 гэгдэх Америкийн төр ч хараахан олж чадаагүй явна. Касперски тайланд дурьдсанаар бол энэ удаад бид “дахин нэг” Төр эсвэл Төрөөс санхүүжигч этгээдтэй учирсан бололтой.

Нэгэнт хамгаалж чадахгүй юм бол аюулгүй байдлаар яах вэ гэж бодогдох байх. Ядаж эхний хоёр төрлийн халдагчдаас бүрэн хамгаалах, гуравдах төрлийн халдлагаас учрах хохирлыг хамгийн багад барих болон Төр эсвэл төрөөс санхүүжигч нэгний халдлагаас чадлынхаа хэмжээнд сэргийлэхэд аюулгүй байдлын нэгжийн үндсэн зорилго оршино.

Гэтэл бодит байдал дээр Монголд кибер аюулгүй байдал гэж айлын шоовдор хүүхэд шиг салбар байна. Төр ч тэр, хувийн компаниуд ч тэр кибер аюулгүй байдлыг зардал л гэдэг өнцөгөөс төвөгшөөж хардаг. Энэ салбарыг зохицуулах хууль нь хүртэл батлагдахгүй 3 парламент дамжиж байна. Хууль болон хуулийн хэрэгжилтийг хангах тодорхой механизм нь байхгүй нөхцөлд хувийн компаниудад аюулгүй байдлаа сайжруулах хөшүүрэг байхгүй. Мэдээж хэрэг эдийн засгийн өнцгөөс нь харахад хэн ч гэсэн хий гэж тулгаагүй асуудалд мөнгөө үрэхийг хүсэхгүй.

Нөгөө талд нь олон нийт цахим хэрэглээ, цахим эрсдэл, хувийн нууцын талаархи ойлголт тун тааруухан. MNCERT/CC ТББ-аас энэ талаар мэргэжилтнүүд, олон нийтийн мэдлэгийг сайжруулах зорилгоор янз бүрийн арга хэмжээ зохион байгуулдаг. Сүүлийн 5 жил дараалан MNSEC арга хэмжээнд хэвлэл мэдээллээс урьсан боловч нэг нь ч ирж байсангүй. Харин томоохон компаниас гоё газарт тансаг байдлаар зохион байгуулж байгаа сурталчилгааны шахуу арга хэмжээг бол хэд хоног сурталчилсан даа.

Монгол дахь манай салбарынханыг тасарчихсан мундаг гэж хэлж чадахгүй. Гэхдээ яг үнэндээ хүчирхэг гүрнүүдийн тусгай албадын эсрэг сая хүрэхгүй төгрөгний цалинтай хэдэн инженер тавьчихаад ямар том үр дүн хүлээсэн юм бэ.

Эцэст нь аюулгүй байдлынханыг “юмс хэвийн ажиллаад байвал би яах гэж аюулгүй байдалд мөнгө зарцуулах юм гэнэ, юм болохоо байгаад эхэлвэл бид нар яах гэж ингэж их мөнгө зарцуулсан юм” гэж хардаг нийтлэг хандлага ажиглагдах юм даа.

М.Отгонпүрэв /Аюулгүй Байдлын мэргэжилтэн/