Business.mn болон И-Монголиа академитай хамтран бэлтгэсэн сэтгүүлийн тусгай дугаараас
Ярилцлагаа хувь хүний мэдээллийн аюулгүй байдал гэх тодорхойлолт хэрхэн хувьсан өөрчлөгдөж байна вэ гэдэг асуултаар эхэлмээр байна.
Сүүлийн жилүүдэд хувь хүний мэдээллийн аюулгүй байдал гэхээсээ илүү хувь хүний мэдээлэл гэж юу вэ гэдэг хуулийн тодорхойлолтод ихээхэн өөрчлөлт орсон. 1995 онд батлагдсан “Хувь хүний нууцын тухай” хуулиар хувь хүний нууцыг дөрвөн ангилалд ерөнхий байдлаар тодорхойлж байсан бол 2021 оны “Хүний хувийн мэдээлэл хамгаалах тухай” хуулиар хүний хувийн мэдээллийг илүү тодорхой, нарийвчилсан байдлаар тодорхойлсон нь технологи, нийгмийн хөгжлийн орчин үеийн хэрэгцээ шаардлагад нийцүүлж чадсан гэж боддог. Тухайлбал хүний хувийн мэдээлэл доторх илүү нарийн төвөгтэй харилцаа үүсгэж болох бүлэг мэдээллийг ялган авч эмзэг мэдээлэл гэж нэрлэсэн.
Төр нь иргэнийхээ, байгууллагууд нь хамтрагч, үйлчлүүлэгчийнхээ, хувь хүн нь бусдын болон өөрийн мэдээллийн аюулгүй байдлыг хангах нь эрсдэлээс сэргийлэх чухал ач холбогдолтой юм.
“Хүний эмзэг мэдээлэл” гэдэгт хүний үндэс, угсаа, шашин шүтлэг, итгэл үнэмшил, эрүүл мэнд, захидал харилцаа, генетик, биометрик мэдээлэл, тоон гарын үсгийн хувийн түлхүүр, ял эдэлж байгаа болон ял эдэлсэн эсэх, бэлгийн болон хүйсийн чиг баримжаа, илэрхийлэл, бэлгийн харьцааны талаарх мэдээлэл” хэмээн тодорхойлдог.
Өнөөдрийн дижитал эринд хувь хүний мэдээллийн аюулгүй байдлын ач холбогдлыг тайлбарлавал?
Хувь хүний мэдээллийн аюулгүй байдал алдагдсанаар үүсэх сөрөг үр дагавар олныг дурдаж болно. Тухайлбал нэр хүндээ алдах, ичгүүртэй байдалд орох, доромжлуулах, сэтгэл санаа хямрах, өөрийн өмч, эзэмшилдээ хандах болон нэвтрэх эрхээ алдах, луйварт өртөх, бие махбод гэмтэх, сүрдүүлэгт өртөх, нийтийн үйлчилгээгээ авч чадахаа болих, ялгаварлан гадуурхагдах, сонгох эрхээ алдах зэрэг юм. Иймээс төр нь иргэнийхээ, байгууллагууд нь хамтрагч, үйлчлүүлэгчийнхээ, хувь хүн нь бусдын болон өөрийн мэдээллийн аюулгүй байдлыг хангах нь эдгээр эрсдэлээс сэргийлэх чухал ач холбогдолтой юм.
Хүмүүс хувийн мэдээллээ хэнд, ямар тохиолдолд ашиглахыг зөвшөөрч болох уу?
Хуульд “мэдээллийн эзэн” гэж тухайн мэдээллээр тодорхойлогдож байгаа хүнийг болон түүний хууль ёсны төлөөлөгчийг тодорхойлон заасан. Мэдээллийн эзэн хэд хэдэн тохиолдолд хувийн мэдээллээ бусдад зөвшөөрөн ашиглуулж болдог. Үүнд төрийн байгууллагад, төрийн байгууллагаас бусад хуулийн этгээд, хуулийн этгээдийн эрхгүй байгууллага, хувь хүнд ашиглуулах бол хуульд заасан үндэслэлээр, хөдөлмөрийн харилцааны явцад мэдээлэл хариуцагч эрхээ эдлэх, үүргээ биелүүлэх, гэрээ байгуулах, байгуулсан гэрээний хэрэгжилтийг хангах зэрэг тохиолдолд хүмүүс хувийн мэдээллээ ашиглахыг зөвшөөрч болно. Эмзэг мэдээллээ өөрийн болон бусдын эрүүл мэндийг хамгаалах, эрүүл мэндийн үйлчилгээ авах зорилгоор эрүүл мэндийн ажилтанд, иргэн, хуулийн этгээдийн гаргасан нэхэмжлэлийн шаардлагад хуульд заасны дагуу тайлбар, мэдүүлэг, нотлох баримт гаргаж өгөх зорилготой үед ашиглуулж болно. Харин эмзэг мэдээлэл дотроо хувь хүний генетик болон биометрик мэдээллийг ашиглах зохицуулалтыг хуульд илүү нарийвчлан заасан. Тухайлбал “ажил олгогч хөдөлмөрийн дотоод журамд заасны дагуу ажилтныг таньж, баталгаажуулах үйлдлийг хялбарчлах зорилгоор ажилтны зөвшөөрлөөр биеийн давхцахгүй өгөгдөл /гарын хурууны хээ/-өөс бусад биометрик мэдээллийг ашиглаж болно” гэж. Эдгээр мэдээллийг цуглуулах, ашиглахаас өмнө мэдээлэл хариуцагч буюу тухайн мэдээллийг цуглуулан авч буй эрх бүхий этгээд нь мэдээллийн эзний зөвшөөрлийг цаасан болон цахим хэлбэрээр авсан байх ёстой.
Иргэдийн хувийн мэдээллээ хамгаалах тухай ойлголт, мэдлэг, дадал хэр байна вэ, бид өөрсдөө хариуцлагатай байж чадаж байна уу?
Манай иргэдийн хувьд тун хангалтгүй байна. Наад зах нь нийгмийн сүлжээнд хувийн мэдээллээ ихээр тавьж байна. Тухайн сүлжээнүүдийн тохиргоог сайн мэдэхгүйгээс нууж болох мэдээллүүдээ нуухгүй байна. Товчхондоо иргэдийн цахим боловсрол, кибер аюулгүй байдлын мэдээлэл, мэдлэг чадвар тун хангалтгүй байна. Ийм ч учраас манай байгууллага бүх нийтийн мэдээллийн технологи, кибер аюулгүй байдлын ур чадварыг дээшлүүлэх сургалт, хөтөлбөрүүдийг зохион байгуулах зорилго бүхий “Цахим ур чадварын газар” бий болгон ажиллаж байна.
Улсын байгууллага хүний хувийн мэдээлэл болон эмзэг мэдээллийг аюулгүй хадгалж байгааг хэрхэн баталгаажуулах вэ?
Мэдээллийн системүүд дэх халдлагын болон эмзэг байдлыг шалгуулж олдсон алдаа дутагдлыг засах юм. Манайхны дунд аудит болон бусад шалгалтыг хийлгээд алдаа дутагдал олдвол ажлынх нь үр дунд сөргөөр нөлөөлөх, буруутгагдана гэсэн нийтлэг буруу ойлголттой байдаг. Аудит, шалгалтууд нь хэн нэгэн албан тушаалтан, хувь хүний эсрэг хийдэг ажил биш. Энэ нь тухайн байгууллагын тогтолцоо, мэдээллийн системүүдэд буй алдаа дутагдлыг илрүүлж зөвлөмж гаргах зорилготой тул болгоомжлох бус харин ч нягт хамтран ажиллаж, үйл ажиллагаагаа тасралтгүй сайжруулах ач холбогдолтой байдаг.
Мэдээллийг цуглуулах, ашиглахаас өмнө мэдээлэл хариуцагч буюу тухайн мэдээллийг цуглуулан авч буй эрх бүхий этгээд нь мэдээллийн эзний зөвшөөрлийг цаасан болон цахим хэлбэрээр авсан байх ёстой.
Хувийн мэдээллийн аюулгүй байдлыг алдагдуулж болзошгүй нийтлэг аюул, эрсдэл юу байна вэ? Эрсдэлийг хэрхэн бууруулдаг вэ?
Биднээс хамаарах эрсдэлүүдийг энд дурдах нь хүмүүст илүү хэрэгтэй байх гэж бодож байна. Хувь хүний өөрийн мэдээлэл, мэдлэг, чадвар сул байх нь хамгийн том эрсдэл болж байна. Үүнтэй тэмцэх арга нь бүх нийтэд чиглэсэн мэдээллийн технологи, кибер аюулгүй байдлын сургалт, сурталчилгаа зохион байгуулах юм. Тухайлбал хүчтэй нууц үгтэй байх, нууц уг ба нууц код гэх мэт олон хүчин зүйлт танин баталгаажуулалтуудыг давхар ашиглах (Multi-factor authentication), аливаа холбоост хянамгай хандах, өөрт онц хэрэгцээгүй файлыг татахгүй, ажиллуулахгүй байх зэрэг ур чадварт иргэд суралцаж дадал болгомоор байна. Харин байгууллагуудын мэдээллийн аюулгүй байдал сул байх нь түүнд хадгалагдаж, боловсруулагдсан хувь хүний мэдээлэл алдагдах эрсдэлийг ихэсгэдэг. МАБ-аа хүн, процесс, технологи гэсэн гурван чиглэлд сайжруулах нь энэ эрсдэлийг бууруулна. Хамгаалах шийдлүүдийг оновчтой хэрэгжүүлэх, ажиллуулах чадвартай боловсон хүчний дутагдал нь бас томоохон эрсдэл үүсгэж байна. Ийм боловсон хүчний дутагдалд ороогүй байгууллага манайд бараг байхгүй болов уу. Мэргэжлийн боловсон хүчнээ сургах, хадгалан авч үлдэх нь их чухал.
Хувь хүний өөрийн мэдээлэл, мэдлэг, чадвар сул байх нь хамгийн том эрсдэл болж байна. Үүнтэй тэмцэх арга нь бүх нийтэд чиглэсэн мэдээллийн технологи, кибер аюулгүй байдлын сургалт, сурталчилгаа зохион байгуулах юм.
Дутагдлыг арилгах нэг арга зам нь кибер аюулгүй байдлын мэргэжилтнийг хагас цагаар хөлслөн ажиллуулах зам. Ийм орчин бүрдүүлж чадвал жижиг, дунд байгууллагууд нь мэргэжилтнээ хуваалцан бага зардлаар хүний нөөцийн дутагдлаас гарч болмоор санагддаг. Жишээ нь Литвад кибер аюулгүй байдлын нэг мэргэжилтэн 12 хүртэл компанид зэрэг ажиллах жишээ байна. Манайд иргэн ингэж олон компанид ажил эрхлэх нийгмийн даатгал төлөх хууль, эрх зүйн боломжгүй байна.
Байгууллага, ажилтан хувь хүний мэдээлэл цуглуулах, ашиглахтай холбоотой ёс зүйдээ хэр үнэнч вэ, түүнд хэрхэн анхаарч, тэнцвэржүүлдэг вэ?
Өөрийн туршлагаас харахад манай банкнууд болон харилцаа холбооны компаниуд энэ тал дээр их анхаарч, хөрөнгө хүч зарцуулдаг. Мэдээллийн аюулгүй байдлын бодлого журмаа сайн боловсруулж, тогтмол шинэчлэн ажилчдаараа мөрдүүлж, тэднийг сүүлийн үеийн кибер халдлага, аюул заналын мэдээллээр тогтмол ханган ажилладаг нь мэдэгддэг. Харин бусад салбарын хувьд сайн мэдэхгүй байна. Эрүүл мэндийн байгууллагуудын хувьд энэ асуудалд ихээхэн анхаарал тавих шаардлагатай гэсэн хувийн бодол бий.
Мэдээллийн аюулгүй байдалд мэдээлэл хадгалах, устгах бодлого ямар ач холбогдолтой вэ?
Мэдээллийн амьдралын мөчлөгт цуглуулах, боловсруулах, хадгалах, дамжуулах, устгах гэсэн үе шат байдаг. Байгууллагуудыг ажиглахад мэдээлэл цуглуулахдаа зорилгоосоо хэтэрсэн их мэдээлэл авах нь элбэг байна. Энэ нь эргээд байгууллагадаа илүү эрсдэл үүсгэж нэмэлт зардал болдгийг сайн ойлгож шийдвэр гаргавал зүйтэй. Бизнес зорилгодоо хүрсний дараа цуглуулж боловсруулсан мэдээлэл нь хэрэггүй болсон байхад ч хадгалсаар, сүүлдээ тийм мэдээлэл хадгалснаа ч мартчихдаг. Тэгээд компьютероо алдах эсвэл бусдад шилжүүлсэн тохиолдолд хувь хүний мэдээллүүд алдагдаж, байгууллага асуудалд ордог. Эндээс таны дурдсан бодлого ямар чухал нь харагдаж байна.
Мэдээллийн аюулгүй байдлын хамгийн сүүлийн үеийн чиг хандлага, аюул хэрхэн хувирч байна вэ?
Салбарын мэдээ мэдээлэл харж байхдаа уншсан нэг нийтлэлээс мэдээлэл хуваалцъя. Манайд хэвшил болоогүй технологийн үг хэллэгийг өөрийнхөөрөө орчуулан хүргэж байгааг хүмүүс зөвөөр ойлгоно гэж найдаж байна. 2009-2012 онд дэвшилтэт, байнгын халдлага (Advanced persistent threats – APT) нэртэй халдлага хамгийн их аюул занал учруулсан. Миний мэдэхээр Монголд 2016, 2017 оны үед ч энэ төрлийн довтолгоо ихээр илэрдэг байсан. 2021, 2022 онд нийлүүлэлтийн гинжин хэлхээг ашигласан халдлагууд их газар авсан. Мөн файл кодлон мөнгө нэхдэг халдлага (Ransomware) нь үүлэн үйлчилгээ болтлоо өргөжин хөгжсөн. Харин сүүлийн үед бодит мэт дуурайх (deepfake), хийсвэр хувь хүн үүсгэх (synthetic identity) аргыг ашиглан бусдыг төөрөгдүүлэх, залилах луйвар их хөгжиж байна.
