Монголд түгээмэл анзаарагдсан байгууллагын мэдээллийн аюулгүй байдлыг хангахад гардаг ойлголтын зөрүүнүүдийн талаар бичихийг хичээлээ.

Балансыг олох

Ихэнх мэдээллийн систем гурван үндсэн шаардлагыг хангаж байх ёстой байдаг. Эдгээр нь UX/UI буюу хэрэглэгчийн интерфэйсийн дизайн, Performance буюу гүйцэтгэлийн хурд, Security буюу аюулгүй байдал. Энэхүү гурван шаардлага жингийн туухай мэт балансаа олж байх ёстой. Өөрөөр хэлбэл хэрэглэгчийн интерфэйсдээ хэт их анхаарвал аюулгүй байдал болон гүйцэтгэлийн хурд орхигдох магадлалтай эсвэл хэт хурдан систем хийж байна гээд хүн хэрэглэхэд түвэгтэй, онгорхой цоорхой нүх сүв ихтэй юм бас бүтээчих боломжтой. Өөрөөр хэлбэл 100% аюулгүй эсвэл 100% хурдан систем байх боломжгүйтэй адил 100% хэрэглэгчийн таалалд нийцсэн систем оршин тогтнох боломжгүй юм. Тэгэхээр тухайн системийн эцсийн зорилго болон хэрэглэгчээс хамаарч энэхүү жингийн тухай дээш доош хэлбэлзэх ёстой. Өөрөөр хэлбэл залууст зориулсан нийгмийн сүлжээний хувьд хэрэглэгчийн интерфэйс болон ажиллагааны хурдандаа илүү анхаарах шаардлагатай бол банкны систем аюулгүй байдлаа илүүд үзэж дунд зэргийн хурдтай хэрэглэгчийн интерфэйс тийм ч чухал биш байж болно.

 Эдийн засгийн үр ашигтай байдал

Ямар ч хөрөнгийг мөнгөн дүнгээр илэрхийлэх боломжтой. Бэлэн мөнгө, үнэт цаас, үл хөдлөх, автомашин гэх мэт бодит хөрөнгийг мөнгөөр үнэлэх нь ойлгомжтой бол цаасан дээр эсвэл серверт хадгалагдаж буй үнэ цэнэтэй мэдээллийн хөрөнгийг хэрхэн мөнгөн дүнгээр илэрхийлэх вэ.

Түгээмэл ашиглагддаг энгийн аргууд нь тухайн нууц бөгөөд үнэ цэнэ бүхий мэдээллийг ашигласнаар хэдэн төгрөгний орлого олох боломжтой эсвэл тухайн мэдээллийг өрсөлдөгчдөө алдсанаар хэдий хэмжээний хохирол учирч болзошгүй зэрэг бизнесийн болон эрсдэлийн тооцооллоор мэдээллийн үнэ цэнийг тодорхойлдог. Жишээлбэл банкны үндсэн систем 5 минут унахад банкинд хийгдэж болох байсан хэчнээн гүйлгээ дунд нь гацаж банкинд орж ирэх ёстой байсан хэдий хэмжээний орлого тасалдах, мөн уг саатлаас шалтгаалан унах бизнесийн нэр хүнд зэргийн нийлбэр тооцооллоор тухайн мэдээллийн системийн (хөрөнгийн) хүртээмжтэй байдлын үнэ цэнийг тодорхойлж болно.

Нэгэнт хөрөнгийн үнэ цэнийг тодорхойлсон нөхцөлд энэхүү үнэнд тохирсон хамгаалалт хийх нь ойлгомжтой. Өөрөөр хэлбэл 100 долларын мэдээллийг хамгаалахын тулд 1000 долларын үнэтэй firewall ашиглах шаардлагагүй, эсвэл унасан тохиолдолд минутанд л 1000 доллар алдах системийг хамгаалахаар 200 долларын рүтер тавьж болохгүй гэсэн үг.

Мэдээллийн аюулгүй байдал ганц Монголд гэлтгүй олон газар айлын шоовдор хүүхэд шиг байх тохиолдол их. Байгууллагын голлох хөрөнгө оруулалтууд бизнес хөгжил, маркетинг гэх мэт мөнгө олж ирэх нэгжүүдэд зарцуулагдаад мөнгө алдахаас сэргийлэх үүрэгтэй аюулгүй байдалд үлдсэн жаахан шавхрууг нь наах тохиолдол элбэг. Ийм учир мэдээллийн үнэ цэнийг зөв тодорхойлсоноор аюулгүй байдалд зоригтойгоор хөрөнгө оруулалт хийх үндсийг бүрдүүлж өгөх боломжтой.

PoLP

Principle of Least Privilege буюу хамгийн бага эрхийн зарчим гэсэн ойлголт аюулгүй байдалд бий. Жишээлбэл хандах шаардлагатай хүнд нь л хандах эрхийг өг, гэхдээ хамгийн бага байдлаар өг гэсэн санаа юм. Монголд анзаарагдсан нэг зүйл дарга захирлууд ямар ч системд хандах өндөр эрхтэй байх ёстой гэсэн бичигдээгүй дүрэм. Захирал хүн мэдээж их мэдээлэл дундаас зөв шийдвэр гаргах ёстой нь үнэн байх. Гэхдээ аюулгүй байдлын өнцөгөөс харахад уг байгууллагын захирал өөрөө аюулгүй байдлын том эрсдэл болж хувирдаг. Захиралд магадгүй компаний ашиг алдагдлын тайланг үзэх эрх байж болох ч гүйлгээ шивэх эсвэл системийн хандалтын логийг хянах эрх байх нь зохимжгүй. Захирал гүйлгээ шивэх шаардлагатай бол энэ ажлыг хийх үүрэгтэй нягтлан шивж захирал баталгаажуулах эрхтэй байх ёстой.

Өөрөөр хэлбэл албан тушаал дээшлэх тусам системд хандах эрх өндөрсөх албагүй бөгөөд системд хандах эрхийн түвшин нь ажил үүргийн хуваарийн дагуу хэн юу хийж байгаагаас шалтгаалах зайлшгүй шаардлагатай.

Боомтондоо зогсож буй усан онгоц хамгийн эрсдэлгүй нь

МАБ-ын эрсдэлийг үнэлэх нь харьцангуй ойлголт. Хүссэн ч эс хүссэн ч үйл ажиллагаа явуулж буй нөхцөлд аюулгүй байдлын аливаа эрсдэл гарах нь үнэн бөгөөд уг эрсдэлээс үүсч болох сөрөг үр дагавар болон уг эрсдэл биелэх магадлал нь тухайн эрсдэлийн авч үзэх шаардлагатай эсэхийг тодорхойлдог. Өөрөөр хэлбэл УБ хотод дата төвийн барилга дотор гал гарах эрсдэл нь газар хөдөлж уг дата төвийг нураах магадлалаас өндөр учир илүү бодитой байх жишээтэй. Юу ч хийхгүй байгаа нөхцөлд л эрсдэл алга болно гэхээс үйл ажиллагаа явуулж байгаа л бол тодорхой хэмжээний эрсдэл үүсэх нь үнэн. Ийм ч учир боомтондоо зогсож буй усан онгоц л хамгийн эрсдэлгүй нь гэж хошигнодог байх. 

Аюулгүй байдлын эрсдэлийн үнэлгээг тооцох олон янзын аргачлал байдгаас хамгийн энгийн нь:

Э=Ү*М*Ж

гэсэн томъёо. Уг томъёоны Э үсэг нь Эрсдэлийн оноо бол Ү нь тухайн эрсдэл бодитоор бий болсоноор гарч болох сөрөг Үр дагавар, М нь уг эрсдэл гарах Магадлал, Ж нь уг эрсдэлийн Жин (weight) юм.

Энэхүү томъёонд гарч буй Ж буюу жин нь тухайн эрсдэлийн ач холбогдолын эрэмбэ юм. Жишээлбэл компаний зөвхөн мэдээлэл түгээдэг вэбсайт хакдуулах болон шинэ бүтээгдэхүүний жорыг өрсөлдөгчид алдах эрсдэлүүдийг нэг эрэмбээр тооцож үнэлэх ёсгүй. If everything is priority nothing is priority буюу хэрэв бүх юм чухал гэж үзэж буй бол юу ч чухал биш болж таардаг гэсэн үгний утга энд бий. Тухайн бизнесийг байхгүй болгох эрсдэл нь хүн ордог эсэх нь ч тодорхойгүй статик вэб хуудас хакдуулах эрсдэлтэй нэг түвшинд тооцогдох нь утгагүй учир ийнхүү жигнэдэг хэрэг.

Иймээс аюулгүй байдлын бодлого зохицуулалтын түвшинд эрсдэл тус бүрийг олж илрүүлэн жигнэж эрсдэлийн оноогоор нь эрэмбэлэх нь чухал алхам юм.

 Керчхофын зарчим

19-р зуунд Голландын криптографикч Аугусте Керчхоф криптографийн нэгэн зарчим тодорхойлсон нь өнөөдөр дэлхий даяар крипто системийн үндсэн баримтлах ёстой жишиг болжээ. Энэхүү зарчмыг Монголоор махчлан сийрүүлвэл “Аливаа шифрийн нууцлал нь тухайн шифрийг үүсгэж буй алгоритмын нууц эсэхэд бус тухайн шифрийг нууцалсан нууц үгний найдвартай байдалд оршино”

Энгийнээр тайлбарлавал шифр буюу нууц мэдээллийг хэрхэн нууцалсан нь нийтэд ил байснаар асуудал үүсгэхгүй бөгөөд харин тухайн мэдээлэлд хандах түлхүүр буюу нууц үг найдвартай байгаа нөхцөлд уг мэдээлэл нууцлалаа хадгалах юм. Өөрөөр хэлбэл тухайн шифрийг үүсгэж буй процессийн нууцлалд шифрийн найдвартай байдлыг даатгаж болохгүй гэсэн санаа.

Монголд тогтсон нэг буруу ойлголт байдаг нь нээлттэй эхийн програм хангамжийн эх код бүгдэд ил харагдах учир найдваргүй аюултай, үүний оронд эх кодоо нууцлаад өөрөө “гэртээ” (in house) нүдэж байгаад нэг юм хийчихвэл хэн ч миний юу хийснийг ойлгохгүй учир аюулгүй байдлын хувьд илүү найдвартай гэх ойлголт.

Хэдийгээр Керчфхофын зарчим яг энэ жишээг дурьдаагүй ч ер нь төстэй нөхцөл байдал. Өөрөөр хэлбэл тухайн системийн эх код буюу тухайн системийг бүтээх процесс нийтэд нээлттэй байх нь өөрөөс нь өөр хэн ч хараагүй кодноос илүү аюултай гэсэн баталгаа хаана ч байхгүй. Харин ч эсрэгээр эх код нь нээлттэй байснаар илүү олон нүд алдаа мадагийг нь шүүж нүх сүвийг нь битүүлсэн бүтээгдэхүүн гарах магадлалтай. Харин нээлттэй эх дээр тулгуурласан уг системийг хэрхэн арчилж хамгаалж буй болон нэвтрэх нууц үгний найдвартай байдал зэрэг нь тухайн системийн нууцлалыг хангах ёстой юм.

Монголд нэг хэсэг бүгд Joomla хэмээх нээлттэй эхийн Content Management System (CMS) ашиглаж вэб хуудастай болдог байв. Нэг өдөр Joomla дээр олдсон цоорхойг ашигладаг автомат скриптээр гаднаас халдлага хийхэд .mn домэйнтэй хамаг вэбүүд хиар цохиулав. Ганц нэг аюулгүй байдлын нэмэлт плагин суулгасан вэбүүд хакдуулаагүй үлдсэн санагдаж байна. Үүний дараа манайхан учиргүй нээлттэй эхийн бүтээгдэхүүнүүдийг харааж найдваргүйг нь гайхав. Надад бол 1. Автомат скриптэнд хиарахаар бүгд адилхан тохиргоотой олон вэб байсан нь өөрөө асуудал 2. Хэрэв нэмэлт плагин суулгах, тохиргоогоо чангатгах гэх мэт арга хэмжээ авсан бол заавал ийм хаканд унах учиргүй байсан байх.

Магадгүй гэртээ нүдэж хөгжүүлсэн систем ядаж ийм автомат скриптэнд унахгүй байсан байж магад. Гэхдээ тохиргоог нь чангатгасан Joomla ямар ч тохиолдолд хэдхэн хүний “нууцалж” байгаад бүтээсэн вэбээс илүү найдвартай гэдэгт би итгэдэг.

Технологи бол хариулт биш, технологи бол асуулт

Эцэст нь, технологи аюулгүй байдлыг шийдэх хариулт нь биш харин улам олон асуулт нэмж бий болгодог эд. Мэдээж технологигүйгээр өнөөгийн ертөнцөд хамгаалалт хийх боломжгүй ч дан ганц технологид найдсанаар аюулгүй сууна гэсэн баталгаа байхгүй.

Мэдээллийн аюулгүй байдал нь хүн, процесс, технологи гэсэн үндсэн 3 багана дээр тулгуурладаг учир үнэтэй антивирус авч суулгах төдийгөөр вирустэх аюулаас бүрэн зайлсхийх боломжгүй. Харин уг системийг ашиглаж буй хүн найдваргүй имэйлийн хавсралт нээхгүй хэмжээний ойлголттой, уг антивирусны програм нь өдөр болгон баазаа шинэчлэх процессийн тохиргоотой байж аюулгүй байдлын эрсдэл буурна.

Үлгэрлэбэл 30 мянган долларын үнэтэй нарийн функцууд бүхий firewall тавьчихаад уг төхөөрөмжийг ажиллуулах үүрэгтэй сисадминдаа эдгээр нарийн функцуудийг хэрхэн ашиглах сургалтыг нь авч өгөхгүй эсвэл firewall дээрээ юуг блоклох юуг нэвтрүүлэх журам нь тодорхойгүй бол зарцуулсан 30 мянган доллар тань салхинд хийссэнээс өөрцгүй.