С.Тэнгис: Иргэд кибер халдлагад өртсөн үед дэмжлэг үзүүлэх Олон нийтийн төвтэй болно

Монгол Улс анх удаа Кибер аюулгүй байдлын тухай хуулиа баталж, 10 гаруй жил судлан яригдсан ажил биеллээ олов. Энэ хуулийн төслийг боловсруулах ажилд оролцон ажилласан Мэдээллийн технологи, аюулгүй байдлын зөвлөх С.Тэнгистэй ярилцлаа.
С.Тэнгис: Иргэд кибер халдлагад өртсөн үед дэмжлэг үзүүлэх Олон нийтийн төвтэй болно

Кибер аюулгүй байдлын тухай хуулиа баталлаа. Хуулийн төсөл нь Монгол Улсын хүн ам, бааз суурь, аюулгүй байдлын үнэлэмж, тоо судалгаан дээр үндэслэгдэн боловсруулагдсан уу эсвэл аль нэг улсын хуулиас санаа авсан уу ?

-Кибер аюулгүй байдлын тухай хууль бол анхдагч буюу цоо шинээр бий болж байгаа, шинэ тутам харилцааг зохицуулсан хууль. Хэрэгцээ шаардлага нь бий болоод удчихсан, хэд хэдэн удаа уг хуулийн төслийг төрөл бүрийн байгууллагаас боловсруулж байсан. Бараг 20 орчим жилийн түүхтэй гэж санаж байна. Юуны өмнө хууль Монгол Улсын урт хугацааны хөгжлийн бодлогын баримт бичиг болох “Алсын Хараа-2050” болон Үндэсний аюулгүй байдлын үзэл баримтлалд нийцэж боловсруулагдах ёстой. Эдгээр баримт бичгүүдэд Мэдээллийн аюулгүй байдлын талаар бүлгүүд байдаг. Мөн тодорхой хэмжээгээр төрийн залгамж халаа талаасаа өмнө боловсруулсан төслүүд, байгууллагуудаас ирсэн саналтай танилцана.

Түүнчлэн Монгол Улс олон жилийн турш Эстони улсын жишгээр цахим шилжилтийг хэрэгжүүлж байгаа гэдэг үүднээс Эстони улс болон Европын Холбооны зохицуулалтуудыг судалж үздэг. Судлахдаа мэдээж засаглалын тогтолцоо, байгууллагуудын чиг үүрэг зэргийг харгалзсан. Үүнээс гадна Кибер аюулгүй байдлын индексээр тэргүүлж буй улсуудыг, Кибер аюулгүй байдлын индексийн хэмжүүр үзүүлэлтүүдийг анхаарч үзсэн.

Манай улс кибер аюулгүй байдлын индексийн үзүүлэлтээрээ хэдэд жагсдаг вэ. Үүнээс бидний аюулгүй байдлын түвшин тодорхойлогдох байх?

-Олон улсын цахилгаан холбооны байгууллагаас Кибер аюулгүй байдлын индекс гэж гаргадаг. Монгол Улс тус индексээр хамгийн сүүлийн байдлаар, 2020 онд 194 улсаас 120-р байранд орсон.

Энэ бол чамлахаар үзүүлэлт. Үзүүлэлтүүд дундаа чадавхын хөгжлөөр хамгийн муу, доод оноог авсан. Чадавх нь үндэсний хэмжээнд, иргэдэд кибер аюулгүй байдлын талаар мэдлэг, мэдээлэл олгох арга хэмжээнүүд хэрэгжүүлдэг эсэх, кибер аюулгүй байдлын R&D судалгаа, шинжилгээ хийдэг эсэх, тус чиглэлээр хөгжүүлэлт, үйлдвэрлэлтэй эсэхийг тооцдог. Бусад үзүүлэлтүүдээр ч хангалттай оноо аваагүй. Дээрх индексийн хуулийн хэмжүүр нь кибер аюулгүй байдал, хувийн мэдээлэл хамгаалах болон онц чухал мэдээллийн дэд бүтцийг хуулиар хамгаалсан эсэхийг тооцдог. Саяхан батлагдсан Цахим хөгжлийн багц хуулиас Хүний хувийн мэдээлэл хамгаалах тухай болон Кибер аюулгүй байдлын тухай хуулиудаар тус индексийн эрх зүйн хэмжүүр дээшилнэ. Мөн хуулиар зохицуулсан харилцаанууд бусад хэмжүүрүүдэд тодорхой хэмжээнд эергээр нөлөөлөх юм. Гэхдээ хууль бол тодорхой салбарын асуудлын нэг л хэсэг нь. Хэрэгжүүлэх нь чухал.

Кибер аюулгүй байдлын хуулийн хэрэгжилтийг хангах бааз суурь, халдлага дайралтыг зогсоох, хариу үйлдэл үзүүлэх энэ талын мэргэжлийн боловсон хүчнийг хэрхэн бэлтгэх, ажиллуулах вэ?

-Хуулийн хэрэгжилтийг хангах нь чухал. Хамгийн тулгамдсан асуудал бол мэдээллийн технологийн салбарын хүний нөөц байна. Суурь салбарын хүний нөөц дутмаг байгаа нь кибер аюулгүй байдлын салбарт ч сөрөг нөлөөтэй. Ялангуяа, төрийн байгууллагуудын хувьд ажлын ачаалал, цалингийн асуудал хүнд байдаг. Ер нь аюулгүй байдлын хууль маань төр-хувийн хэвшлийн түншлэлд тулгуурлах замаар салбарын хөгжлийг эрчимжүүлэх боломж бий болгох юм.

Энэ хууль батлагдаж, хэрэгжиж эхэлснээр иргэдийн мэдэх ёстой, хэрэгжүүлэх ёстой зүйлс юу бий юу ?

-Иргэдэд кибер аюулгүй байдлын мэдлэг, ойлголт хүргэх болон кибер халдлагад өртсөн үед нь дэмжлэг үзүүлэх Нийтийн төв бий болно. Ихэнх улс оронд ийм байгууллага байдаг. Ер нь кибер аюулгүй байдлыг хангахад нэг гол тулгуур нь мэдлэг ойлголттой хүн байдаг. Зарим нэг судалгаагаар аливаа халдлага, зөрчлийн дийлэнх хувийг ажилтны шууд болон шууд бус буруугаас болж халдсан тохиолдол эзэлдэг. Иймд сургах, мэдлэг түгээх, зөвлөмж хүргэх үүргийг холбогдох байгууллагуудад өгч байгаа. Иргэн хүн дээрх зөвлөмжүүдийг дагаж өөрийгөө болон гэр бүлийн гишүүд, хүүхдийнхээ аюулгүй байдлыг хамгаалах чадвар эзэмших юм.

Нийтийн төв нь кибер халдагад өртсөн иргэдэд ямар төрлийн дэмжлэг үзүүлэх юм бэ?

-Энгийн үгээр тайлбарлавал иргэн таны компьютер, гар утас болон гэрийн сүлжээний төхөөрөмж зэрэгт хууль бусаар нэвтэрч мэдээлэл хулгайлах, эвдэх, тохиргоо өөрчлөх, ашиглах боломжгүй болгох зэргийг кибер халдлагад ойлгоно. Хувь хүн халдлагад өртсөн, өртсөн байж болзошгүй үед хаанаас туслалцаа авахаа мэдэхгүй бол Нийтийн төвд хандах боломжтой. Мөн хувийн хэвшлийн байгууллага, компаниуд ч заавар зөвлөгөө, өөрөө хүсвэл хамгаалалтын дэмжлэг авах боломжтой болно.

С.Тэнгис Мэдээллийн технологи, аюулгүй байдлын зөвлөх
С.Тэнгис Мэдээллийн технологи, аюулгүй байдлын зөвлөх

Кибер аюулгүй байдлын тухай хуульд Хувийн хэвшлийн байгууллагууд руу чиглэсэн мөрдөх, хэрэгжүүлэх ёстой заалт бий юу?

-Онц чухал мэдээллийн дэд бүтэцтэй байгууллагуудын ангиллыг хуулиар тогтоосон. Тухайн байгууллагын үйл ажиллагаа нь хүн ам, нийгэм, эдийн засгийн хувьд нэн чухал бөгөөд кибер аюулгүй байдал нь алдагдах нь эргээд хүн, байгаль болоод үндэсний аюулгүй байдалд эрсдэл учруулах магадлалтай бол энэ ангилалд орох юм. Жишээ нь, хувийн хэвшлээс эмнэлэг, харилцаа холбоо, мэдээллийн технологийн үйлчилгээ үзүүлэгч томоохон байгууллагууд, стратегийн орд газар ашиглагч байгууллага орно.

Кибер аюулгүй байдлын тухай хуульд төрийн байгууллагуудад нийтлэг дагаж мөрдөх аюулгүй байдлын зөвлөмж, барих хэрэгжүүлэх түвшин, ийм төрлийн заалт байгаа юу?

-Кибер аюулгүй байдлыг хангах гэдэг нь өргөн бөгөөд урт хугацааны тогтвортой үйл ажиллагааг шаардана. Кибер аюулгүй байдлыг хангах үйл ажиллагааг бодлого, удирдлага, зохион байгуулалт, техник, технологийн арга хэмжээ, урьдчилан сэргийлэх, соён гэгээрүүлэх, халдлага зөрчлийг илрүүлэх, зогсоох, нөхөн сэргээх зэрэг чиглэлд байхаар заасан. Хэрэгжилтийг улсын хэмжээнд хангах үүднээс кибер аюулгүй байдлын үндэсний стратеги гаргана. Байгууллагын түвшинд кибер аюулгүй байдлыг хангах нийтлэг журам гарна. Нийтлэг журмыг төрийн байгууллагууд болон дээр дурдсан онц чухал мэдээллийн дэд бүтэц бүхий байгууллагууд дагаж мөрдөх, эсвэл нийцүүлэн өөрсдийн гэсэн дүрэм журмаа боловсруулах юм. Дээр дурдсан үүрэг хүлээсэн байгууллагууд тодорхой хугацаанд кибер аюулгүй байдлын эрсдэлийн үнэлгээ, мэдээллийн аюулгүй байдлын аудит хийлгэж барих түвшнийг тодорхойлох шаардлагатай.

Мөн сүүлийн үед байгууллагууд олон улсын стандартуудыг нэвтрүүлдэг болсон. Жишээ нь, картын мэдээллийн системтэй ажилладаг бол PCI DSS, санхүүгийн байгууллагууд COBIT, өргөн хүрээнд мэдээллийн аюулгүй байдлыг хангах бол ISO 27001:2013 нэвтрүүлж байна. Стандартуудын хүрээнд мэдээллийн аюулгүй байдлын баталгаажуулалтын аудит хийлгэсэн бол хуульд заасан мэдээллийн аюулгүй байдлын аудитыг хийгдсэнд тооцох зэргээр байгууллагад аль болох нэмэлт дарамтгүй байхаар тусгасан.

Манай улсад кибер гэмт хэргийн шинжтэй хуулийн байгууллагад ирсэн гомдол, түүнийг хэрхэн шийдвэрлэсэн тухай бодит кэйс, тоо баримт байна уу ?

-Цахим орчинд үйлдэгдэж буй гэмт хэргийн тоо, цар хүрээ нэмэгдэж байна. Цагдаагийн ерөнхий газрын 2020 онд бүртгэгдсэн гэмт хэрэг, зөрчлийн мэдээгээр Цахим мэдээллийн аюулгүй байдлын эсрэг үйлдэгдсэн гэмт хэрэг 2019 онд улсын хэмжээнд 57 тохиолдол байсан бол 2020 онд 146, 2021онд 151 болж нэмэгдэж байна.

Шийдвэрлэсэн байдлын тухайд 2020 онд 11 гэмт хэргийг л шийдвэрлэсэн байна.

151 гэмт хэргээс шийдвэрлэсэн нь 11 гэдэг хэтэрхий бага үзүүлэлт үү. Үүний шалтгаан нь хуулийн зохицуулалт уу эсвэл энэ төрлийн гэмт хэргийг шалгах мөрдөх, мэргэжлийн боловсон хүчний дутмаг байдлаас уу?

-Хуулийн зохицуулалт байхгүй гэж хэлж болохгүй юм. Эрүүгийн хуульд хуучнаар компьютерын мэдээллийн системийн эсрэг одоо бол цахим мэдээллийн аюулгүй байдлын эсрэг зүйл ангиуд байдаг. Миний бодлоор хэрэг хянан шийдвэрлэх үйл ажиллагааны явцад кибер аюулгүй байдлын эсрэг гэмт хэрэг үү эсвэл цахим орчинд үйлдсэн бусад төрлийн жишээлбэл залилан, хулгай луйвар уу гэдэг нь ялгагддагаас үүдсэн болов уу.

Хувь хүний мэдээллийг хамгаалах тухай чухал хууль батлагдлаа. Энэ хуулийн талаар дэлгэрэнгүй мэдээлэл өгөөч?

-Багц хуулийн нэг болох Хүний хувийн мэдээлэл хамгаалах тухай хууль чухал хууль. Аж үйлдвэрийн 4 дүгээр хувьсгал, цахим шилжилтийг дагаад хүний мэдээлэл их хэмжээгээр нэг системд, нэг байгууллагад цуглардаг, цуглуулсан мэдээллээ байгууллагууд янз бүрийн зорилгоор ашиглах, цааш худалдаалдаг зэрэг үзэгдэл түгээмэл болсон. Монгол Улсын хувьд хуульгүй биш хуультай байсан, Хувь хүний нууцын тухай хуулийг 1995 оноос хойш мөрдөж байна. Гэхдээ хувь хүн нууцаа өөрөө хамгаална гэдэг зарчимтай учраас дээрх асуудлуудыг шийдэж чадахгүй, цаг үедээ нийцүүлэн сайжруулах шаардлагатай байсан. 1995 оны хуулиа хүчингүй болгоод, шинэчлэн найруулж одоогийн Хүний хувийн мэдээлэл хамгаалах тухай хуулийг боловсруулж, баталсан. Хувийн мэдээлэл нь тухайн нэг хүнтэй холбоотой, хүнийг шууд болон шууд бусаар таньж тодорхойлох боломжтой бүхий л мэдээллийг ойлгоно. Жишээ нь, овог нэр, регистр, бүртгэлийн дугаар, гар утасны дугаар, мэйл хаяг, цахим орчинд хэрэглэдэг нэвтрэх нэр зэрэг цахим тодорхойлогч зэргээс гадна хурууны хээ, нүүр царай гэх мэт биометрик мэдээллүүд хүртэл орно.

Цахим орчинд хүний зураг мэдээллийг ашиглан залилан хийх, хувь хүний нууц бичлэг зургийг ашиглан айлган сүрдүүлэх зэрэг хэргүүд үйлдэгдсээр байдаг. Энэ мэтчилэн хэргүүдэд Хувь хүний мэдээллийг хамгаалах тухай хууль хэрхэн нөлөөлөх боломжтой вэ?

-Тодорхой зохицуулсан нэг харилцаа бий. Сүүлийн үед янз бүрийн камерын бичлэг цацагдаж, ямар ч хамаагүй зорилгоор ашигладаг, сүрдүүлдэг зэвсэг болсон. Бассейн, фитнес клубийн хувцас сольдог өрөөнд хүртэл камер байршуулж байна. Тэдгээр камерын бичлэгийг хэн яаж үзэх, түүнд бичигдсэн хүний эрхийг хэрхэн хамгаалах талаар эрх зүйн зохицуулалт байхгүй. Харин шинэ хуулиар энэ асуудлыг цэгцэлсэн. Хувь хүний эрхэнд халдахгүйгээр гэмт хэрэг, зөрчлөөс урдьчилан сэргийлэх, хувь хүн өөрийн орон байр, ажлын байраа хамгаалах зорилгоор камер ашиглаж болно.

Хувь хүний мэдээллийг хамгаалах хуульд хэрэгт холбогдогчид ямар нөхцөлөөр хариуцлага тооцохоор тусгасан бэ?

-Хуулийн төсөлтэй хамт Эрүүгийн хуульд хувь хүний нууцыг задруулсан тохиолдолд хүлээлгэх хариуцлагыг илүү тодорхой болгосон. Ялангуяа, хувь хүний нууцыг харилцаа холбоо, цахим сүлжээ ашиглаж задруулсан бол хүндрүүлэх бүрэлдэхүүнтэй, дээд тал нь 5 жил хүртэл хугацаагаар хорих ялтай болсон. Хүний хувийн мэдээлэл хамгаалах тухай хууль нь үндсэндээ цоо шинэ харилцааг бий болгож байгаа. Мэдээллийн эзэн хувь хүмүүс, мэдээлэл хариуцагч буюу байгууллагууд, хариуцах төрийн байгууллага аль аль талдаа мэдлэг, ойлголтоо сайжруулж, хүний эрхийн мэдрэмжтэй болсноор энэ хууль утгаараа зөв хэрэгжих юм.

Албан газрууд биометрик мэдээллийг ашиглах, хувь хүний мэдээллийг зөвшөөрөлгүй ил болгох зэрэг асуудал үүсгэвэл ямар зохицуулалтууд, хүлээх хариуцлагууд тусгагдсан бэ?

-Зөрчлийн болон эрүүгийн хуулиудад тодорхой хариуцлага бий. Жишээ нь, Зөрчлийн хуульд хүний эмзэг мэдээллийг хууль бусаар олж авах, боловсруулах, бусдад дамжуулах, задруулсан хүн, хуулийн этгээдийг торгох хариуцлагатай. Харин эрүүгийн хариуцлага хүлээлгэхээр буюу гэмт хэргийн шинжтэй бол Эрүүгийн хуулиар шийдвэрлэнэ. Эрүүгийн хуульд илүү тодорхой буюу хувь хүний ямар төрлийн мэдээллүүдийг задруулсан, эрүүл мэндийн, захидал харилцааны, генетик, биометрик гээд зааж өгсөн. Хариуцлага нь торгох, зорчих эрх хязгаарлахаас гадна дээд тал нь 5 хүртэлх жилийн хугацаагаар хорих ялтай.

Кибер аюулгүй байдлын тухай хууль батлагдсанаар иргэд, байгууллага хоорондын харилцаа, Хөдөлмөрийн гэрээ болон бусад дагаж мөрдөх хуулиудад өөрчлөлт орох уу?

-Кибер аюулгүй байдлын тухай хууль хэрэгжиж эхлэхээр зарим өөрчлөлт гарах байх. Тухайлбал, ажилтан байгууллагынхаа кибер аюулгүй байдлыг хангах талаар ямар эрх үүрэгтэй байхыг нийтлэг журамд тусгасан тохиолдолд тэр эрх үүрэг, Хөдөлмөрийн гэрээтэй уялдаж таарах байх. Харин бусад хуулиудын хувьд Кибер аюулгүй байдлын тухай хуулийг дагаж өөрчлөгдөх хууль тун цөөн. Харин Харилцаа холбооны тухай хуульд нэр томьёоны өөрчлөлт орж байгаа.

Уулзвар

No stories found.

Гэрлэн дохио

No stories found.

Зогсоол

No stories found.
Press Center
www.presscenter.mn