2015/02/09

Sony-гийн гашуун түүхээс суралцах нь

Өнгөрсөн 2014 оны сүүлээр Sony группийн нэг хэсэг болох Sony Picture Entertainment томоохон цахим дайралтад өртөж хэдэн арван терабайт мэдээллээ алдсан билээ. Уг халдлагыг GOP буюу Guardians of Peace гэх бүлэглэл үйлджээ.

GOP бүлгийн 2014/11/24-нд Sony Picture Entertainment-ийн ажилчдын компьютерын wallpaper буюу дэлгэцийн зургаар дамжуулан илгээсэн сануулга.
эх сурвалж: computerworld.com

2015/02/04-нд Sony -н зүгээс гаргасан мэдээлэлд энэ удаагийн цахим халдлагад Sony Picture Entertainment ойролцоогоор 15 сая ам долларын зардал гаргасан болохыг баталсан. Тэдгээр зардал нь зөвхөн халдлагын дараах шинжилгээ хийлгэх, халдлагад өртсөн сервер болоод ажилчдын компьютерийг засах ажилд зарцуулагдаж байгаа бололтой. Гэвч дээрх халдлагаас үүсэх хохирол улирлын эцэст 35 сая ам долларт хүрэх магадлалтай гэжээ. Энэхүү халдлага нь Sony группийн хувьд анхны тохиолдол бишээ.
Өмнө нь Sony групп George Hotz /хакер/ болон fail0ver /хакерын бүлэг/-ийн  гишүүдийг  худалдан авсан PlayStation-ээ hack хийснийх нь төлөө шүүхэд зарга  мэдүүлж технологи сонирхогчид болоод хакеруудын эгдүүцлийг төрүүлснээр Anonymous бүлэглэл #OpSony буюу Operation Sony гэх  ажиллагааг  зохион байгуулсан юм.
Энэ ажиллагааны зорилго нь Sony-ийн  PSN буюу PlayStation Network-руу ямар ч аргаар хамаагүй халдах байв. Уг халдлагын улмаас PlayStation Network 77 сая хэрэглэгчдийнхээ мэдээлэл, хэдэн арван мянган төлбөрийн картын мэдээллийг алдаж, PSN-ийг хэд хоног хаахаас өөр аргагүй байдалд хүрсэн.

Anonymous бүлэг #OpSony дайралтыг хийсний дараа PSN үйлчилгээгээ түр зогсоон шалгалт явуулж байх үед.
эх сурвалж: engadget.com

Тухайн үед Sony групп PSN -руу хийгдсэн уг халдлагаас болж гарах нийт зардлыг 170 сая доллар гэж тооцсон байдаг.


Тэгвэл GOP болон Anonymous-ийн үйлдсэн халдлагаар Sony групп юу юу алдсаныг ерөнхийд нь тоочвол:
  • Хэрэглэгчдийн мэдээллийн сан /PSN/
  • Хэрэглэгчдийн төлбөрийн картын мэдээлэл /PSN/
  • Сүлжээ ажиллахгүй байсан хоног бүрийн алдагдал /PSN/
  • Нээлтээ хийгээгүй, театрын дэлгэцээс буугаагүй байсан кинонууд /SPE/
  • Хийхээр төлөвлөж байсан киноны зохиолууд /SPE/
  • Бүх ажилтан болон жүжигчдийн мэдээлэл /SPE/
  • Байгууллагын санхүү, цалин хөлсний мэдээлэл /SPE/
  • Хувь, хувьсгалын цахим шуудангууд /SPE/
  • Гэрээ, баримт бичиг /SPE/
  • Бусад /Бизнесийн төлөвлөгөө,.../
Эдгээрийн заримыг үнэндээ мөнгөөр үнэлэх боломжгүй юм.
Дээрх жагсаалт та бидэнд цахим халдлагаар юу алдаж болох, ямар хохирол хүлээж болохыг харуулсан болов уу гэж найдаж байна. Нэмж хэлэхэд ийм төрлийн  халдлагаас үүсэх хор хохирлыг хагас жилээс нааш бүрэн тодорхойлох боломжгүй байдаг.


Тэгвэл бидэнд Sony-ийн энэ гашуун түүхээс суралцах зүйлс юу байна вэ?
  • Технологи сонирхогчид болоод хакер залуусын хэлж ярьж байгаа бүхнийг анхааралтай сонсож, боломжтой бол тэднийг дэмжиж, тэдэнтэй хамтарч асуудлаас гарах нь зүйтэй.
    Хэрвээ та тэдний хэлж яриад байгаа зүйлсийг үл ойшоон ач холбогдол өгөхгүй бол хэтдээ таны бизнест том гарз болохыг үгүйсгэх аргагүй юм.
  • Байгууллагынхаа мэдээллийн аюулгүй байдал дээр өнөөдрөөс эхлэн бага ч  болтугай анхаарал хандуулж, хөрөнгө хүч гаргах талаар бодож эхлэх хэрэгтэй. Хэрэв өөрсдийн хүчээр энэ  асуудал дээр ажиллахад бэлэн биш бол мэргэжлийн байгууллагад хандах нь зүйтэй.
  • Халагдаж байгаа ажилтан болоод сэтгэл ханамжгүй ажиллаж байгаа ажилтан бүрээ анхаарч бай! Боломжтой бол тэдний сэтгэл санааг тогтворгүй байдалд хүргэх хэрэггүй.
    Мэдээллийн аюулгүй байдал хамгийн  ихээр алдагддаг шалтгааны нэг нь компаний дотроос хийгддэг халдлага болохыг анхаар.
    Тэдэнд энэ талын мэдлэг мэдээллийг тогтмол олгож зөв ойлголттой  байлгахыг хичээ. Зарим шинжээчид Sony -ийн уг  халдлагад халагдсан ажилчдаас оролцсон байх өндөр магадлалтай гэж үзэж байгаа.
  • Ажилтан бүрийн хандах эрхийг нарийн тодорхойлж хянаж байх шаардлагатай.  Sony-ийн хувьд энэ тал дээр хангалтгүй байсан нь илүү их мэдээлэл алдах  шалтгааны нэг болсон болов уу.
Эдгээр зүйлсэд анхаарал хандуулж, тодорхой арга хэмжээ авч чадвал, байгууллагадаа учирч болох эрсдэлийг тодорхой хувиар бууруулж байгаа гэдэгтээ итгэлтэй байж болох юм.

2015/02/03

Оршил

Сүх далайтал үхэр амар... Монгол улсын мэдээллийн аюулгүй байдлыг ерөнхийд нь дээрх үгээр илэрхийлж болох мэт. Хаа хаанаа ийм биш ч бүхлээр нь харвал ийм байсаар байна. "Миний мэдээллийг хүн олж аваад яах юм бэ?", "Юун сүртэй юм бэ?", "Надад нуугаад байх юм байхгүй!", "Миний найз миний нууц үгийг мэдэж байхад ямар асуудал байгаа юм бэ?" гэх мэт амар амгалан ойлголт дийлэнх олонхид маань оршин тогтносоор. 
Бидний хувьд өөрсдийн мэдээллийн үнэ цэнэ болон аюулгүй байдлыг ухаарч амжаагүй байтал хэн нэгэн бидний мэдээллээс хумсалсаар, магадгүй шуудайлсаар л байна. Цөмийн зэвсэглэлээс гадна цахим зэвсэглэл, цахим армитай болох, түүнийгээ батлан хамгаалах үйлсэд, бусад улсын цахим орон зайг эзлэхэд ашиглах явдал том гүрнүүдийн хувьд толгой өвтгөдөг, том мөнгө төсөвлөдөг зүйлсийн нэг нь болжээ.

эх сурвалж: google.com

Саяхны жишээ татвал, дөнгөж хэдхэн хоногийн өмнө буюу 2015/02/02-нд Обамагийн захиргаа 2016 онд холбооны засгийн газрын цахим аюулгүй байдалд зарцуулах төсвийг $14 тэрбумаар батлуулах хүсэлт гаргаад байгаа билээ.

2010 - 2015 он хүртэл зарцуулсан болоод зарцуулж байгаа төсөв. 
эх сурвалж: huffingtonpost.com


Харин Монгол улсын хувьд мэдээллийн аюулгүй байдал алдагдсанаар ямар эрсдэлтэй нүүр тулж болох, ямар сөрөг үр дагавар гарах, тэдгээр эрсдлээс хэрхэн урьдчилан сэргийлж болох талаарх мэдлэг, бодит мэдээлэл үнэхээр хомс байна. 
Гадагшаа мэдээлэл алдаж байгаа эсэхээ ч мэдэхгүй, хэн нэгэн хийж буй үйлдэл, бичиж буй үг, үсэг бүрийг нь бүртгэж байгааг ч мэдэхгүй, ажрахгүй суугаа хувь хүн, төрийн түшээд манай улсад дэндүү олон. Эх захгүй албан ёсны лицензгүй, хулгайн програм хэрэглэдэг, бусдын оюуны өмчийг ашигласныхаа төлөө мөнгө төлөх ёстой гэсэн ухамсар хүн бүрт төлөвшөөгүй байгаа манай орны хувьд эрсдэл маш их бий. Ядаж антивирусын програм худалдаад авах сонирхол, зайлшгүй хэрэгцээ бараг гарахгүй. 
Үнэндээ ямар орчин нөхцөл, ямар аюул занал эргэн тойронд нь байгааг мэдэхгүй хүнд тэд бүгд үнэндээ хэрэггүй ачаа, ойлгомжгүй зардал шүү дээ. Буруутгах аргагүй. Бид өөрсдийгөө цахим халдлага, цахим гэмт хэрэг гээч зүйл огт байдаггүй дангааршсан арал дээр байгаа мэтээр төсөөлдөг ч бодит байдал дээр бусадтай хамт нэгэн завин дээр хөвж явна. Үүнийг батлах маш олон баримт бий. 
Ойрын жишээ гэвэл ОХУ-ын Касперский компаниас гаргасан 2014 оны тайланд компьютерийн вируст хамгийн их өртдөг улсуудын жагсаалтанд манай улс Вьетнам улсын дараа хоёр дугаарт буюу хамгийн өндөр эрсдэлтэй улсуудын тоонд оржээ.

Аюулгүй байдлын 2014 оны тайлан, Касперский компани.
эх сурвалж: kaspersky.com

Монголчууд сүүлийн 5, 6 жилийн өмнөөс л мэдээллийн аюулгүй байдлын асуудалд анхаарал хандуулах болж харилцаа, холбооны салбарын компаниуд, төрийн зарим нэг байгууллагууд, банкууд, томоохон их дээд сургуулиуд энэ чиглэлээр идэвхтэй үйл ажиллагаа явуулах болсон. Үйл ажиллагаа нь ерөнхийдөө өөрийн болон үйлчилгээ авдаг байгууллагуудынхаа мэдээллийн аюулгүй байдлыг хангахад чиглэдэг. 
Зөвхөн эдгээр байгууллага ч гэлтгүй мэдээллийн технологийн салбарт үйл ажиллагаа эрхэлдэг хүн бүр л бага ч болов анхаарал хандуулдаг байх. Даанч анхаарлаа хандуулъя, хүч хөрөнгө зарцуулъя, мэдээллийн аюулгүй байдлаа сайжруулъя гэж санасан хэн бүхэнд нэг том асуудал тулгардаг нь мэргэшсэн боловсон хүчний асуудал.
​Мэдээллийн аюулгүй байдлын чиглэлээр мэргэшсэн мэргэжилтэн Монголд тун цөөхөн. Бие даан судалдаг залуус олширч байгаа ч зарим нэг нь мэдэж авсан багахан зүйлээ буруу зүйлд ашиглах, бусдын эд зүйлсэд халдан агсамнах үзэгдэл мэр сэр ажиглагдах болсон. Мэдээллийн аюулгүй байдлын мэргэжилтэн бэлтгэхээр зарим их дээд сургууль ажиллаж байгаа ч хангалттай мэргэжилтэн бэлтгэгдэж амжаагүй л байна.

Төрийн болон хувийн хэвшлийн байгууллагуудын өмнө тулгамдаад байгаа эдгээр асуудлуудыг шийдэх ямар арга замууд байна вэ? 
Байгууллагын мэдээллийн аюулгүй байдлыг сайжруулахад удирдлагын шийдвэр, дэмжлэг чухал үүрэг гүйцэтгэдэг. Шийдвэр гаргаад, дэмжээд бүх зүйлс шийдэгдчихгүй нь лавтай. Сайн мэргэжилтнийг богино хугацаанд бэлтгэх хэцүү, гадны хамгаалалтын шилдэг технологи, системүүдийг худалдаж авахад үүсэх санхүүгийн бэрхшээл гээд нэрлэвэл олон зүйл бий. Энэ бүгдийг шийдэж чадсан ч дотоод аюул занал буюу ажилтнуудаа мэдлэгжүүлэх гэж бүр ч том асуудал үлдэнэ. Гэхдээ бүх асуудлыг өөрийн хүчээр шийдэх гэж цаг, хүн хүч, хөрөнгө мөнгө хэт их зарах шаардлага байхгүй. Чаддаг, мэддэг хүмүүст нь энэ бүх ажлыг даатгах боломж бас бий.

Бид таны болон танай байгууллагын мэдээллийн аюулгүй байдалд учирч болох эрсдлүүдийг үнэлж, эмзэг сул талыг нь тодорхойлж, бодит аюул заналаас урьдчилан сэргийлэх арга зам, шийдлүүдийг боловсруулж өгөх, цаашлаад та бүхний мэдээллийн аюулгүй байдлын хэрэгцээг хангах бүтээгдэхүүн, үйлчилгээг үзүүлэхээр ажиллаж байна. 
Манай хамт олон мэдээллийн аюулгүй байдлын чиглэлээр тэр дундаа вэб, сүлжээний төхөөрөмж, програм хангамжийн туршин шалгалт, халдлагын дараах шинжилгээ, хортой програмын шинжилгээ зэргээр 5-аас дээш жил дагнан ажилласан туршлагатай залуусаас бүрдсэн. Та бүхэн тун удахгүй өөрт тулгараад буй асуудлаа шийдвэрлүүлэх найдвартай шадар туслахтай болох нь ээ.