Д.Даваажаргал: Банк таны нэвтрэх нэр, нууц үгийг мэдэх аргагүй учраас харилцагчдын мэдээллийг алдана гэсэн ойлголт байхгүй
Сүүлийн үед иргэд данснаасаа мөнгөө алдсан, цахим гэмт хэргийн хохирогч болсон тохиолдол цөөнгүй бүртгэгдэж байна. Үүнтэй холбоотойгоор банк харилцагчдынхаа мэдээллийн аюулгүй байдлыг хэрхэн хангадаг, иргэд хувийн мэдээллээ хамгаалахын тулд юунд анхаарвал зохих талаар ХААН Банкны Мэдээллийн аюулгүй байдлын газрын захирал Д.Даваажаргалтай ярилцлаа.
-Та Монголын хамгийн олон харилцагчтай банкны Мэдээллийн аюулгүй байдлыг хариуцан ажилладаг. Тиймээс таны ажил олон талаар онцлогтой болов уу. Энэ тухай хуваалцаач?
-Мэдээллийн аюулгүй байдлыг бусад хүчин зүйлээс салгаж, дангаар нь авч үзэж болдоггүй нь манай салбарын онцлог юм. Хүний нөөц, хууль гээд банкны бүхий л үйл ажиллагаатай холбож, уялдуулж байж бүрэн дүүрэн хэрэгждэг. Би анх 2008 онд төслийн мэргэжилтнээр банканд ажилд орж байсан юм. Тэр үед мэдээллийн аюулгүй байдал өнөөдрийнхтэй харьцуулахад маш шинэлэг, хүмүүс тэр бүр ярьдаггүй сэдэв байлаа. Би төсөл дээр ажиллах явцдаа банканд мэдээллийн аюулгүй байдлын тусдаа мэргэжилтэн шаардлагатай гэдгийг ойлгож, анхны аюулгүй байдлын менежерээр ажиллаж эхэлсэн. Тухайн үед ажилтнуудын хандах эрхийн мэдээллийг утсаар лавлаж олгодог байсныг сайжруулан ажилтнууд хандах эрхийн хүсэлт бөглөх, шат шатны баталгаажуулалт хийгдсэний үндсэн дээр эрх олгогдох шинэ процессыг нэвтрүүлснээр Мэдээллийн аюулгүй байдлын ажил маань эхэлж байсан. Мэдээллийн аюулгүй байдал бидний хувьд шинэ зүйл тул бид суралцах шаардлагатай байсан бөгөөд ISO27001 олон улсын стандартыг нэвтрүүлэх саналыг тухайн үед дэвшүүлэн энэ ажлыг эхлүүлж байсан. Ингээд 4 жил бэлтгэл ажил хийсний дараа 2014 онд ISO 27001 стандарт, 2015 онд Төлбөрийн картын аюулгүй байдлын PCI-DSS стандартуудыг Монгол Улсдаа амжилттай нэвтрүүлсэн анхны банк, санхүүгийн байгууллага болсон.Монголын хамгийн олон харилцагчтай тэргүүлэгч банкны хувьд энэ амжилтаа хадгалж, мэдээллийн аюулгүй байдлаа сайжруулсаар байх нь миний ажлын бас нэг онцлог юм уу даа.
Данснаас мөнгөө алдчихлаа гэсэн хэрэглэгчдийн гомдлыг шалгаж үзэхэд эхнэр, нөхөр, хүүхэд зэрэг ойр дотнын хүмүүс нь гүйлгээ хийсэн тохиолдлууд байдаг.
-Монголд гэлтгүй олон улсад ч хүмүүс хувийн мэдээллээ бусдад алдсанаас хохирох нь олширч байна. Цар тахлын үеэр энэ асуудал бүр ч хурцадмал болсон. Энэ төрлийн цахим гэмт хэрэг юунаас болж гарч байна? - Хуучин бид түрийвч авч явдаг, бэлэн мөнгөтэй харьцдаг байсан бол одоо бүх зүйл онлайн болчихлоо гэдгийг хүмүүс бүрэн дүүрэн ойлгож амжаагүй байна. Харилцагчид банканд ирж, бэлэн мөнгө ашиглахаа болиод бүх мөнгөө компьютер, гар утсаар хянадаг болж байна. Тиймдээ ч таныг мөн гэдгийг гар утасны дугаар, и-мэйл, банкны нэвтрэх нэр, нууц үгээр таньдаг болсон. Үүнийг ухамсарлахгүйгээр мэдээллээ бусдад задруулах, хялбархан мэдэж болох энгийн нууц үг ашигласаар байгаа нь цахим гэмт хэргийн хохирогч болох эрсдэлийг дагуулж байна.
- Харилцагч мэдээллээ хамгаалахын тулд хамгийн түрүүнд юу хийх ёстой вэ. Яаж өөрсдийгөө хамгаалах вэ?
-Юун түрүүнд хувийн мэдээлэл гэж юу вэ гэдгээс эхлээд мэдээллийн аюулгүй байдлын талаарх ойлголтоо гүнзгийрүүлэх хэрэгтэй. Регистрийн дугаар, гар утасны дугаар, картын дугаар, и-мэйл, гэрийн хаяг энэ бүхэн ганцхан та л мэдэж байх ёстой хувийн мэдээлэл юм. Үүнийг бусдад хэлэх, цахим орчинд задлах шаардлагагүй. Өөрөөр хэлбэл, бусдад дэлгэж болох, болохгүй мэдээллийг ялгаж сурах, хувийн мэдээллээ яаж, ямар үед нууцлах вэ гэдгээ мэддэг байх шаардлагатай юм. Өмнө хэлсэнчлэн эдгээр нь таныг мөн гэдгийг батлах, гүйлгээ хийхэд ашигладаг гол мэдээлэл учраас бусад хүн хялбархан мэдэх боломжгүй сайн нууц үг ашиглахыг бид байнга зөвлөдөг. Үүнээс гадна хэрэглэгчийн нэр, нууц үгийг шинэчлэхэд таны утасны дугаар, и-мэйл зайлшгүй шаардлагатай тул и-мэйлийнхээ нууцлалыг хадгалахад мөн анхаарах хэрэгтэй.
Ихэвчлэн 45-аас дээш насныхан и-мэйл, цахим хэрэглээ зэрэгт төдийлэн ач холбогдол өгдөггүй. 10 жилийн өмнө хүүхдээрээ эсвэл гар утас худалдаалдаг хүнээр нээлгүүлсэн и-мэйл хаягаа одоо болтол ашигладаг, нууц үгээ нэг ч удаа солиогүй байх тохиолдлууд байдаг. Энэ мэт нууцлалтай холбоотой асуудал дээр үр хүүхэд, хамаатан саднаараа хаяг нээлгүүлдэг, нууц үгээ хуваалцдаг байж хэрхэвч болохгүй. Данснаас мөнгөө алдчихлаа гэсэн хэрэглэгчдийн гомдлыг шалгаж үзэхэд эхнэр, нөхөр, хүүхэд зэрэг ойр дотнын хүмүүс нь гүйлгээ хийсэн тохиолдлууд байдаг.
-Тэгвэл харилцагчдынхаа мэдээллийг хамгаалахын тулд банк юу хийх ёстой вэ? Энд юу хамгийн чухал вэ?
-Банкны мэдээллийн аюулгүй байдлыг техник технологи, хүн, процесс гэж гурав хуваадаг. Банк техник технологидоо тогтмол хөрөнгө оруулалт хийж, сүүлийн үеийн тоног төхөөрөмжүүдээр шинэчилж байна. Процесс гэдэг нь харилцагчдын болон банкны бүхий л мэдээллийн аюулгүй байдлыг ханган ажиллахад чиглэсэн, нарийн хяналтуудыг тусгасан цогц стандартууд юм. Гурав дахь нь хүн, хүний нөөцтэй холбоотой асуудал. ХААН Банк ажилтнуудаа тогтмол сургаж, чадавхижуулахаас гадна харилцагчдадаа мэдээллийн аюулгүй байдлын мэдлэг, мэдээлэл олгох зорилготой үйл ажиллагааг байнга зохион байгуулж ирсэн. ATM-ийн дэлгэц, вэб сайт, банкны аппликэйшн, сошиал хуудас, харилцагчийн сонин гээд бүх сувгаа ашиглан мэдээллийн аюулгүй байдалтай холбоотой бүх төрлийн мэдээ, мэдээллийг хүргэж байна.
-Сүүлийн үед хүмүүс цахим гэмт хэргийн хохирогч болсоор байна. Яагаад бусад банкны харилцагчид данснаасаа мөнгөө алдсан ийм хэрэг гарахгүй байгаа юм бэ гэдэг асуултыг ч асууж байна. Танай банкны нууцлалын тухайд танаас хариулт сонсох ёстой байх?
-Нэвтрэх нэр, нууц үгээ алдсан хүмүүс банк дотроосоо мэдээллээ алдчихав уу гэж харддаг. Гэтэл банк, банкны ямар ч ажилтан таны мэдээллийг шууд харах боломжгүй юм. Хүн ороод харсан ч тайлж унших боломжгүй тоо, үсэг, цэг хэлбэрээр харилцагчдын хувийн мэдээллийг шифрлэж (encryption) нууцалдаг. Өөрөөр хэлбэл, банк таны нэвтрэх нэр, нууц үгийг шууд хандаж мэдэх аргагүй учраас алдана гэсэн ойлголт байхгүй. Тийм учраас л харилцагчдын хувийн хариуцлага чухал гэдгийг байнга сануулдаг.
-Харилцагчийн хувьд асууя. Сүүлийн үед үүссэн нөхцөл байдалтай холбоотойгоор миний мөнгө аюулгүй эсэхийг би үнэхээр мэдмээр байна?
-Юун түрүүнд ХААН Банк харилцагч ихтэй, салбар, ATM олонтой нь үүнд нөлөөлж байгаа болов уу. Тийм болохоор олон нийтэд зөвхөн ХААН Банкны харилцагчид л мөнгөө алдаад байгаа юм шиг харагдаж байхыг үгүйсгэхгүй. Түүнээс гадна хувийн мэдээллээ таньдаг, дотнын хүндээ алдах, эсвэл огт танихгүй хэн нэгэнд хакердуулахыг ялгаж салгах хэрэгтэй л дээ. Цагдаад бүртгэгдэж буй тохиолдлуудын дийлэнх нь ойр дотнын хүнтэйгээ банкны мэдээллээ хуваалцсан, хялбархан нууц үг ашигласнаас үүдсэн байдаг.
Нэвтрэх нэр, нууц үгээ алдсан хүмүүс банк дотроосоо мэдээллээ алдчихав уу гэж харддаг. Гэтэл банк, банкны ямар ч ажилтан таны мэдээллийг шууд харах боломжгүй юм.
-Тэгвэл хакердуулна гэж яг юуг хэлээд байна вэ?
-Олон улсад олны танил алдартан, чинээлэг хүмүүсийн мөнгийг авахын тулд зохион байгуулалттайгаар олон жилийн өмнөөс судалж, тэр хүний хувийн мэдээллийг цуглуулсны үндсэн дээр мөнгийг залилж авсан тохиолдол цөөнгүй бий. Энэ бол нэг шөнийн дотор хийчихдэг зүйл биш. Тухайн хүнийг 2, 3 жил судалж байгаад нэг удаа орж, бүх мөнгийг нь авахыг хэлээд байгаа юм. Намайг ажиллаж байх хугацаанд манай банканд хакердах хэрэг гарч байгаагүй. Яагаад гэвэл ХААН Банк энэ асуудалд маш нухацтай хандаж, бүх талын хамгаалалтыг хийдэг, сул тал, цоорхой байгаа эсэхийг мэдэхийн тулд банк гаднын мэргэшсэн олон улсын байгууллагуудаар зориудаар тест хийлгэж үздэг.
-Мөнгөө алдсан хүмүүсийн зүгээс мөнгийг нь шилжүүлж авсан дансны дугаар, нэр эзэнтэй тодорхой байхад тэр хүмүүсийг шууд цагдаад хэлээд бариад авч болдоггүй юм уу?
-Бусдын данснаас мөнгө хулгайлж буй этгээд ихэнх тохиолдолд танихгүй хүний данс руу шилжүүлээд дараа нь ATM-ээс бэлнээр гаргаад авчихдаг учраас хохирогчийн шилжүүлсэн дансыг мэдэж байлаа ч мөнгөө буцааж авах боломжгүй байх нь түгээмэл. Иймд танихгүй хүн танаас “Картаа мартчихжээ. Таны данс руу мөнгө шилжүүлчихээд авч болох уу” гэх мэт хүсэлт тавьбал татгалзаж байгаарай. Хүнд тусалж байгаа мэт боловч та гэмт хэргийн сэжигтэн, хамсаатан болох эрсдэлтэй. Банкнаас холбогдох шалгалтыг хийж, системийн түвшинд болон тухайн харилцагчийн гүйлгээг шалган мэдээллийг гаргаж өгдөг. Хэрэв цахим залилан, гэмт хэргийн шинжтэй байна гэж үзвэл цагдаа, хуулийн байгууллагад нэн даруй хандахыг зөвлөдөг. Хуулийн байгууллагаас тухайн хүний гомдлын дагуу хэрэг үүсгэн мөрдөн шалгах ажиллагаа явуулж шаардлагатай бүхий л мэдээ мэдээллийг банк талаас гарган өгч, хамтран ажилладаг.
Мэдээллийн аюулгүй байдал бол ямар нэгэн сайн мэргэжилтэн, банканд даатгаад орхих зүйл биш, хувь хүн өөрөө заавал анхаарал тавьж, мэдлэгээ дээшлүүлэх шаардлагатай.
-Банкны салбарт тэр дундаа мэдээллийн аюулгүй байдлын чиглэлээр ажиллахдаа анзаарсан, хүмүүс мэдээсэй гэж бодсон зүйлс юу байв?
-Мэдээллийн аюулгүй байдал бол ямар нэгэн сайн мэргэжилтэн, банканд даатгаад орхих зүйл биш, хувь хүн өөрөө заавал анхаарал тавьж, мэдлэгээ дээшлүүлэх шаардлагатай эрин үед бид амьдарч байгаа гэдгийг хүмүүс ойлгоосой гэж хүсдэг. Товчоор, мэдээллийн аюулгүй байдал бол хүн бүрд хамаатай насан туршийн боловсрол юм.
-ХААН Банк цаашид энэ талаар юу хийхээр төлөвлөж байна вэ?
-Харилцагчдаа сургах, ойлголт, мэдлэгийг нь сайжруулахыг зорьж байна. Мэдээллийн аюулгүй байдал бол дан ганц банкны асуудал биш. Энэ бол улс орны хэмжээний асуудал юм. Тэгэхээр байгууллагууд өөр хоорондоо өрсөлдөхөөс илүүтэй хамтарч ажиллах, ойлголтоо жигдрүүлэх, иргэдийнхээ мэдлэгийг нэмэгдүүлэх хэрэгтэй. Нөгөөтэйгүүр, мэдээллийн аюулгүй байдлыг өдөр бүр хэвшил болгон хэрэгжүүлэн ойлгох шаардлагатай байна.
Эх сурвалж: ub.life