Дэлхий нийтэд ашиглагдаж байгаа гурван програм хангамж тутмын нэг нь хууль бус болохыг “Business Software Alliance” байгууллагынхан судалгаагаараа тогтоогоод буй. Албан ёсны лицензгүй програм хангамжийн хэрэглээ нь хэрэглэгчийн мэдээллийн нууцлал, цахим аюулгүй байдалд өндөр эрсдэл дагуулж байдаг. Тэгвэл өнгөрөгч сарын сүүлчээр “ХасБанк”, “Майкрософт” болон “Ай Ти Зон”компаниуд “Open Value Licensing Program” хамтын ажиллагааны санамж бичигт гарын үсэг зуржээ. Ингэснээр “Microsoft Open Value” лицензийн хөтөлбөрийн хүрээнд ХасБанкны 1500 гаруй компьютер болон олон тооны серверүүдэд албан ёсны лиценз бүхий Windows 8, Microsoft Office 2013, Microsoft Share Point, Microsoft Exchange serverзэрэг програмуудтай болох юм байна. Энэ талаар болон Монголын банк, санхүүгийн салбарын мэдээлэл, технологийн аюулгүй байдал, цаашдын хөгжил, чиг хандлагын талаар ХасБанкны Мэдээлэл, технологи эрхэлсэн захирал Ч.Баттөгстэй ярилцлаа.

Санамж бичиг байгуулсан талаар ярилцлагаа эхэлье. Хамтын ажиллагааны энэхүү хэлбэрийг сонгосон нь чухам ямар ач холбогдолтой юм бэ?

“Майкрософт”-ын албан ёсны лицензийн хөтөлбөр хэрэгжүүлэхээр санамж бичиг үзэглэсэн нь харилцагчийн мэдээллийн нууцлал, цахим аюулгүй байдлаа хангах гэсэн бидний тасралтгүй оролдлого, хичээл зүтгэлийн нэг илрэл гэж энгийнээр ойлгож болно. Энгийн баримт хэлье. Та windows үйлдлийн систем ашигладаг бол мягмар гариг бүр “Майкрософт”-оос зарладаг засвар, үйлчилгээнд хамрагдаж, компьютерээ аюулгүй орчинд ажиллуулах боломжтой. Гэвч албан ёсны лицензгүй буюу хулгайн тохиолдолд дээрх засвар, үйлчилгээнд хамрагдах боломж хязгаарлагдмал байдаг. Дээрээс нь хулгайгаар авсан тохиолдолд 80 орчим хувь нь вирус, malware-тэй байдаг нь програм хангамжийг эвдэх үүд хаалга болдгийг саяхны судалгаагаар тогтоосон байдаг. Мөн Касперскийн судалгаагаар манай улс вирусны хандалт нэвтэрсэн орнуудын жагсаалтад дээгүүр бичигдсэн байна лээ. Монголын нийт хэрэглэгчийн бараг 60 гаруй хувь нь malware-д өртсөн байгааг тус судалгаанд дурдсан. Энэ нь гэр, ажил гэлтгүй хаанаас ч интернэт ашиглах бүрт таны мэдээлэл алдагдах аюул дагаж байгааг сануулж буй хэрэг. Тиймээс албан ёсны лиценз ашиглах нь маш чухал. Ялангуяа банк, санхүүгийн салбарт мэдээлэл, технологийн аюулгүй байдал, харилцагчийн нууцлалыг хадгалах үүднээс заавал албан ёсны лицензтэй байх ёстой. Нөгөө талаас энэ нь аливаа байгууллагын нийгмийн хариуцлагыг илтгэх хэмжигдэхүүн юм. Тухайн бүтээгдэхүүнийг зохиосон хүмүүсийн хөдөлмөрийг үнэлэх ёстой шүү дээ. Өөрөөр хэлбэл, ХасБанк монголын томоохон байгууллагууд, тэр дундаа мэдээллийн технологийн хөрөнгө оруулалт, шинэчлэлийн тэргүүнд явдаг банкны салбараас оюуны өмчийн ёс зүйтэй хэрэглээнд анхаарлаа хандуулж, шинэчлэлийг эхлүүллээ.

Монголд анх удаа хэрэгжүүлж байгаа гэж ойлгож болох уу?

-Тийм ээ, Монголдоо анх удаа дээрх лицензийг авч байгаа байгууллага гэж хэлж болно. Ер нь манай улсад “Open License” буюу өдөр тутам авдаг лицензийн төрөл түгээмэл байдаг. Өөрөөр хэлбэл, дэлгүүрээс CD хэлбэрээр, эсвэл компьютер худалдан авахад хамт ирж байгаа “Майкрософт”-ын лицензийг хэлээд байгаа юм. Мөн “Еnterprise Аgreement” гэсэн хувилбар бий. Энэ нь манай нөхцөлд хүрэлцээтэй байсан ч бидэнд, Монголд хамгийн тохиромжтой, боломжийн, өрсөлдөхүйц гэдэг талаас нь эрэл хайгуул хийсний үр дүнд одоогийн хувилбарыг сонгосон.

Санамж бичгийн хүрээнд ямар ажлууд хийх вэ?

Манай банк орон даяар үйл ажиллагаа явуулж байгаа 97 салбар нэгж, бизнес, үйлчилгээний төвүүд, тэдгээрт ажиллаж буй 1700 мэргэшсэн ажилтан, 1300 гаруй мерчант, АМАР мобайл банкны агентуудаар дамжуулан  харилцагчдадаа санхүүгийн цогц үйлчилгээг хамгийн сүүлийн үеийн дэвшилтэт технологи ашиглан нэр төртэйгээр шуурхай хүргэх зорилготой. Тиймээс “Майкрософт”-той хамтран банкныхаа бүх компьютер, тоног төхөөрөмжийг албан ёсоор лицензжүүлж байгаа юм. Ер нь манай банк байгууллагын бүх тоног төхөөрөмжийг аль болох сүүлийн үеийн технологи, шийдлүүдээр сэлбэх, шинэчлэх зорилго тавин ажилладаг. Хөтөлбөрийн хүрээний бүх ажлыг нэг дор, тэр даруйд нь нэвтрүүлэх бололцоогүй. Өөрөөр хэлбэл, бүх зүйл үе шаттайгаар хийгдэх юм.

“Microsoft Open Value” лицензийн хөтөлбөрийн талаар товч ойлголт өгөхгүй юү?

-Ер нь “Майкрософт”-ийн лицензийн хэд хэдэн төрөл бий. Бидний авсан төрөл бол байгууллагад тохиромжтой. Дээр нь энэ бол Монголын нөхцөлд тохирсон хувилбар. Нөгөө талаас төлбөрийн уян хатан нөхцөлийг хэрэглэгчдэдээ санал болгож, програмын шинэчлэл, апдэйт төдийгүй техник туслалцааг нэмэлт төлбөргүйгээр нийлүүлэн ажилладгаараа онцлогтой. Ингэж албан ёсны лицензтэй болохоос гадна хамгийн сүүлийн үеийн тохиромжтой шийдлүүдийг үнэ төлбөргүй нэвтрүүлэх боломжтой болж байгаа юм. Жишээ нь, windows 10 үйлдлийн систем гарсан даруйд тэр нь манай байгууллагын нөхцөлд тохиромжтой байвал гэрээний хүрээнд шууд нэвтрүүлэх бололцоотой гэсэн үг. Мөн бид “Майкрософт”-ийн серверүүдийг ашигладаг. Технологийн дэд бүтцийн үндэс, суурь болсон серверийн лицензийг ч бас хөтөлбөрийн хүрээнд авч байгаа юм. Аливаа саатал, бэрхшээл тулгарахад “Майкрософт”-той шууд харилцаж, баталгаат үйлчилгээ авах бүрэн бүрэн бололцоотой болж байгаа нь ч давуу тал гэж хэлж болно. “Майкрософт” бол дэлхийн компани. Тус компанийн үйлчилгээний төвд дэлхийн сая сая үйлчлүүлэгч нь холбогддог. Тэнд нь хамгийн оновчтой шийдлүүдийг цуглуулсан мэдээллийн сан бүрдсэн байдаг. Тэр л мэдээллийн санд нь нэвтрэх бүрэн эрхтэй болсон гэсэн үг. Магадгүй тэндээс тодорхой шийдэл олж чадахгүй байвал “Майкрософт”-ийн нарийн мэргэжилтнүүдтэй нь холбогдож асуудлаа шийдүүлэх бүрэн бололцоотой болж байгаа юм. Үүнээс гадна үнэгүй сургалтад хамрагдах, купоны урамшуулал өгдөг зэргийг нэрлэж болно. Хөтөлбөрийн хэрэгжүүлэгчээр “Майкрософт” компанийн Монгол дахь албан ёсны түнш “Ай Ти Зон” компани ажиллаж байгаа.

Хөтөлбөр хэдий хугацаанд үргэлжлэх вэ?

-Энэхүү хөтөлбөр нь гурван жилийн хугацаанд хэрэгжинэ. Мэдээлэл, технологийн аюулгүй байдал, харилцагчид болон ажилчид хүртээмжтэй, тасралтгүй ажиллаж, үйлчилгээ авах найдвартай орчин бий болгохын тулд гурван жилээр буюу урт хугацаанд хамтран ажиллахаар болсон юм. Гэхдээ гурван жилээс гадна “Software assurance” буюу баталгаат хугацааны хамт цогц болж байгаа. Энэ хугацаанд “Майкрософт”-оос ямар шинэ бүтээгдэхүүн, шийдэл гарна тэдгээрийг бүрэн ашиглах бололцоотой гэсэн үг. Гурван жилийн дараа хугацаагаа сунгах бололцоотой юм. Сунгаснаар дээрх бололцоо урьдын адил хүчин төгөлдөр үргэлжлэх юм.

Аливаа зүйлд эрэмбэ, дэс дараа, чанар чансаа гэж бий. Та бүхний одоогийн сонголтыг “Microsoft Open Value” лицензийн хөтөлбөр гэж үзвэл дараагийнх нь юу байх бол. Банкны салбарын мэдээлэл, технологийн аюулгүй байдлын талаас Та бүхний цаашдын зорилт, чиглэл юу болохыг сонирхоод байгаа юм л даа.

Ер нь албан ёсны, бүрэн баталгаажсан бүтээгдэхүүн ашиглана гэдэг нь бидний хувьд програм хангамжийн шаардлага хангасан гэсэн үг. Гэрээ, бичиг үзэглэлээ гээд хаячихаж болохгүй. Лицензийг хэрэглэж эхэлснээр байнгын хяналт, арчилгаа чухал. Програм хангамжийг байнга тордох учиртай. Байгууллага, ялангуяа банкны салбарын хувьд мэдээллийн аюулгүй байдлын эрсдэлийг хаасан засвар, үйлчилгээг өндөр давтамжтай хийх хэрэгтэй. Үүнийгээ давхар хянаж шалгаж ёстой. Учир нь бид ганц “Майкрософт”-ийн бүтээгдэхүүнийг хэрэглэдэггүй. Байгууллагын хэмжээний цогц системийн иж бүрдэл бүрийн уялдаа холбоог туршиж, хянадаг байх ёстой. Мянга давсан ажилчнаа интернэтийн нэг орчинд нэг төрлийн үйлдлээр хангана гэсэн үг. Үүний тулд хүмүүсээ сургах, бэлтгэхэд тодорхой хугацаа, хөрөнгө хүч зарцуулдаг. Нэг ёсондоо бид ажилчдадаа хөрөнгө оруулж байна шүү дээ. Тиймээс нэгэнт бий болгосон загвар, сонголтоо байнга өөрчлөөд байвал өмнөх хөрөнгө оруулалт маань үнэгүйдэх юм. Аливаа байгууллагын хувьд хамгийн гол нь бүх зүйлийг стандартын түвшинд барих ёстой. Өөрөөр хэлбэл, заавал шинэ хувилбар гэхээс илүүтэй тодорхой стандартуудаа хангаад байвал бүх зүйл ойлгомжтой, найдвартай байх болно. Магадгүй өөр хувилбар сонгох бол судлах шаардлагатай. Тиймээс ч манай банк стандартаар л аюулгүй байдлаа хангадаг. 

Тийм ээ, “Стандарт дэлхийн хөгжлийн түлхүүр” гэж үг байдаг. Монголын хувьд стандартуудын “чанар” нь салбар салбарт харилцан адилгүй байдаг байх. Тиймээс манай томоохон байгууллагууд олон улсад нэр хүндтэй стандартуудыг хангах гэж хичээж байгаа нь харагддаг. Танай банкны хувьд олон улсын ямар стандарт ханган ажиллаж байна вэ?

Манай банк 2013 онд мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны ISO27001 стандартыг нэвтрүүлсэн. Энэ нь програм хангамж, хүний нөөцийн бодлого, мэдээлэл, технологийн аюулгүй байдал гэхчлэн өргөн хүрээг хамарсан стандарт. Хэдийгээр энэ нь төгс шийдэл биш байж болох ч зуун хувийн үр дүнд хүрэх нэгээхэн арга зам нь юм. Тиймээс ч бид төлөвлөгөө гарган ажиллаж байгаа. Бид жилд хоёр удаа хөндлөнгийн аудитаар шалгуулдаг. Байгууллагууд ISO стандартад ач холбогдол өгдөг нь өөрөө өөрсдийгөө бус хөндлөнгийн, баталгаажсан байгууллагаар үнэлүүлдэгтэй холбоотой. Өөрөөр хэлбэл, бид харилцагчдынхаа шаардлагыг хангаж чадаж байна уу гэдгийг бие даасан, хөндлөнгийн байгууллагаар дүгнүүлж байгаа хэрэг.Стандартыг журам, зааварчилгаагаар дамжуулан хэрэгжүүлж, нэвтрүүлдэг. Өөрөөр хэлбэл, маш олон зүйлийг хамарсны үндсэн дээр цогцоороо мэдээллийн аюулгүй байдлыг хангаж чадна гэсэн үг. Үнэндээ мэдээллийн аюулгүй байдал гэдэг нь ганц мэдээллийн технологи, цахим орчинтой холбоотой асуудал биш. Мэдээлэл гэдэгт бараг бүх зүйлийг хамруулж болно. Цаасан дээрх мэдээллээс авахуулаад байгууллагын талаарх ажилчдын яриа хүртэл мэдээлэл болдог. Тиймээс “мэдээлэл” гэдгийг тухайн байгууллагыг үнэлэх биет бус хөрөнгө гэж ойлгож ч болно. Тухайн мэдээллүүдийг цуглуулснаар бид тодорхой хэмжээнд үнэлүүлдэг. Үнэлүүлснээр мэдээлэл нь үнэ цэнэтэй болж, улмаар байгууллагын ашиг орлогод шууд нөлөөлдөг. Банк бол итгэлцэл дээр үндэслэсэн онцгой эмзэг бизнес. Хүмүүс яагаад банканд мөнгөө хадгалуулж байна гэхээр бидэнд итгэж байна гэсэн үг шүү дээ.

ISO 27001 стандартын талаар тодруулахгүй юу?

Энэ нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог бий болгох, хэрэгжүүлэх, хянах, шалгах, сайжруулах шаардлагуудыг тодорхойлсон олон улсын стандартын байгууллагаас боловсруулан гаргасан стандарт юм. Энэхүү стандартыг бүх төрлийн байгууллагад хэрэгжүүлэх боломжтой ч банк санхүү, даатгал, програм хангамж, харилцаа холбооны байгууллагуудын хувьд мэдээлэл, түүнтэй хамааралтай технологийг өргөн хүрээнд ашигладаг учраас дээрх чиглэлийн байгууллагууд ISO 27001 стандартыг илүүтэй хэрэгжүүлэхийг хичээдэг. Үүнийг нэвтрүүлснээр тухай байгууллагын мэдээллийг хамгаалах, оролцогч талуудын итгэлцлийг бий болгох аюулгүй байдлын хяналтуудыг сонгох боломж бүрддэг. Нэг ёсондоо мэдээллийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдлыг хангаж, улмаар бизнесийнхээ тасралтгүй, найдвартай байдлаа баталгаажуулдаг. Банкны тухайд онцлоход бизнесийн үйл ажиллагаанд оролцогч бүхий л талуудын ашиг сонирхлыг хэрхэн хангаж буйгаа батлан харуулж, итгэлцлийг нь нэмэгдүүлдэг. Ингэснээр гадаад, дотоод зах зээлд нэр хүндээ өсгөж, хөрөнгө оруулагчдыг татах, манлайлагч гэдгээ харуулах боломж бүрдэх юм. Банкны бүх үйлчилгээ мэдээллийн технологийн дэд бүтцэд суурилдаг тул харилцагчдад банкны бүтээгдэхүүн үйлчилгээг аюулгүй, түргэн шуурхай, найдвартай хүргэхэд чухал үүрэгтэй байдаг.

Монголд уг стандартыг ямар ямар байгууллагууд нэвтрүүлсэн байдаг юм бол?  

ISO 27001 стандартыг “Мобиком” корпорац 2012 онд  Монгол Улсад анх удаа нэвтрүүлсэн байдаг. Харин банкны салбарт уг стандартыг нэвтрүүлсэн анхны байгууллага нь ХасБанк юм. Энэ нь бусад банк олон улсын стандартыг нэвтрүүлэх үйл ажиллагаанд идэвхийлж, анхаарал хандуулах ажиллах нөхцөлийг бүрдүүлнэ гэдэгт итгэлтэй байна

Мэргэжлийн хүний хувьд Монголын банк, санхүүгийн салбар дахь мэдээлэл, технологийн аюулгүй байдал ямар түвшинд байна гэж хардаг вэ?

Монголд банкны салбар мэдээлэл технологийн талаараа давшингуй, хурдтай хөгжиж байгаа гэж боддог. Банк харилцагчийн мэдээллийг цаг хугацаа алдалгүй дамжуулах ёстой. Жишээ нь, банканд мөнгөө хадгалуулсан даруйдаа тэрхүү мэдээллээ интернэт банкаар харах бололцоотой байх ёстой. Интернэт банкнаас гадна ухаалаг утсаараа гүйлгээ хийх гэх зэрэг боломжийг бүрдүүлж байна. Гэхдээ эдгээр мэдээлэл нь зөвхөн тухайн харилцагчид л хүртээлтэй байх шаардлагатай. Харилцагчийн өмнөөс хөндлөнгийн хэн нэгэн гүйлгээ хийх бололцоогүй, мөнгөнд нь хамаагүй хандах боломжгүй, харилцаг, түүний хийсэн үйлчилгээний талаар өчүүхэн төдий мэдээлэл задрах нөхцөлгүй байх ёстой. Энэ утгаараа банкны системд мэдээллийн технологийн салбарын хамгийн сүүлийн үеийн шийдлийг нэвтрүүлэх шаардлагатай байдаг. Үүнээс гадна системийн ачаалал даах чадвар чухал. Тухайлбал, ХасБанкны харилцагчид сард сая гаруй удаа гүйлгээ хийж, үйлчлүүлж байна. Энэ бүхэнд тодорхой хэмжээний ачаалал бий болж байдаг. Үүнийг л даах чадвартай байх ёстой. Энэ ч мөн банкны мэдээллийн аюулгүй байдлын системд цогцоор суурилагдах учиртай. Манай банк энэхүү системийг цогцоор нь салбартаа хамгийн түрүүнд 2010 онд нэвтрүүлсэн. Ингэснээр аюулгүй байдлын бүрэн гүйцэд тогтолцоо бий болж байгаа юм. Үүнээс гадна байгууллагын ажилтан буюу хүний асуудал чухлаар тавигдах ёстой. Ажилтнууд мэдээллийн аюулгүй байдлыг яаж хангах вэ гэдгээ сайтар ойлгосон байх учиртай. Үүний тулд ажилтан нэг бүр байгууллагын мэдээлэлтэй ямар байдлаар харилцах, ажил эхлэхэд, ажлын дундуур, ажил өндөрлөхөд чухам юунд анхаарах ёстойг хүний нөөцийн бодлогодоо тусгаж чадсан. Жишээ нь, ажилтан ажилд ирэхдээ ширээ, орчноо шалгах, ажлын цагаар компьютерийн дэлгэц, ширээн дээр зөвхөн ажилтай холбоотой материал, сэлт байлгах, файлууд нь эмх цэгцтэй байна уу, ажлын ширээн дээр үлдэх мэдээллүүд цөм нууцлалтай байх, компьютер нь цоожлогдсон уу гэхчлэн нарийн зааж өгсөн байдаг. 

Ярилцсанд баярлалаа.

Баярлалаа.

Эх сурвалж: https://xacbank.mn/mn/news/show/337