November 20, 2018
Гүйцэтгэх захирал хүний нэгэн чухал үүрэг нь бизнесийнхээ ирээдүйн явах зам мөрийг тодорхойлох. Ялангуяа энэ цаг мөчид олон CEO нар компаниа цаашид хэрхэн технологийн хурдтай хөгжилтэй уялдуулан уламжлалт бизнесийн арга барил, хоцрогдсон үйл ажиллагаагаа шинэ шатанд гарган, тоон технологид шилжүүлэх вэ гэдгийг тунгаан эсвэл хэдийнээ хэрэгжүүлэн суугаа нь эргэлзээгүй. Үүнтэй зэрэгцээд үүсэх хамгийн том эрсдэл бол мэдээллийн болон биет аюулгүй байдал.
Уламжлалт хамгаалалтын системүүд нь аль хэдийн өдөр сараар хоцрогдож байгаа энэ үед Дараа үеийн технологийг сайтар судлан бизнесийн онцлогтоо тохируулан зөв сонголт хийх нь оновчтой хөрөнгө оруулалтаар бизнесээ бүрэн хамгаалах зөв алхам болно.
Цахим гэмт хэргийн улмаас бизнест үүсэж буй хохирлын хэмжээ асар хурдтай өссөөр байна. Хамгийн ойрын жишээг хэлэхэд хэдхэн хоногийн өмнө Facebook компанийн олон сая хэрэглэгчийнхээ мэдээллийг алдсан явдал орж байна. Энэхүү мэдээ нь Facebook компанид тэрбум доллароор хэмжигдэх хохирлыг авчирч байгаа. Энэ бол шууд учрах мөнгөн хохирол.
Мөнгөөр үнэлэх боломжгүй олон хохирол (харилцагч, хөрөнгө оруулагч нарынхаа итгэлийг алдах, бизнесийн нэр хүнд унан зах зээлийн байр сууриа алдах, өрсөлдөгчдөө боломж олгох гэх мэтээр) мэдээж байгаа нь ойлгомжтой.
2015 онд Juniper Research-н гаргасан таамаглалаар дижитал ертөнц рүү улам хурдтай шилжин буй бидний амьдралын улмаас 2019 он гэхэд кибер гэмт хэргийн салбар 2.1 их наяд долларын хэмжээнд хүрнэ гэсэн байна.
Кибер гэмт хэрэг нь ямархан унацтай болохыг жишин үзүүлэхэд, гуравхан сар үргэлжлэх “Ransomware” (Байгууллагын мэдээллийн санг түгжин мөнгө нэхэх арга) компанит халдлага өрнүүлэн, нийт халдлагад хамрагсдын зөвхөн 1%-г халдлагад өртөнө гэсэн зорилт тавиад түүнийхээ багахан хувийг мөнгө төлнө гэхэд л сар бүр хэдэн 10 мянган доллароор тоологдох ашиг хүртэх боломжтой юм.
Нөхцөл байдлыг улам дордуулж байгаа асуудал нь хүн хүч, санхүүгийн чадавхтай болсон хакерын бүлгүүд нь илүү ихээр хамтран ажиллаж томоохон операцыг гүйцэтгэх чадамжтай болсоор байгаа явдал юм. Иймэрхүү томоохон операцын саяхны бодит жишээг дурдвал, хуучин социалист орнууд дахь банкнуудыг хамарсан халдлагад Trustwave-г дуудан мөрдлөгийн ажлыг эхлүүлсэн тохиолдол орох бөгөөд дундын зуучлагч нарыг ашиглан залилан хийх зорилго бүхий банкны аккаунт үүсгэн улмаар тухайн аккаунтаас хэдэн зуун АТМ-ээр дамжуулан зэрэг зэрэг мөнгө урсган авах байдлаар 100 орчим сая долларын хохирол үүсгэсэн тохиолдол байна.
Аюулгүй байдал болон санхүүгийн мэргэжилтнүүдийг цочроож байгаа гол зүйл нь эдгээр гэмт халдлагууд нь туйлын хуулийн хүрээнд, маш цэвэр, тэр даруй мэдэгдэх боломжгүй байхаар хийгдэж буйд юм.
Тухайлбал дээрх хэргийг тухайн данс нь хасах руу орох боломжтой банкны картын сул талыг ашиглан үйлдсэн байх ба хэргийн талаар мэдэхэд нэгэнт оройтсон байхаар бүх операцыг зохион байгуулсан байна. Иймэрхүү амжилттай кибер гэмт халдлага нь үүгээр хязгаарлагдахгүй, хүрээгээ улам тэлэн зүсээ хувирган дэлхийгээр нэг тархана гэдэгт эргэлзэх хэрэггүй.
Дээр дурдсан амжилттай хэрэгжиж буй кибер халдлагын олон жишээг харах болсон шалтгаан нь зөвхөн кибер гэмт хэрэгтнүүд улам зальжин, арга нь нарийсаж буйд бус юм. Гол хүчин зүйл нь улам эрчтэй, хурдтай хөгжиж байгаа технологийн хөгжил өөрөө болно. Жишээ нь энгийн хэрэглэгчийн нууцлалыг хангах зорилготойгоор бүтээгдсэн encrypt буюу кодчилогдсон вэб браузер, хаана ч хэзээ ч бэлэн байгаа VPN үйлчилгээ нь эсрэгээрээ гэмт үйлдлийг халхлах боломжийг олгож байна.
Эдгээр нь мөрдөн хөөх боломжгүй ул мөр багатай Биткойн зэрэг цахим мөнгөтэй хослохоор кибер гэмт хэргийн төгс орчин бүрдэн, жинхэнэ утгаараа коммершиал болох боломжтой болж байна. Түүнчлэн дээрх технологиуд бидэнд туйлын ойр, хямд төсөр болж.
Олон зуун мянган хэрэглэгчийн кредит картны мэдээллийг хулгайлахад өндөр мэргэжлийн баг бүрдүүлэн ихээхэн хөрөнгө гаргах шаардлагагүй. Харин интернэтэд холбогдсон, бусдаас худалдан авсан кибер халдлагын элдэв програм хэрэгсэл бүхий хэн ч гэсэн хэдхэн товч дараад л ямар ч халдлагыг хийх боломжтой болсон байна. Нэг талдаа сүүлийн цөөн жилийн дотор кибер гэмт хэргийн ертөнц ийм хурдтай хувьсан хөгжиж, олон амжилттай томоохон халдлагууд гарсаар байхад, олон байгууллага нөгөөх л бахь байдгаараа уламжлалт хамгаалалтын системээ ашигласаар, хэрэглэгчээ, тэдгээрийн өмч болсон чухал мэдээллээ хамгаалах тал дээр зохион байгуулалтад орж чадаагүй, эсвэл дээрээс ирсэн compliance буюу шаардлагын дагуу ажил хийсэн “нэртэй” болсон байдалтай байсаар байна.
Саяхан PwC-с гаргасан “Global State of Information Security Survey” 2018-д 122 орны 9500 гаруй гүйцэтгэх удирдлагаас судалгаа авснаас 44% хувьд нь ямар нэг кибер аюулгүй байдлын цогц стратеги байхгүй, 48% нь ажилчдадаа хамруулсан кибер аюулгүй байдлын талаарх эхний ойлголтыг өгөх сургалтын хөтөлбөр байхгүй нь харагдсан байна. Энэ бол цочмоор үзүүлэлт юм. Асуудал үүсэх үед энэ хэнэггүй байдал нь CEO болон таны гүйцэтгэх удирдлагын багийг ажлын байр, нэр төрөө алдах үед хамгаалахгүй нь мэдээж. Хэнэггүй хайнга байдал нь эцэстээ олон нийтийн өмнө муу бүхнээ ил дэлгэн, бусдын өгөөш, тохуу болж улмаар та өөрийн брэндийн нэр хүндийг сэргээх хатуу хүнд тэмцэлд орохоос өөр сонголтгүй байдалд үлдэх болно. Энэхүү эрсдэлээс сэргийлэхийн тулд дараах 3 алхмыг юун түрүүнд CEO бүр анхаарахыг олон улсын мэргэжилтнүүд зөвлөж байна.
Юуны өмнө, СЕО та инновац, өсөлт, компанийн зүг чигийг бодохын сацуу кибер аюулгүй байдлын бэлэн байдал нь таны мөрөн дээр давхар ирж байгаа гэдгийг хатуу ойлгох хэрэгтэй юм. Ялангуяа өмнө тохиолдож байгаагүй шинэ эрсдэлийг байнга анхааран, кибер аюулгүй байдлын талаарх мэдээ сурвалжийг байнга судлан хүргэх алба институтийг өөрийн шууд удирдлагын дор бүрэлдүүлэн бэлдэх нь чухал. Энэхүү дотоод институт нь илүү санаачилгатай, урагшаа харсан төлөвлөлтийг хийн компанийн хэмжээний бодлогыг зангидан ажиллахад томоохон дэмжлэг болно.
СЕО хүн өөрийн байгууллагын онцлог, түүнтэй холбоотой гарч болзошгүй аюулгүй байдлын эрсдэлүүдээ юуны түрүүнд сайн ойлгосон байх нь чухал. Өдөрт л хэдэн мянган кредит картын гүйлгээ хийдэг жижиглэн худалдааны сүлжээ дэлгүүрийн аюулгүй байдлын хэрэгцээ нь өвчтөнийхөө нарийн мэдээллийг хамгаалах үүрэгтэй эрүүл мэндийн байгууллагаас мэдээж тэс өөр байх нь ойлгомжтой бизээ. Сүүлийн үед гарсан нэгэн томоохон халдлагыг дурдвал, хуучин социалист орнууд дахь банкнуудыг дундын зуучлагч нарыг ашиглан залилан хийх зорилго бүхий банкны данс үүсгэж, улмаар тухайн данснаас хэдэн зуун АТМ-р дамжуулан нэгэн зэрэг мөнгө урсган авах байдлаар 100 орчим сая долларын хохирол учруулсан байдаг. Энэ үүднээс СЕО хүний хийж эхлэх нэг чухал ажил нь байгууллагынхаа гол гол менежер, Мэдээллийн Аюулгүй Байдал хариуцсан мэргэжилтэн (Chief Security Officer) болон бусад МТ-н удирдлага, хамтрагч нараа оролцуулан, тэдгээртэй нэг бүрчлэн уулзах байдлаар аюулгүй байдлын ерөнхий үнэлгээгээ гаргаж авах явдал юм. Ингэснээр, та гарч болох эрсдэлийг бодитойгоор гаргаж ирэх, улмаар эрсдэлээс сэргийлэх, хамгаалах, мөн эрсдэл гарсан үед хохирол багатайгаар гарах ямар боломж бололцоо байгааг мэдэх боломж бүрдэнэ. Ерөнхий үнэлгээ хийгдсэний дараа үргэлжлүүлээд болзошгүй байдлын үеийн төлөвлөгөө, стратегийг гарган улмаар шаардлагатай сургалт сурталчилгааг хийснээр байгууллагын хүн бүр мэдээллийн аюулгүй байдалд бэлэн болох юм.
Аюулгүй ажиллагааг эрхэмлэсэн хандлага, компанийн соёлыг дээрээс доош суулгах нь чухал бөгөөд CEO өөрөөсөө эхлүүлэх шаардлагатай юм. Мэдээллийн аюулгүй байдлыг анхаардаг соёлыг гүйцэтгэх удирдлагын багаас эхлээд, ажилтан, партнер, танайтай хамтран ажиллагч гадны вендорт хүртэл түгээн хэвшүүлж үйл ажиллагааны салшгүй нэг хэсэг болгох нь онцгой чухал юм.
Та олон зуун сая төгрөгийн ERP системд хөрөнгө оруулалт хийхдээ ажилтнуудынхаа сургалтыг мартдаггүйтэй адил хамгийн сүүлийн үеийн мэдээллийн аюулгүй байдлын системд хөрөнгө оруулалт хийхдээ мөн адил энэхүү хөрөнгө оруулалтаа дээд хэмжээнд нь ашиглах нөхцөл боломжийг бүхий л хамаатай талуудад олгох хэрэгтэй юм.
Хэчнээн хамгийн сүүлийн үеийн сүлжээний галт хана (firewall) эсвэл халдлага илрүүлэх систем (intrusion detection system) авсан ч, хэрвээ танай захиргааны ажилтан системд нэвтрэх нууц үгээ хамаагүй тараадаг (компани дотроо ч гэсэн), эсвэл танай түр гэрээт ажилтан мэдлэг дутуугаас элдэв буруу имэйлийг нээж үздэг бол асуудал шийдэгдэхгүй. Товчхондоо, өнөөдөр гарч буй ихэнх кибер халдлагууд нь нарийн халдлагын ур чадвар гэхээсээ илүүтэй хэн нэгний хайхрамжгүй байдал, хүний өчүүхэн алдааг ашиглан хийгдэж байгаа болно. Кибер аюулгүй байдал нь үргэлж хувьсан хөгжиж, түүнийгээ дагасан шинэ шинэ технологи, арга барилыг шаардаж байдаг ч, тухайн бизнесийн байгууллага нь илүү санаачилгатай идэвхтэй байх нь чухал. Аюулгүй байдлыг компанийнхаа салшгүй соёл болгосон тэр л газар ирээдүйн ямар ч довтолгоонд бэлэн байж чадах болно.