БНХАУ-ын хакерын бүлэг Монголын үндэсний мэдээллийн санд нэвтэрч Засгийн газрын веб сайтад вирус тараасан гэх мэдээлэл тархаад байгаа. БНХАУ-ын CYBERSCOOP сайтын мэдээлснээр “Хятадын хакерын бүлэг Үндэсний мэдээллийн сангийн ажилчдын и-мейл хаягт нэвтэрсэн. Энэ нь Монгол Улсын Засгийн газрын дэд бүтцийг хянах зорилготой” хэмээн бичжээ. Энэ талаар “Үндэсний дата төв”-ийн Мэдээллийн аюулгүй байдлын хэлтсийн дарга Б.Төрбаттай ярилцлаа.
-Үндэсний мэдээллийн сан гэж юу вэ?
-Үндэсний мэдээллийн сан гэдэг бол интернэт гардаггүй тусдаа сүлжээ. Үүнд манай улсын иргэд болон аж ахуйн нэгж байгууллага, төрийн албаны бүх мэдээ мэдээлэл багтсан байдаг. Уг сүлжээнд халдсан тохиолдолд нэлээд хор хөнөөлтэй. Зөвхөн таны мэдээллийг алдахад ямар хохирол учрах вэ. Гэтэл Үндэсний мэдээллийн сан алдагдана гэдэг бол ямар хор хөнөөлтэй нь ойлгомжтой шүү дээ.
-Энэ сард Монгол Улсыг хакердсан гэх мэдээлэл байна?
-Энэ сарын 13-ны өдөр олон нийтэд тарсан мэдээлэл нь ОХУ-ын цахим аюулгүй байдлын чиглэлээр олон улсын хэмжээнд үйл ажиллагаа явуулдаг, вирусийн эсрэг программ хангамж үйлдвэрлэгч “Kaspersky” компаниас гаргасан тайланд дурдагдсан мэдээлэл байсан. Манай байгууллагын зүгээс “Kaspersky” компанитай дөрөвдүгээр сард уулзалт хийсэн. Энэ үеэр “Монголын томоохон дэд бүтэц бүхий байгууллагууд руу халдлага хийгдээд байна. Касперски лабораториос ирүүлсэн тайланд дүн шинжилгээ хийгээд явж байна” гэж Казахстан улсад байрлах “Kaspersky” компанийн төлөөлөгч мэдэгдсэн. Манай байгууллага ямар байдлаар халдлага хийгдэж байгааг лавласан. Гэвч “Kaspersky” компани “Манайх үнэгүй юм өгөхгүй, дүн шинжилгээнд анализ хийнэ. Тэр нь тодорхой хүн хүч шаарддаг ажил. Иймээс мөнгө авна” гэх хариулт өгсөн. Үүнд бид мөнгө өгөх боломжгүй гэдгээ илэрхийлсэн байгаа.
-Kaspersky гэдэг нь байгууллага юм уу?
-Kaspersky гэдэг нь орос эзэнтэй, цахим аюулгүй байдлын чиглэлээр олон улсын хэмжээнд үйл ажиллагаа явуулдаг, вирусийн эсрэг программ хангамж үйлдвэрлэдэг дэлхийд дээгүүр ордог компани юм. Энэ компанийн төлөөлөлтэй манайхан уулзсан. Зорилтод халдлагууд харагдаад байдаг. Тухайн уулзалтаар эдгээр халдлагууд нь агаарын тээврийн компаниуд, дата төвүүд, цэрэг хүчний байгууллагууд болон төрийн байгууллагууд руу чиглэсэн байсан тухай мэдээллийг авсан. Манай төв рүү чиглэсэн халдлага байгаа гэдэг мэдээллийг тухайн “Kaspersky” компанийн төлөөлөгчөөс авсан. Бид байгууллагадаа дотоод шалгалт хийх арга хэмжээг авсан. Ингээд вирусийг устгасан байдаг. Учир нь тухайн зорилтот гэж монголоор тодорхойлоод буй “advanced persistent threat (APT)APT” халдлага нь хамгийн сүүлийн үед гарсан цоорхойг ашигладаг бөгөөд ямар нэгэн вирусийн эсрэг программд илэрдэггүй, бусад хамгаалалтын системүүдэд ч гэсэн илэрдэггүй билээ.
-Тэр ямар учиртай вирус юм бэ?
-Манай улс руу чиглэсэн “APT” төрлийн хортой код бүхий халдлага юм. 2014 онд анх илэрч байсан вирус. Тэр нь сайжраад шинэчлэгдээд олон төрлийн хувилбарууд бий болсон. Тухайлбал манайд илэрсэн хортой код нь 606 орчим вирусийн программаар шалгахад антивирусны программд илрээгүй шинэ төрлийн хортой код байсан. Ингэхээр энэ хортой код вирус нь нэлээд сайн хийгдсэн, тодорхой зорилготой бүтээгдсэн нь харагдсан. Энэ хортой вирус нь мэдээллийг цуглуулах, цуглуулсан мэдээллээ татаж авах гэх мэт үйлдлүүд хийдэг гэдэг нь саяхан гарсан тайлан мэдээнд дурдагдсан байгаа. Манай хамгаалалтын системүүд нь дотогшоо чиглэсэн халдлагын шинж чанартай үйлдэл болон гадагшаа мэдээлэл алдагдахаас сэргийлэх хамгаалалтын системүүдтэй. Иймд дотроосоо хаалттай мэдээлэл алдаагүй. Мөн вирус Windows системд ажиллахаар хийгдсэн байгаа. Манай төв нь мэдээллийн зэрэглэлээс хамаарч хоёр өөр сүлжээний бүстэй байдаг. Жишээлбэл, Төрийн дата мэдээллийг дамжуулах дэмждэг сүлжээ, нөгөө нь ажилтнуудын дотоод буюу интернэт хандалт бүхий сүлжээ гэх мэт. Гэхдээ манай нэг ажилтны компьютерээс тухайн хортой кодын тохиолдол сүлжээнд илэрсэн байгаа. Тухайн компьютерийг тусгаарлаж, хортой кодод дүн шинжилгээ хийсэн.
-Ажилтны цахим шуудангийн хаягаар халдсан гэсэн?
-Ажилчины и-мэйл хаягаар халдсан юм байхгүй. Ажилчид и-мэйлээр халдсан тохиолдол 2014 онд гарч байсан. Энэ хортой код нь вэб сайтуудад байршуулсан байдаг. Манай байгууллагын ямар нэг ажилтан тухайн веб сайт руу орохын бол компьютер рүү нь халддаг код байсан. Түүнийг бид илрүүлж устгасан байдаг. Тодорхой холбогдох байгууллагуудад авч хэрэгжүүлсэн арга хэмжээний тайлангаа явуулсан байгаа. Энэ сарын 13-нд нийтлэгдсэн тайлангийн хувьд бол дээрхийн адил хортой код байсан. Ер нь төрийн байгууллагууд ямар ч төрлийн халдлага хийсэн цахим шуудангийн и-мэйл хаягаар ихэвчлэн явагддаг, эсвэл оролцсон байдаг. Манай төв тэдгээрийг тодорхой шалгаж холбогдох байгууллагууд руу мэдэгддэг. Ер нь бас тухайн өртөгч хэрэглэгч рүү цахим шуудангийн хаягаар нь төрөл бүрийн хууран мэхэлсэн агуулга бүхий, хавсаргасан файл бүхий цахим шууданг илгээн тухайн хэрэглэгч цахим шуудангаа нээх, хавсаргасан файлыг ажиллуулахад хортой код компьютерт нь суух зарчмаар ажилладаг. Яагаад цахим шуудангийн хаягаар дамжин халдлага хийгдэх тохиолдол их байдаг вэ гэхээр хэрэглэгчийн мэдээллийн аюулгүй байдлын мэдлэг ойлголт, туршлага таарууг ашиглаж байгаа хэрэг юм.
Үүний эсрэг хөрөнгө мөнгөний асуудал бий. Сайн тоног төхөөрөмж аваад тавих гэхээр мөнгө алга байна. Манайх Kaspersky хэрэглэдэг. Гэтэл Kaspersky программ одоо болтол уг вирусийг илрүүлж чадаагүй л байна. Гэвч энэ программ нь албан ёсны лицензтэй программ. Баазуудад нь байнга шинэчлэл хийгдэж байдаг. Үүнийг Kaspersky илрүүлж чадахгүй байна гэдэг чинь арай өөр зорилоготой байна уу гэж хараад байгаа.
-Тэгээд Үндэсний мэдээллийн санд халдсан гээд байгаа нь бодитой юм уу?
-Манай төв дээр байршиж буй төрийн зарим байгууллагуудын мэдээллийн сан нь интернэт сүлжээнд холболт байхгүй, тусгай зориулалтын нууцлал хамгаалалт бүхий сүлжээний орчинд ажилладаг. Иймээс төрийн мэдээллийн санд халдчихсан асуудал бол байхгүй. Тэгэхээр бүхэл бүтэн улсын ард иргэдийн мэдээлэл тэр чигээрээ алдагдана гэдэг бол байж болохгүй зүйл. Дахин хэлэхэд эдгээр мэдээллүүдийг тусгай сүлжээ, хамгаалалтын бүсэд байршуулан хамгаалж ажиллуулдаг. Тэгэхдээ өнөөдрийг хүртэл яг ямар улсаас хийснийг бид мэдэхгүй байна. Kaspersky-ийн хийсэн тайланд болохоор хийгдсэн арга барил нь Хятадын хакерын бүлэгтэй төстэй гэсэн байгаа. Түүнээс Хятад улс хийсэн гэж хэлэх нь учир дутагдалтай юм.
-Хакердалтыг ихэвчлэн ямар зорилоготой хийдэг юм бол?
-Хакеруудын уриа бол бүх мэдээлэл ил байх ёстой. Нууц гэж зүйл огт байх ёсгүй гэж байдаг. Үүнээс гадна ялангуяа төрийн байгууллагууд болон томоохон компаниудын нэр хүндийг унагах зорилгоор халдлагыг хийдэг. Тэгэхээр бүх мэдээллийг ил тавих зорилгоор л хийдэг гэж болно. Мөн зарим нь мөнгө олох зорилгоор мэдээллийг олж авах, өөрсдийгөө таниулах сурталчилах, тухайн улсынхаа засгийн газрын дэмжлэгтэйгээр ч халдагуудыг ихээр хийх болсон. Тусгай албадууд төрийн онц чухал мэдээллийг олж авах зорилготой ч бий.
-Цахим халдлагаас хэрхэн урьдчилан сэргийлж байна вэ?
-Тухайн байгууллагууд уялдаа холбоо сайтай ажиллах нь чухал. Халдлагууд жил ирэх бүр нэлээд ахисан түвшинд хийгдэж байгаа. Төрийн байгууллагын ажилтан, албан хаагчид хоорондоо холбоотой байх, байгууллага бүр мэдээллийн аюулгүй байдлын ажилтантай байх ёстой, мэдээллээ алдахгүйн тулд бүх албан хаагчиддаа сургалт байнга явуулж байх гэх мэт хамтарсан олон ажлуудыг зохион байгуулж, нэгдсэн зохион байгуулалттай ажиллах хэрэгтэй. Халдлагын 80 хувь нь и-мэйлээр дамжиж байна. И-мэйлээр ямар файл, хэнээс ирж байна, тэрийг нягталж шалгаж байх хэрэгтэй.
-Торгууль.мн-ийг хакердсан гээд байгаа?
-Одоогийн халдлагаар ийм юм огт болоогүй. Ийм асуудал гурван жилийн өмнө гарсан. Торгууль.мн мэдээллийн санд халдсан этгээдүүд торгуулийг төлсөн болгож гаргаж өгч байсан асуудал гарсан. Гэхдээ тэр нь гаднаас биш, дотоод асуудалтай нь холбоотой байсан гэж ойлгосон. Тэр нь Эрүүгийн хуулиар шийдэгдээд явсан байгаа. Саяхан буюу энэ оны гурван сард “торгууль.мн” сайтын торгуулууд устсан гэсэн хэрэг гарсан. Энэ нь халдлага биш. Замын хөдөлгөөний удирдлагын төв, Замын цагдаагийн газар болон, манай байгууллагын хоорондын системийн шинэчлэл хийгдэж байсантай холбоотой үүссэн техникийн сүлжээ унаснаас торгууль алга болсон асуудал үүссэн байсан. Удалгүй засварлагдсан. Гэтэл үүнийг халдлагад өртсөн гэж нийгмийн сүлжээнд цацсан.